TEST BORRADO, QUIZÁS LE INTERESE: EXAMEN CISSP I (expañol) Modulos I, II , III
COMENTARIOS | ESTADÍSTICAS | RÉCORDS |
---|
REALIZAR TEST
Título del Test:
EXAMEN CISSP I (expañol) Modulos I, II , III Descripción: preguntas del libro para la preparación del examen (en español) Autor:
Fecha de Creación: 05/09/2024 Categoría: Informática Número Preguntas: 120 |
COMPARTE EL TEST
COMENTAR
No hay ningún comentario sobre este test.
Temario:
¿Qué debería hacer el consultor de seguridad CISSP en el siguiente escenario para cumplir con el Código de ética de ISC2? Un consultor de seguridad CISSP está trabajando con un cliente para implementar un nuevo sistema de seguridad. Durante el proyecto, el consultor descubre que las prácticas de seguridad existentes del cliente están muy desactualizadas y no cumplen con los estándares de la industria, lo que potencialmente pone en riesgo los datos confidenciales debido a las limitaciones presupuestarias. Asesorar al cliente sobre las actualizaciones mínimas necesarias para cumplir con los estándares de cumplimiento, respetando las limitaciones presupuestarias del cliente. Insistir en implementar medidas de seguridad integrales, incluso si exceden el presupuesto del cliente, para garantizar la protección de los datos confidenciales. Informar a un organismo regulador sobre las prácticas actuales del cliente, priorizando la protección de la sociedad y el bien común. Educar al cliente sobre los riesgos y las implicaciones éticas de sus prácticas actuales y ofrecer una gama de soluciones adaptadas a su presupuesto y necesidades. La mayoría de las organizaciones tienen políticas de uso aceptable (PUA) que definen el comportamiento aceptable e inaceptable (por ejemplo, discriminación racial y religiosa, acoso sexual, nepotismo, obsequios). Si bien algunas de estas actividades pueden estar prohibidas por ley, eso puede no ser cierto para todas. ¿Qué documento definiría dicho comportamiento? Código de ética organizacional Un código de ética profesional Un código de ética personal Un código de ética global. ¿La Declaración de Ginebra es un ejemplo de cuál de los siguientes? Código de conducta Código de ética Conjunto de estándares legales Un marco global. ¿Aplicar la autenticidad a la información proporciona a una organización cuál de las siguientes? Confianza en que la información es genuina Verificación de que proviene de una fuente confiable Confianza en que es confiable Todas las anteriores. Los principios de privacidad del RGPD se extraen en términos generales de los principios delineados por la Organización para la Cooperación y el Desarrollo Económicos (OCDE). En virtud del RGPD, existen seis principios generales. ¿Cuál de los siguientes no es uno de esos principios? Autenticidad Limitación del almacenamiento Limitación de la finalidad Legalidad. El objetivo de la seguridad es: Apoyar al negocio Controlar el negocio Dictar las actividades comerciales Impulsar el negocio. ¿Cuál de las estrategias enumeradas debería elegir el CISO en el siguiente escenario? Una empresa de desarrollo de software está planeando introducir un producto basado en la nube que manejará datos confidenciales de los clientes. Los objetivos estratégicos de la empresa incluyen mantener la confianza de los clientes, fomentar la innovación, cumplir con las normas de protección de datos y garantizar un crecimiento escalable. El CISO debe desarrollar un plan de seguridad para el nuevo producto y, al mismo tiempo, cumplir con los objetivos estratégicos. El CISO debe utilizar una infraestructura de nube privada para garantizar el máximo nivel de seguridad para los datos de los clientes. El CISO debe aprovechar una solución de nube pública con controles de seguridad adicionales para equilibrar la seguridad, la rentabilidad y la escalabilidad. El CISO debe evitar las soluciones en la nube por completo y mantener los datos en las instalaciones para mantener un control directo sobre la seguridad. El CISO debe centrarse en el rápido desarrollo del producto y la entrada al mercado, abordando las preocupaciones de seguridad a medida que surjan después del lanzamiento. ¿Qué queremos decir con el término "alineación de seguridad"? Reunir recursos para cumplir con las metas y los objetivos Diseñar la seguridad para cumplir con los requisitos legales Diseñar la seguridad para cumplir con los requisitos regulatorios Todas las anteriores. ¿De dónde se deriva la gobernanza? Junta directiva C-suite Autoridades legales y regulatorias Varía según el tipo de organización. Al considerar los mecanismos necesarios para respaldar las políticas, ¿cuál actúa como información consultiva? Procedimientos Líneas base Estándares Pautas. ¿Cuál de las siguientes opciones describe MEJOR el rol y las características de una política de seguridad en el contexto de una revisión del marco de seguridad de la información? Una política de seguridad es un conjunto de instrucciones detalladas, paso a paso, diseñado para ayudar a los empleados a implementar medidas de seguridad específicas. Una política de seguridad es un plan de alto nivel que incorpora las creencias, metas y objetivos generales de la organización con respecto a la seguridad. Una política de seguridad es una especificación técnica que describe las soluciones de hardware y software específicas o utilizarse con fines de seguridad. Una política de seguridad es una recomendación flexible que sugiere las