DDSS - 1 AL 6
![]() |
![]() |
![]() |
Título del Test:![]() DDSS - 1 AL 6 Descripción: REPASO TODO (1-6) |




Comentarios |
---|
NO HAY REGISTROS |
¿Qué se considera un activo primario en un sistema de información?. Un servidor físico. Una copia de seguridad. Un proceso crítico del negocio. Una política de contraseñas. ¿Cuál de las siguientes opciones es una medida correctiva?. Registro de logs. Aplicar un parche tras un ataque detectado. Configurar un firewall. Autenticación de doble factor. ¿Qué afirmación es correcta sobre amenazas y vulnerabilidades?. Son sinónimos. Una amenaza es una debilidad del sistema. Una vulnerabilidad es lo que puede explotar una amenaza. Una amenaza es el agente que puede explotar una vulnerabilidad. ¿Qué es una medida organizativa de seguridad?. Un cifrado simétrico. El uso de tarjeta de acceso al CPD. Establecer roles y responsables de seguridad. Un IDS en la red. ¿Cuál es la fórmula más común para estimar el riesgo?. Impacto + probabilidad. Activo x amenaza. Vulnerabilidad x amenaza. Impacto x probabilidad. ¿Qué tipo de medida es un antivirus actualizado diariamente?. Preventiva. Física. Detectiva. Correctiva. En el análisis de riesgos, ¿qué representa el riesgo residual?. El riesgo que aún no se ha identificado. El que se transfiere a otra organización. El que queda tras aplicar medidas de seguridad. El que afecta solo a activos intangibles. ¿Cuál de las siguientes afirmaciones sobre la trazabilidad es correcta?. Permite restaurar el sistema tras un fallo. Impide que se acceda sin autenticación. Garantiza que se pueda reconstruir quién hizo qué, cuándo y cómo. Aumenta la disponibilidad del sistema. ¿Qué diferencia clave hay entre medidas técnicas y físicas?. Las físicas requieren dispositivos electrónicos. Las técnicas se basan en personas. Las físicas protegen el entorno, las técnicas protegen el sistema lógico. No hay diferencia, solo cambia la terminología. ¿Qué afirmación es incorrecta sobre la gestión del riesgo?. Se puede transferir un riesgo a terceros. El riesgo puede eliminarse totalmente con suficientes controles. El riesgo residual existe siempre. El análisis de impacto ayuda a priorizar. ¿Cuál de las siguientes situaciones representa mejor una interdependencia entre activos?. El firewall depende de actualizaciones para mantenerse funcional. El software de nóminas usa una base de datos instalada en otro servidor. Un empleado tiene acceso al ERP. Un switch conecta varias VLAN. ¿Qué implica la visión de la seguridad como un “ciclo de vida”?. Que el riesgo puede eliminarse completamente si se gestiona bien. Que la seguridad se revisa solo al diseñar el sistema. Que hay que establecer controles temporales para incidentes. Que debe analizarse y actualizarse continuamente en todas las fases del sistema. Según lo explicado, ¿qué ocurre si se omite un activo secundario en el análisis de riesgo?. No afecta al resultado global. Se reduce el nivel de riesgo estimado erróneamente. El riesgo residual desaparece. Solo afecta a activos físicos. ¿Qué afirmación refleja mejor la relación entre amenaza y activo?. Toda amenaza implica un impacto inmediato en el activo. Si un activo no tiene vulnerabilidades, no puede ser atacado. La amenaza es irrelevante si no hay un activo asociado. Las amenazas solo afectan activos tangibles. En la terminología de seguridad, ¿qué es una “medida de contención”?. Una medida que intenta aislar el incidente para que no se propague. Una forma de prevenir la pérdida de datos. Un sinónimo de medida organizativa. Un tipo de cifrado. ¿Qué medida se considera técnica y preventiva al mismo tiempo?. Revisión de contratos del personal externo. Cifrado de datos en tránsito. Sistema de climatización del CPD. Evaluación de desempeño del CISO. ¿Por qué es importante inventariar los activos antes de analizar el riesgo?. Porque sin conocer los activos no puede evaluarse ni protegerse su exposición. Porque es un requisito legal. Porque los activos tangibles son los más fáciles de controlar. Porque permite estimar mejor el presupuesto. ¿Cuál de las siguientes prácticas se considera una vulnerabilidad humana u organizativa?. Permitir que todos los empleados usen la misma contraseña. Ausencia de VLANs. Uso de protocolos obsoletos. No usar DNS seguro. ¿Qué relación tiene el impacto con el activo?. Cuanto más caro sea el activo, mayor es el impacto. Solo los activos tangibles pueden tener impacto. El impacto refleja el daño que sufriría el activo si la amenaza se concreta. El impacto lo define siempre la vulnerabilidad. ¿Qué afirmación refleja correctamente el