mejores prácticas de seguridad, pero no exige acciones específicas. Las agencias gubernamentales de los EE. UU. y muchos de sus contratistas utilizan el Marco de gestión de riesgos (RMF) del NIST como el estándar contra el cual se realizarán las auditorías y las evaluaciones de control. ¿Qué publicación especial (SP) del NIST detalla el RMF? 800-171 800-53 800-37 Ninguna de las anteriores. ¿Cuál de las siguientes regulaciones NO está relacionada con las instituciones financieras? GLBA HIPAA PCI DSS SOX. ¿Cuál de las siguientes opciones describe MEJOR la norma ISO/IEC 27001? Una norma internacional que proporciona pautas para establecer, implementar y gestionar un sistema de gestión de seguridad de la información Una norma internacional para la gestión de riesgos Una colección de cientos de controles y mecanismos de control con orientación personalizada sobre la implementación Una norma internacional que proporciona orientación sobre cómo proteger los datos personales (PII) en la nube. ¿Cuál de estas acciones debería priorizar el CISO en el siguiente escenario para garantizar el cumplimiento de PCI-DSS? Un minorista en línea de tamaño mediano procesa un volumen significativo de transacciones con tarjetas de crédito mensualmente. La empresa actualizó recientemente su infraestructura de TI para mejorar la seguridad y el cumplimiento. Como parte de esta actualización, la empresa implementó nuevos sistemas para almacenar, procesar y transmitir datos de titulares de tarjetas. El CISO quiere asegurarse de que la empresa cumple totalmente con los requisitos de PCI-DSS. Realizar análisis de vulnerabilidades y pruebas de penetración regulares en la red. Implementar el cifrado de datos para todos los datos almacenados de los titulares de tarjetas Proporcionar capacitación sobre concientización sobre seguridad a todos los empleados que manejan datos de los titulares de tarjetas. Actualizar periódicamente la política de privacidad de la empresa en su sitio web. ¿Cuál es el PRIMER paso del contratista para garantizar el cumplimiento y la implementación efectiva de los controles de seguridad recomendados en el siguiente escenario? Un contratista federal especializado en análisis de datos necesita alinear sus controles de seguridad con NIST SP 800-53 como parte de los requisitos de su contrato con una agencia del gobierno de EE. UU. Adquirir e instalar software de cifrado de última generación en todos sus sistemas para mejorar la confidencialidad de los datos. Realizar un análisis de brechas para identificar el estado actual de sus controles de seguridad en comparación con los recomendados en NIST SP 800-53. Implementar herramientas de monitoreo continuo para garantizar que todos los sistemas sean monitoreados de manera constante para detectar posibles amenazas de seguridad. Brindar capacitación integral a todos los empleados sobre la importancia de las regulaciones federales y los requisitos de cumplimiento. ¿Cuáles son las acciones prudentes? Acciones prescritas por la gerencia Acciones prescritas por políticas Acciones tomadas por personas con antecedentes similares Acciones tomadas después de una cuidadosa consideración. El alcance del delito cibernético puede incluir todos los siguientes, excepto... Información Sistemas de información Tecnología de la información Todas las anteriores. La propiedad intelectual (PI) se refiere a las creaciones intangibles de la creatividad humana. De los cuatro tipos de protección de la PI, ¿cuál proporciona la protección más débil, donde se supone la existencia del mecanismo de protección? Patente Derechos de autor Marca registrada Secreto comercial. El Comité Olímpico Internacional (COI) tiene un símbolo de cinco anillos. ¿Cómo se protege este símbolo? Es una marca registrada. Tiene derechos de autor. Es un secreto comercial. Es una patente. ¿Qué debería hacer la organización en el siguiente escenario para utilizar legalmente el logotipo de ISC2 en sus materiales promocionales para el curso de preparación para el CISSP? Una organización especializada en capacitación en ciberseguridad planea ofrecer un nuevo curso enfocado en preparar a los estudiantes para el examen Certified Information Systems Security Professional (CISSP), que administra ISC2. El equipo de marketing de la organización desea utilizar el logotipo de ISC2 en sus materiales promocionales para atraer a posibles estudiantes resaltando la alineación del curso con la certificación CISSP. Utilizar el logotipo de ISC2 libremente, ya que se utilizará en un contexto educativo. Modificar ligeramente el logotipo de ISC2 para su uso en sus materiales a fin de evitar infracciones directas. Obtener permiso por escrito de ISC2 para utilizar su logotipo de acuerdo con sus pautas de uso de marca registrada. Utilizar una exención de responsabilidad que indique que la organización no está afiliada a ISC2 pero simplemente ofrece un curso para prepararse para el examen CISSP. A partir de 2024, ¿cuántos países son miembros del Consejo Económico de Asia y el Pacífico (APEC)? Cuatro Once Veintiuno Veintidós. ¿En qué año Chile (miembro de APEC) introdujo un cambio constitucional que declaró la privacidad de datos como un derecho humano? 2016 2018 2019 2020. ¿Cuál de estas acciones debería ser el enfoque PRINCIPAL del DPO en el siguiente escenario? Una empresa de desarrollo de software se especializa en el desarrollo de aplicaciones móviles. Una de sus aplicaciones más populares es una aplicación de seguimiento de la salud que utilizan personas de todo el mundo, incluso en la Unión Europea (UE). La aplicación recopila datos como la actividad física, los hábitos alimentarios y la ubicación de los usuarios. La dirección de la empresa de desarrollo de software conoce el Reglamento General de Protección de Datos (RGPD), pero aún no ha tomado medidas específicas para garantizar su cumplimiento. El nuevo responsable de Protección de Datos (OPD) tiene la tarea de guiar a la empresa hacia el cumplimiento del RGPD. Implementar un mecanismo para obtener el consentimiento explícito de los usuarios de la UE para la recopilación y el procesamiento de sus datos personales Restringir la disponibilidad de la aplicación en el mercado de la UE para evitar los requisitos de cumplimiento del RGPD Respuesta incorrecta: Limita el alcance de mercado de la empresa y no aborda el cumplimiento. Garantizar que las prácticas de recopilación de datos de la aplicación cumplan con las leyes de protección de datos de la India Establecer una oficina física en uno de los estados miembros de la UE para abordar mejor el cumplimiento del RGPD. ¿Qué acciones debería priorizar el director de Cumplimiento para garantizar el cumplimiento de los principios de privacidad del Reglamento General de Protección de Datos (RGPD) en el siguiente escenario? Una empresa minorista en línea planea expandir sus operaciones a la Unión Europea (UE). Como parte de esta expansión, la empresa recopilará y procesará datos personales de ciudadanos de la UE. El director de Cumplimiento tiene la tarea de garantizar que las prácticas de manejo de datos de la empresa cumplan con los principios de privacidad del RGPD. Las actividades de procesamiento de datos de la empresa deben revisarse y ajustarse para alinearse con los requisitos del RGPD, como la minimización de datos, el consentimiento, el derecho de acceso y la portabilidad de datos. Recopilar la mayor cantidad posible de datos de los clientes para personalizar la experiencia de compra, basándose en el consentimiento implícito obtenido a través de la interacción del usuario. Implementar controles de acceso estrictos, cifrar todos los datos de los clientes y recopilar solo los datos necesarios para los fines específicos para los que se dio el consentimiento. Centrarse exclusivamente en proteger los datos de los clientes contra infracciones y ciberataques, ya que la seguridad es la principal preocupación del RGPD. Utilizar los datos de los clientes libremente con fines de marketing siempre que la empresa proporcione una opción para que los clientes opten por no hacerlo en una etapa posterior. ¿Cuál de los siguientes fue el control más reciente que se diseñó para proteger el intercambio de datos personales entre los Estados Unidos y la Unión Europea? Puerto seguro Escudo de privacidad Contratos individuales Reglamento general de protección de datos (RGPD). El derecho al borrado se convirtió en ley de la UE en 2018 como parte de la legislación del Reglamento general de protección de datos (RGPD). Cuando se realiza una solicitud de olvido, ¿el interesado debe especificar un motivo? Sí, siempre. Sí, a veces, pero depende de la organización. No. El derecho de supresión no forma parte del RGPD. ) ¿Cuál de estas acciones es la MAYOR prioridad en el siguiente escenario? Una empresa tecnológica emergente con sede en los Estados Unidos (EE. UU.) se especializa en análisis de datos y servicios de computación en la nube. Recientemente ha ampliado su negocio para prestar servicios a clientes en la Unión Europea (UE). La empresa tecnológica emergente procesa y almacena grandes volúmenes de datos personales, incluidos datos transferidos desde la UE a servidores ubicados en los EE. UU. El Director de Cumplimiento debe alinear la empresa con el Marco de Privacidad de Datos UE-EE. UU. y garantizar transferencias de datos transatlánticas que cumplan con las normas. Cifrar todos los datos almacenados en servidores en EE. UU. para evitar el acceso no autorizado Celebrar cláusulas contractuales estándar (SCC) con cada cliente de la UE para la transferencia de datos Certificar a la empresa según el Marco de privacidad de datos UE-EE. UU. para legitimar las transferencias de datos Restringir la ubicación física de los servidores a la UE para evitar la transferencia internacional de datos. ¿Cuál de los siguientes es un ejemplo de marcos de privacidad? RGPD PMF OCDE Todas las anteriores. ¿Qué se entiende por portabilidad de datos? Describe cómo se mueven los datos dentro de una red corporativa. Describe cómo se mueven los datos entre corporaciones. Describe cómo se mueven los datos en Internet. Describe los derechos de un titular de datos a mover datos personales de un controlador de datos a otro. ¿Qué enmienda de la ley estadounidense brinda protección contra registros e incautaciones irrazonables? Primera Tercera Cuarta Sexta. ¿La Cuarta Enmienda garantiza protección contra todos los registros e incautaciones? Sí No No si hay una orden de allanamiento vigente Solo irrazonable. ¿Qué enmienda constitucional de los EE. UU. es MÁS relevante para determinar si la evidencia en el siguiente escenario se puede utilizar en la corte? Un oficial de policía veterano recibe un aviso anónimo sobre presuntas actividades ilegales en una casa suburbana. Sin verificar la credibilidad del aviso ni obtener una orden judicial, el oficial decide registrar la casa. Durante el registro, el oficial encuentra evidencia que sugiere actividades ilegales. El propietario es arrestado en base a la evidencia encontrada durante el registro. El abogado del propietario argumenta que la evidencia debería excluirse del juicio porque el registro violó los derechos constitucionales del propietario. La 1.