papel de los controles en la gestión del riesgo?. Los controles eliminan las amenazas. Los controles eliminan las vulnerabilidades de forma definitiva. Los controles impiden la aparición del riesgo residual. Los controles buscan reducir la probabilidad o el impacto del riesgo. ¿Qué ocurre si se produce una amenaza sobre un activo sin vulnerabilidades conocidas?. El riesgo desaparece. La amenaza no se considera válida. El impacto será nulo. El riesgo es muy bajo o inexistente. ¿Qué factor puede hacer que un riesgo con probabilidad baja sea tratado con prioridad?. Que el impacto potencial sea muy alto. Que afecte a pocos usuarios. Que no tenga medidas técnicas disponibles. Que sea nuevo. ¿Cuál de los siguientes elementos no forma parte directa del análisis de riesgo según lo explicado?. Impacto. Probabilidad. Trazabilidad. Activos. Si un riesgo se transfiere, ¿qué significa en la práctica?. Que se delega la responsabilidad legal. Que se elimina completamente. Que se mitiga con controles físicos. Que se comparte con un tercero (ej. seguros). ¿Qué define el “riesgo residual”?. Riesgo externo no controlable. Riesgo causado por empleados. El riesgo restante tras aplicar medidas de tratamiento. Riesgo percibido pero no documentado. ¿Cuál de estas afirmaciones sobre la probabilidad es correcta?. Siempre se calcula con datos estadísticos exactos. Es más relevante que el impacto en el análisis. Puede estimarse de forma cualitativa. No se tiene en cuenta si el impacto es alto. ¿Qué componente permite visualizar la priorización de riesgos en una organización?. Árbol de decisiones. Diagrama de Gantt. Matriz de impacto. Mapa de riesgos. Si un activo sufre un incidente de impacto medio y probabilidad alta, ¿qué tipo de riesgo se genera?. Bajo. Medio-alto. Mínimo. Crítico solo si hay vulnerabilidad. ¿Qué opción describe mejor la “aceptación del riesgo”?. No identificar el riesgo. Tomar medidas mínimas para mitigarlo. Decidir no actuar porque el riesgo está dentro del umbral tolerable. Eliminar todos los controles. ¿Cuál de estos factores afecta directamente a la evaluación del impacto?. La velocidad de conexión de red. El grado de criticidad del activo afectado. La antigüedad del sistema. La ubicación física del atacante. ¿Por qué se considera subjetiva la evaluación de riesgos en ciertos contextos?. Porque depende del impacto únicamente. Porque el análisis de amenazas cambia constantemente. Porque tanto el impacto como la probabilidad se estiman desde la perspectiva de cada organización. Porque solo se usan valores numéricos para cuantificar. ¿Qué ejemplo representa mejor una aceptación de riesgo justificada?. No instalar antivirus por decisión personal. Ignorar un fallo crítico en la red. Delegar toda la seguridad en el usuario final. Mantener un servidor desactualizado porque su actualización afectaría a procesos clave y el riesgo es asumible. ¿Cuál de estas afirmaciones sobre el mapa de riesgos es falsa?. Muestra la relación entre activo, vulnerabilidad y amenaza. Es una herramienta visual. Ayuda a priorizar acciones de tratamiento. Se basa en cruce de probabilidad e impacto. El profesor menciona que un “riesgo de bajo impacto y alta probabilidad” puede ser: Siempre transferido. Crítico si afecta a varios usuarios. Ignorado sin consecuencias. Relevante si se acumula o repite en el tiempo. ¿Qué afirmación representa un enfoque incorrecto del análisis de riesgos?. Evaluar los activos antes que las amenazas. Asumir que todos los riesgos deben eliminarse. Adaptar el tratamiento al contexto. Estimar impactos reputacionales. ¿Qué opción refleja mejor la afirmación del profesor sobre “priorizar”?. Se debe actuar primero sobre los de mayor impacto. Se debe actuar siempre primero sobre los más probables. Se debe ignorar los de bajo impacto. Todos los riesgos deben tratarse por igual. ¿Qué técnica no está directamente vinculada al tratamiento del riesgo?. Aceptación. Eliminación. Transferencia. Clasificación. ¿Qué hace que dos organizaciones evalúen de forma distinta un mismo riesgo?. El tipo de firewall que utilizan. La percepción y tolerancia al riesgo propias de cada entidad. El idioma de su documentación. El tipo de cifrado en sus comunicaciones. ¿Qué afirmación es más precisa según lo expuesto en clase?. Los activos críticos son siempre físicos. El impacto y la probabilidad son constantes. Un riesgo puede aumentar con el tiempo aunque el activo no cambie. Las amenazas son siempre internas. ¿Por qué no se puede hablar de “riesgo cero”?. Porque los controles no funcionan. Porque toda medida es reversible. Porque las