ª Enmienda, que se centra en si se violó la libertad de expresión del propietario La 4.ª Enmienda, que se centra en si el registro fue razonable y si se obtuvo una orden judicial adecuada La 5.ª Enmienda, que se centra en si el propietario se vio obligado a autoincriminarse La 6.ª Enmienda, que se centra en el derecho del propietario a un juicio justo. ¿Cuál de los siguientes no es uno de los cuatro tipos principales de investigaciones forenses? Administrativo Civil Cumplimiento Penal. ¿Qué marco de ciberseguridad certificable proporciona a las organizaciones sanitarias un mecanismo para demostrar que se está cumpliendo con las normas de manera constante? RMF HITRUST CSF STAR ISO/IEC 27xxx. Después de una serie de escándalos dramáticos y graves en el sector de la industria financiera en la década de 1980, ¿cuál de las siguientes fue creada para sugerir pautas y prácticas para abordar las irregularidades y el fraude en los informes financieros? ISO/IEC 31000 ISACA RISK IT COSO NIST SP 800-37. ¿Cuál de las siguientes es la condición previa de un sistema, lugar de trabajo o entorno que podría conducir a un evento? Vulnerabilidad Riesgo Peligro Amenaza. En términos comerciales, algo está en riesgo si existen circunstancias fuera del control o la influencia de la organización que podrían causar que ese elemento en riesgo se pierda. El riesgo se puede calcular desde cuatro perspectivas básicas. ¿Cuál de las siguientes no es una de ellas? Basado en la amenaza Basado en los ingresos Basado en la vulnerabilidad Basado en los activos. ¿Cuál es una medida del tiempo de la probabilidad de ocurrencia de un evento de riesgo? Un factor de exposición Una ventana de exposición Una ventana de riesgo Un factor de riesgo. Cuando una organización cree que sus productos o servicios y su forma de hacer negocios son únicos y que ninguna otra experiencia en la industria o el mercado puede compararse, ¿qué tipo de evaluación de riesgos se utiliza comúnmente para medir los riesgos como se describe? Cualitativa Cuantitativa Cualquiera de los dos Ambos. Se le ha encomendado realizar una evaluación de riesgos utilizando el modelo de "expectativa de pérdida" en las computadoras portátiles de la organización, ya que parece haber una alta tasa de fallas. Utilice la fórmula ALE (expectativa de pérdida anual) = SLE (expectativa de pérdida única) x ARO (tasa anual de ocurrencia), donde la SLE se calcula multiplicando el AV (valor del activo) por el EF (factor de exposición). AV: $1250,00 EF: 33 % (el costo de reemplazar la CPU) ARO: desgaste de la CPU cada 9 meses Su proveedor de computadoras portátiles ofrece un contrato de soporte y mantenimiento por $600 por año, por computadora portátil, que incluye piezas y mano de obra. Calcule la ALE. ¿El contrato de soporte es rentable? Dado el ALE y suponiendo una falla única: sí, lo es. Dado el ALE y suponiendo una falla única: no, no lo es. Dado el ALE y suponiendo múltiples fallas: sí, lo es. Dado el ALE y suponiendo múltiples fallas: no, no lo es. ¿Qué término debería utilizar el equipo para referirse al período de tiempo descrito en el siguiente escenario? Una gran empresa minorista se está preparando para una próximas elecciones nacionales, durante las cuales planean apoyar públicamente una causa política particular. El equipo de gestión de riesgos de la empresa es consciente de que esta postura pública puede aumentar la probabilidad de ciertos riesgos, como ataques de ciberseguridad o protestas contra sus tiendas físicas. Para gestionar eficazmente estos riesgos, el equipo decide analizar el período de tiempo durante el cual aumenta la probabilidad de estos eventos de riesgo. Un factor de exposición Una ventana de exposición Una ventana de riesgo Un factor de riesgo. ¿Qué tipo de evaluación de riesgos debería emplear el equipo en el siguiente escenario? Una empresa de desarrollo de software ha lanzado recientemente un producto innovador que cree que no tiene paralelo en el mercado. Para gestionar eficazmente los riesgos potenciales asociados con su nuevo producto, el equipo de gestión de riesgos de la empresa decide evaluar los riesgos de la manera que mejor se adapte a su modelo de negocio único y a sus ofertas de productos. Dada la creencia de la empresa en la singularidad de su producto y la falta de datos de mercado comparables, el equipo debe realizar el tipo correcto de evaluación de riesgos para medir los riesgos asociados con su producto innovador. Cualitativo Cuantitativo Cualquiera de los dos Ambos. ¿Qué forma de control de seguridad incluiría políticas y procedimientos? Administrativo Lógico Técnico Físico. ¿Qué categoría de control de seguridad está diseñada para funcionar cuando falla un control primario? Directivo Correctivo Recuperación Compensatorio. ¿Qué tipo de control de seguridad está PRINCIPALMENTE involucrado en la implementación de nuevas políticas y procedimientos para el manejo de datos confidenciales de clientes? Administrativo Lógico Técnico Físico. ¿Qué proceso de gestión técnica de ingeniería de seguridad recopila, analiza e informa datos relacionados con la seguridad? Planificación de proyectos Toma de decisiones Gestión de riesgos Medición. ¿Cuántos pasos tiene el marco de ciberseguridad (CSF) del NIST? Tres Cuatro Cinco Seis. ¿Cuál de los siguientes es necesario al utilizar el Marco de ciberseguridad (CSF) del NIST para mejorar la postura de ciberseguridad? Implementación de todos los pasos en el orden prescrito Implementación de solo algunos de los pasos pero en un orden prescrito Interpretación reflexiva para seleccionar cuáles de las acciones se tomarán, pero esas acciones se pueden tomar en cualquier orden deseado Interpretación reflexiva para seleccionar cuáles de las acciones se tomarán y un enfoque lógico para determinar en qué orden se deben tomar las acciones. ¿Cuál de las siguientes NO es una metodología utilizada en el modelado de amenazas? OCTAVE TRIKE STRIDE Threat-X. Debido a que es imperativo que la organización aplique las mismas metodologías de gestión de riesgos a la cadena de suministro que la organización aplica a sus propias operaciones internas, ¿cuál de las siguientes operaciones debería aplicar la organización? Revisiones de gobernanza Inspecciones del sitio Auditorías de seguridad formales Todas las anteriores. Las fallas en la cadena de suministro pueden devastar las operaciones de cualquier organización. ¿Cuál es el proceso impulsor necesario para garantizar una cadena de suministro segura y protegida? Identifique a sus proveedores. Identifique las ubicaciones de sus proveedores. Identifique los riesgos. Identifique la necesidad. ¿A qué tipo de riesgos debería estar especialmente atenta la empresa en el siguiente escenario? Una empresa de desarrollo de software está en proceso de mejorar sus protocolos de seguridad de productos. Como parte de esta iniciativa, la empresa decide implementar una Lista de materiales de software (SBOM) para todos sus productos. Riesgos financieros Riesgos de compatibilidad Vulnerabilidades de seguridad Riesgos operativos. ¿Cuál es la diferencia clave entre capacitación y concientización? La capacitación se centra en guiar el comportamiento y la concientización se centra en desarrollar la competencia. La capacitación se centra en desarrollar la competencia y la concientización se centra en guiar el comportamiento. La capacitación está dirigida a todos, mientras que la concientización está dirigida solo a unos pocos seleccionados. La concientización está dirigida a todos, mientras que la capacitación está dirigida solo a unos pocos seleccionados. ¿Cuáles son las ventajas clave que el banco puede esperar en el siguiente escenario? Un banco regional planea mejorar su postura de ciberseguridad en respuesta al crecimiento amenaza de ciberataques, en particular estafas de phishing. El equipo de seguridad de TI propone realizar campañas de phishing controladas como medida proactiva. Identificar sistemas vulnerables Mejorar la concienciación y preparación de los empleados Mejorar la estabilidad financiera Agilizar los procesos de TI. ¿Cuál de las siguientes actividades MEJOR garantiza que el equipo de ciberseguridad de una empresa multinacional que evalúa la eficacia del programa de Educación, capacitación y concientización sobre seguridad (SETA) de su empresa se mantenga actualizado con el entorno de seguridad que cambia rápidamente y mantenga las habilidades necesarias para gestionar nuevas tecnologías y amenazas? Actualizar periódicamente la infraestructura de TI y los sistemas de seguridad de la empresa Exigir la finalización anual de un conjunto específico de cursos de ciberseguridad en línea Implementar un programa dinámico que incluya oportunidades de aprendizaje variadas y continuas Centrarse principalmente en modelos educativos tradicionales, como programas de grado universitario en ciberseguridad. ¿Cuál de las siguientes actividades MEJOR garantiza que el equipo de ciberseguridad de una empresa multinacional que evalúa la eficacia del programa de Educación, capacitación y concientización sobre seguridad (SETA) de su empresa se mantenga actualizado con el entorno de seguridad que cambia rápidamente y mantenga las habilidades necesarias para gestionar nuevas tecnologías y amenazas? Actualizar periódicamente la infraestructura de TI y los sistemas de seguridad de la empresa Exigir la finalización anual de un conjunto específico de cursos de ciberseguridad en línea Implementar un programa dinámico que incluya oportunidades de aprendizaje variadas y continuas Centrarse principalmente en modelos educativos tradicionales, como programas de grado universitario en ciberseguridad. ¿Cuál de las siguientes opciones aborda la capacidad de una organización para utilizar su propia información de manera confiable y segura, sabiendo que está libre de interferencias de terceros? Clasificación de la información Gestión de la información Categorización de la información Propiedad de la información. ¿Cuál es el propósito del marcado y etiquetado en el contexto de la gestión de la seguridad de los activos? El marcado es la identificación externa de los activos, mientras que el etiquetado implica la incorporación de atributos de seguridad en las estructuras de datos internas. El marcado implica educar a los empleados sobre el manejo adecuado de la información, mientras que el etiquetado es el proceso de eliminación segura de datos confidenciales. El marcado es el proceso de destrucción física