medidas preventivas no sirven. Porque siempre hay algún grado de incertidumbre o nueva amenaza. ¿Qué opción de tratamiento de riesgo implica modificar el sistema o proceso?. Transferencia. Aceptación. Reducción. Documentación. ¿Cuál de los siguientes casos representa mejor una transferencia de riesgo?. Contratar un seguro que cubra brechas de datos. Configurar un firewall más estricto. Ignorar el riesgo y justificarlo. Cambiar contraseñas periódicamente. ¿Qué condición debe cumplirse siempre para que se acepte un riesgo?. Que no se pueda reducir. Que esté documentado y justificado. Que el activo no sea crítico. Que sea intangible. ¿Cuál de estas decisiones podría considerarse un error estratégico según el profesor?. Aplicar un control que ralentiza el sistema. Documentar una medida preventiva. Usar un control que introduce nuevos riesgos mayores. Aceptar un riesgo sin comunicarlo. ¿Cuál de estos factores no se considera decisivo al seleccionar un tratamiento?. Coste de la solución. Probabilidad del riesgo. Nacionalidad del desarrollador. Impacto potencial. ¿Qué documento incluye los controles elegidos, responsables y fechas?. Plan de continuidad. Mapa de amenazas. Auditoría de activos. Plan de tratamiento del riesgo. ¿Qué afirmación refleja mejor la postura del profesor sobre controles?. Cualquier control es válido si reduce la probabilidad. El control debe ser técnico, no organizativo. El control debe ser eficaz y no generar nuevos riesgos. Si el control es barato, debe aplicarse. ¿Por qué un riesgo residual alto podría indicar una mala gestión?. Porque indica un incidente ya ocurrido. Porque implica que no se ha evaluado el impacto real. Porque no se han listado activos. Porque hay demasiados activos. ¿Qué tipo de control corresponde a una política de acceso a recursos?. Físico. Organizativo. Detectivo. Correctivo. ¿Qué afirmación describe mejor el concepto de eliminación del riesgo?. Usar un cifrado de nivel militar. Borrar datos sensibles con una herramienta especializada. Evitar controles redundantes. Cerrar el proceso o retirar el activo. ¿Qué situación invalida la aceptación de un riesgo según las mejores prácticas indicadas?. Que el impacto sea bajo pero la probabilidad alta. Que se justifique en un informe firmado. Que supere el umbral de tolerancia de la organización. Que se trate de un riesgo intangible. El profesor menciona que los controles deben ser proporcionales. ¿Qué se considera una medida desproporcionada?. Implementar un IDS en una red local sin internet. Configurar backup diario en un servidor crítico. Establecer control de acceso para información clasificada. Cifrar el tráfico de la red WiFi interna. ¿Cuál de las siguientes medidas podría ser incorrectamente clasificada como técnica?. Autenticación multifactor. Cifrado de disco. Control de acceso biométrico. Revisión manual de logs por el administrador. En el tratamiento del riesgo, ¿qué factor puede justificar no aplicar un control incluso si el riesgo es conocido?. Que el activo no esté inventariado. Que la mitigación sea más costosa que el impacto potencial. Que la amenaza no sea externa. Que la vulnerabilidad no esté documentada. ¿Qué afirmación refleja un error común al diseñar un plan de tratamiento del riesgo?. Priorizar riesgos de alto impacto. Asignar responsables para cada acción. Definir medidas correctivas únicamente tras auditoría. Incluir cronograma de implementación. ¿Qué combinación refleja una gestión del riesgo deficiente aunque exista documentación?. Riesgos evaluados cualitativamente y justificados. Controles definidos sin evaluación de su efectividad. Medidas transferidas a terceros con contrato. Controles correctivos bien aplicados. ¿Cuál de estas afirmaciones refleja mejor la lógica del profesor respecto al riesgo residual?. Siempre debe ser eliminado antes de la implantación. Puede tolerarse si no impacta económicamente. Debe mantenerse dentro del umbral de aceptabilidad y reevaluarse periódicamente. No es relevante si ya se aplicaron controles. ¿Qué podría implicar que un control preventivo reduzca demasiado la disponibilidad del sistema?. Que debe transformarse en control detective. Que se priorizó confidencialidad sobre disponibilidad. Que se ha eliminado el riesgo residual. Que se necesita más documentación. ¿Qué técnica se usa para validar que un control ha sido eficaz tras su aplicación?. Evaluación de activos. Trazabilidad de la amenaza. Matriz de impacto previa. Medición del riesgo residual. ¿Qué error de enfoque se comete al eliminar riesgos sin evaluar consecuencias colaterales?. Se aumentan