de los medios de almacenamiento, mientras que el etiquetado es la comunicación externa de la clasificación asignada a un activo. El marcado y el etiquetado son términos sinónimos que se refieren a la colocación de información relevante en activos físicos, como documentos en papel o discos duros. ¿Qué tipo de activo es la seguridad de redes y sistemas? Hardware Software Información Firmware. ¿Cómo se clasifica una base de datos de clientes (en términos de clasificación de activos)? Hardware, ya que implica servidores físicos donde se almacena la base de datos Software, ya que incluye el sistema de gestión de bases de datos utilizado para gestionar los datos de los clientes Información, ya que representa un conjunto intangible de datos que contienen detalles de los clientes Firmware, ya que es parte integral del funcionamiento del hardware donde se aloja la base de datos. ¿Cuál de los siguientes es el MEJOR ejemplo de un activo intangible? Un vehículo de la empresa La reputación de la marca Un edificio de oficinas Un equipo de fabricación. ¿Cuál de los siguientes activos no se considera tradicionalmente tangible? Un enrutador Oficinas corporativas Software Una computadora portátil. En la gestión de activos de TI, ¿cuál es probablemente el primer paso? Definir qué es un activo Asignar un valor Asignar una clasificación Asignar un propietario. ¿Cuál es el conjunto correcto de fases o actividades en las fases del ciclo de vida de la gestión de activos de TI? Crear, usar, compartir, almacenar, archivar, destruir Categorizar, administrar, alinear, identificar, retirar Crear, leer, actualizar, eliminar, archivar Planificar, identificar, alinear, decidir administrar, asignar necesidades de seguridad, adquirir, implementar, administrar, retirar. ¿Quién es responsable del contenido de los datos, el contexto y las reglas comerciales asociadas? El propietario de los datos El controlador de datos El custodio de los datos El administrador de datos. ¿Qué acción distingue el rol de procesador de datos de otros roles de administración de datos? Procesamiento de datos basado en controles adecuados Determinación del valor de los datos y políticas de acceso Responsabilidad por el contenido de los datos, el contexto y las reglas de negocios Responsabilidad por la protección de los datos mientras están bajo custodia. Existen seis conjuntos principales de actividades que se aplican a lo largo del ciclo de vida de la seguridad de los datos. ¿Cuál de los siguientes no es un paso? Creación Asignación Uso compartido Archivado. ¿Cuál es el propósito PRINCIPAL de crear un plan para purgar datos en una estrategia de retención de datos? Automatizar la retención de datos sin tener en cuenta las limitaciones de tiempo Priorizar las medidas de seguridad de datos sobre las políticas de retención Identificar los datos que necesitan retención y protegerlos indefinidamente Determinar el curso de acción cuando expire el tiempo de retención. ¿Cuál de estos enfoques se alinea MEJOR con las prácticas adecuadas de retención de datos y el cumplimiento normativo en el siguiente escenario? Un analista de seguridad de la información en una firma consultora internacional maneja una amplia gama de datos confidenciales de clientes, incluidos registros financieros, documentos legales e información personal. La firma ha revisado recientemente su política de retención de datos para alinearla con los estándares, leyes y regulaciones de la industria. Conservar todos los datos de los clientes de forma indefinida para garantizar que no se pierda información potencialmente útil Aplicar el período de retención más largo conocido para todos los tipos de datos de la organización, independientemente de la naturaleza de los datos Documentar un programa de registros que especifique el período de retención para cada tipo de información y garantizar que todos los departamentos cumplan con este programa sin exceder estos períodos Eliminar todos los registros de los clientes después de una única revisión estándar. ¿Cuál de las siguientes opciones debe considerarse una fuente de remanencia de datos? Registros de la unidad central de procesamiento (CPU) Memoria de acceso aleatorio (RAM) Unidades de estado sólido (SSD) Todas las anteriores. ¿Cuál de estas acciones es MÁS eficaz en el siguiente escenario? El responsable de seguridad de la información de un bufete de abogados maneja regularmente información confidencial de los clientes, incluidos documentos legales, datos personales y estrategias de casos confidenciales. En el contexto de las prácticas de seguridad de datos del bufete de abogados, el responsable de seguridad de la información debe mitigar los riesgos asociados con la remanencia de datos. Actualizar regularmente el software antivirus en todas las computadoras de la empresa Implementar una política para el cambio frecuente de las contraseñas de los usuarios Utilizar técnicas de borrado de datos que sobrescriban los medios de almacenamiento varias veces Restringir el acceso a datos confidenciales en función de los roles y privilegios de los usuarios. ¿Qué forma de destrucción de datos reduce las posibilidades de recuperación de la remanencia de datos? Borrado Purga Formateo Destrucción. ¿Durante cuánto tiempo se pueden conservar los registros financieros? Durante el tiempo que la organización desee conservarlos. El período de retención debe ser el más largo de todas las políticas organizacionales. No hay un período preestablecido. El período de retención está definido por la jurisdicción y (o) los requisitos regulatorios. Si la legislación establece un período de retención de cinco años (por ejemplo, un registro fiscal), ¿se puede ignorar ese período de retención? Sí No Sí, en circunstancias predefinidas. Sí, pero solo si la empresa puede justificar la necesidad. ¿Cuál de los siguientes no es un ejemplo de datos en reposo? Datos almacenados en un disco duro Datos almacenados en la nube Datos que se muestran en una pantalla en modo de solo lectura Datos almacenados en una red de área de almacenamiento (SAN). Todos los siguientes son ejemplos de estados de datos, ¿excepto cuál? Datos en transición Datos en reposo Datos en movimiento Datos en nosotros. ¿Una línea base que requiere el uso de contraseñas seguras, cifrado seguro, marcas de agua y monitoreo en tiempo real sería un ejemplo de qué nivel de clasificación? Bajo Medio Moderado Alto. ¿Cuál de los siguientes es un ejemplo de catálogos de línea base de terceros que pueden guiar a las organizaciones en la producción de sus requisitos de línea base? Organizaciones de estándares internacionales y nacionales Estándares o recomendaciones del sector industrial Otras empresas, preferiblemente con objetivos comerciales similares y de tamaño comparable Todas las anteriores. ¿Se considera seguro el correo electrónico por sí solo? Sí No Tal vez Depende del proveedor de correo electrónico. En términos generales, ¿quién o qué proporciona el cifrado de enlaces? Usuarios Determinado software Proveedores de servicios La organización. ¿Qué forma de cifrado utiliza una red privada virtual (VPN) para proteger los datos en transmisión? Simétrico Asimétrico Enlace De extremo a extremo. ¿Cuál de estas afirmaciones describe con precisión un aspecto del cifrado de enlaces y su posible impacto en la seguridad de los datos en el siguiente escenario? Un especialista en seguridad de redes de una corporación internacional transmite con frecuencia datos corporativos confidenciales a través de varias ubicaciones globales. Dada la naturaleza de los datos y las diversas rutas de transmisión, la empresa está explorando métodos de cifrado mejorados para proteger sus datos en tránsito. La corporación está evaluando el uso de cifrado de enlace para sus comunicaciones de datos a través de enlaces satelitales, circuitos telefónicos y líneas T-1. El cifrado de enlace cifra únicamente el contenido del paquete de datos, dejando la información de enrutamiento sin cifrar, lo que la hace susceptible a ataques de análisis de tráfico Con el cifrado de enlace, el paquete de datos, incluida la información de enrutamiento, se cifra en la fuente y permanece cifrado hasta que llega al destino final, sin descifrado en puntos intermedios El cifrado de enlace cifra tanto los datos como la información de enrutamiento en el paquete, lo que requiere descifrado y reencriptación en cada nodo de la ruta de comunicación, lo que potencialmente expone los datos en estos puntos. El cifrado de enlace es menos eficaz para proporcionar confidencialidad del tráfico en comparación con el cifrado final. Encriptación de extremo a extremo, ya que no oculta la información de direccionamiento a posibles observadores. ¿Qué forma de encriptación utiliza normalmente una red privada virtual (VPN) para proteger los datos en transmisión, asegurando la confidencialidad e integridad de los datos desde el remitente hasta el receptor? Encriptación simétrica, donde se utiliza la misma clave tanto para encriptar como para desencriptar los datos Encriptación asimétrica, donde se utilizan dos claves diferentes, una para encriptar y otra para desencriptar Encriptación de enlace, que es aplicada por los proveedores de servicios a lo largo de la ruta de comunicación Encriptación de extremo a extremo, donde los datos son encriptados al inicio de la transmisión por el remitente y son desencriptados por el receptor. ¿Cómo se denomina a la concesión a los usuarios de solo los permisos necesarios para llevar a cabo una o más tareas? Necesidad de saber Separación de funciones Defensa en profundidad Privilegios mínimos. El modelo original de defensa en profundidad definía todas las siguientes como una capa de defensa, excepto ¿cuál? Datos Software Aplicación Host. Un modelo de seguridad incluye un conjunto de reglas que pueden restringir dinámicamente el acceso a la información en función de la información a la que un sujeto ya ha accedido para evitar cualquier posible conflicto de intereses. ¿Cómo se llama este modelo? Biba Brewer y Nash Graham-Denning Harrison, Ruzzo, Ullman (HRU). ¿Qué modelo de seguridad fundamental se compone de un conjunto de derechos genéricos y un conjunto finito de comandos? Bell-LaPadula (BLP) Clark-Wilson Brewer-Nash Harrison, Ruzzo, Ullman. ¿Qué proceso técnico de ingeniería de seguridad proporciona datos e información del sistema relacionados con la seguridad? Análisis de negocios y misión Proceso de definición y requisitos del sistema Proceso de definición del diseño Proceso de análisis del sistema. ¿Qué proceso habilitador de ingeniería de seguridad define los requisitos de seguridad utilizados para evaluar las calificaciones, la selección y la capacitación continua del personal? Gestión de cartera Gestión de recursos humanos (HRM) Gestión de calidad Gestión del conocimiento. ¿Qué modelo de seguridad se