los riesgos ocultos. Se reduce la superficie de ataque. Se reduce el riesgo residual. Se fortalece el plan de tratamiento. ¿Qué tipo de control es una política de seguridad que impide el uso de dispositivos USB no autorizados?. Técnico. Organizativo. Correctivo. Físico. Un sistema IDS que registra accesos sospechosos pero no los bloquea se considera: Preventivo y técnico. Disuasorio y organizativo. Detectivo y técnico. Correctivo y técnico. ¿Qué error conceptual se comete al clasificar una tarjeta de acceso como un control técnico?. Que en realidad es un control disuasorio. Que el medio físico pertenece a controles físicos. Que sólo puede usarse con controles organizativos. Que no previene incidentes. ¿Cuál de los siguientes controles puede ser considerado tanto preventivo como disuasorio?. IDS en tiempo real. Carteles de videovigilancia. Firewall con reglas básicas. Registro de accesos. Una copia de seguridad diaria almacenada en la nube es un ejemplo de control: Disuasorio y físico. Preventivo y técnico. Correctivo y técnico. Detectivo y organizativo. ¿Qué afirmación refleja mejor la idea del profesor sobre controles organizativos?. Son innecesarios si existen herramientas técnicas suficientes. Solo aplican en empresas grandes. Se implementan una vez ocurre un incidente. Son fundamentales para establecer el marco de actuación y responsabilidad. ¿Cuál es el mayor riesgo de confiar únicamente en controles técnicos?. Que el rendimiento del sistema se reduzca. Que no se cumplan las normas organizativas. Que aumente la visibilidad del sistema. Que los usuarios accedan a más recursos. ¿Qué control actuaría durante la fase de impacto de un incidente?. Preventivo. Correctivo. Detectivo. Disuasorio. ¿Qué tipo de control es más adecuado para evitar que se instale software no autorizado?. Disuasorio. Organizativo. Correctivo técnico. Preventivo técnico. ¿Qué diferencia principal hay entre controles técnicos y físicos?. Los técnicos requieren electricidad y los físicos no. Los técnicos operan a nivel lógico y los físicos en el entorno real. Los físicos son menos seguros. Los físicos se usan solo en industrias críticas. ¿Qué afirmación es errónea respecto a los controles preventivos?. Se aplican antes de que ocurra el incidente. Buscan evitar que una amenaza se materialice. Actúan de forma pasiva durante el proceso de impacto. Son compatibles con controles detectivos. ¿Cuál de los siguientes controles podría malinterpretarse como técnico, aunque no lo es?. Políticas de acceso documentadas. Antivirus. Control de cambios en sistemas. Lista de procesos autorizados. ¿Qué tipo de control corresponde a la acción de notificar automáticamente un acceso sospechoso al equipo de seguridad?. Preventivo y organizativo. Correctivo y técnico. Disuasorio y físico. Detectivo y técnico. ¿Qué error de diseño sería más grave en un control correctivo?. Activarse sin necesidad. Requiere intervención manual. No restaurar completamente el estado previo al incidente. Suponer un coste elevado. ¿Cuál de estas combinaciones de controles es la más completa ante una amenaza interna persistente?. Correctivo + físico. Preventivo técnico + organizativo detectivo. Disuasorio físico + técnico. Correctivo organizativo + preventivo físico. ¿Por qué no todos los controles pueden clasificarse de forma única?. Porque su clasificación depende del sector. Porque muchos controles pueden tener componentes mixtos o múltiples funciones. Porque no se pueden aplicar sin un estándar internacional. Porque dependen del impacto del riesgo. ¿Cuál de los siguientes controles físicos puede tener también una función disuasoria?. Cierre automático en rack. Sensor de movimiento. Interruptor de emergencia. Cámara de videovigilancia visible. ¿Qué elemento indica que un control organizativo ha sido correctamente implantado?. La compra de un sistema SIEM. La reducción del riesgo residual. La existencia de procedimientos escritos aplicados y revisados. La reacción automática del sistema. ¿Cuál de estas combinaciones representa un enfoque incompleto en la protección de accesos críticos?. Control de acceso físico sin seguimiento de actividad. Control biométrico + política de doble factor. Contraseña rotativa cada 30 días + control de logs. VPN + firewall de aplicación. El profesor enfatiza la necesidad de controles “proporcionados”. ¿Qué afirmación es coherente con este principio?. Un control puede ser débil si el riesgo es bajo. Todo control debe eliminar la amenaza. Es mejor aplicar siempre controles correctivos. Lo ideal es usar controles automáticos en todos los casos. |