centra en el movimiento de información a través de un sistema? Modelo de máquina de estados Modelo de flujo de información Modelo de no interferencia Modelo de anillo. El principio de Kerckhoff afirma que un sistema criptográfico seguirá siendo seguro incluso si todo sobre él es de conocimiento público, excepto ¿cuál de los siguientes? El algoritmo El proceso La clave Si todo se conoce, entonces el sistema no puede ser seguro. Los sistemas de control industrial (ICS) se utilizan para supervisar y controlar la maquinaria en fábricas, refinerías, sistemas de transporte y muchos otros entornos similares. ¿Cuál de los siguientes componentes son controladores reforzados que utilizan componentes especializados para proporcionar control en tiempo real? Controladores lógicos programables (PLC) Control de supervisión y adquisición de datos (SCADA) Sistemas de control distribuido (DCS) Ninguno de los anteriores. ¿Qué tipo de componente del sistema de control industrial debería seleccionar el equipo de ingeniería en el siguiente escenario? Un equipo de ingeniería de una empresa especializada en energía renovable está trabajando en un nuevo proyecto de parque eólico. El equipo está considerando varios componentes del sistema de control industrial para gestionar las turbinas de manera eficaz. Buscan una solución que ofrezca un control robusto en tiempo real y que pueda soportar los desafíos ambientales presentes en las turbinas eólicas y los parques eólicos. Controlador lógico programable (PLC) Control supervisorio y adquisición de datos (SCADA) Sistema de control distribuido (DCS) Unidad terminal remota (RTU). Los conceptos de Plataforma como servicio (PaaS) e Infraestructura como servicio (IaaS) pueden resultar familiares, pero se han ampliado para incluir los de la siguiente lista de posibles opciones de respuesta. Todos los siguientes se definen en ISO/IEC 17788, excepto ¿cuál? Comunicación como servicio (CaaS) Computación como servicio (CompaaS) Red como servicio (NaaS) Almacenamiento de datos como servicio (DSaaS). ¿Qué se entiende por el término sistemas integrados? Significa tecnología informática integrada directamente en un dispositivo. Significa tecnología informática incorporada en un teléfono celular. Significa tecnología informática incorporada en una tableta. Todas las computadoras son ejemplos de sistemas integrados. ¿Cuál de las siguientes es la variable de entrada dentro de un algoritmo criptográfico? Una clave Un algoritmo El espacio de claves Un proceso de cifrado. ¿Qué sistema de cifrado, inventado en 1882 por Frank Miller, es irrompible? La libreta de un solo uso El cifrado Scytale El cifrado ROT13 El cifrado Vigenère. Los algoritmos asimétricos se conocen como funciones de trampilla. ¿Qué es una función de trampilla? Una debilidad potencial Un cálculo que es fácil de realizar en una dirección, pero inviable de realizar en el orden inverso Un cálculo que es fácil de realizar en dos direcciones Un cálculo que proporciona un mecanismo que permite a un desarrollador obtener acceso al algoritmo para mantenimiento. Cuando se utiliza criptografía de curva elíptica (ECC), ¿qué tamaño de clave ha sido certificado como aceptable para su uso con mensajes de alto secreto y requeriría un tamaño de clave RSA de 7680 bits para lograr el mismo nivel de protección? 256 bits 384 bits 400 bits 560 bits. ¿Qué práctica criptográfica cubre el acto de ocultar algo dentro de otra cosa? Cartografía Esteganografía Criptología Criptografía. ¿Los logaritmos discretos en un campo finito son ejemplos de cuál de los siguientes? Tipo de algoritmo Procesos de cifrado Funciones de puerta trasera. Procesos utilizados para intentar vencer los sistemas de cifrado. ¿Qué tecnología de cifrado debería utilizar una plataforma de banca en línea para garantizar transacciones seguras basadas en la web, manteniendo la confidencialidad e integridad de los datos financieros durante la transmisión? Cifrado de clave simétrica Firmas digitales Cifrado de seguridad de la capa de transporte (TLS) Cifrado de libreta de un solo uso. ¿Qué tipo de característica está considerando incorporar el equipo de desarrollo en el siguiente escenario? Una empresa de software de ciberseguridad está desarrollando un nuevo algoritmo de cifrado destinado a comunicaciones altamente confidenciales. El equipo de desarrollo está considerando incorporar una función que permitiría a personas autorizadas descifrar mensajes sin la clave de descifrado habitual en circunstancias específicas y estrictamente controladas, como una orden judicial. Esta función debería ser indetectable para cualquier persona que analice el algoritmo de cifrado y debería ser accesible solo en condiciones predefinidas. Un sistema de clave simétrica Una función de trampilla Un algoritmo de hash Una infraestructura de clave pública (PKI). ¿Qué técnica es la MEJOR para que utilice el espía en el siguiente escenario para comunicarse de forma encubierta sin despertar sospechas? Un espía trabaja en un entorno de alta seguridad donde los métodos de comunicación digital tradicionales están muy controlados y los mensajes cifrados se marcan y descifran inmediatamente mediante medidas de ciberseguridad avanzadas. Para comunicarse de forma segura con la sede central sin levantar sospechas, el espía necesita un método para ocultar los mensajes a simple vista. Criptografía de clave pública Esteganografía Red privada virtual (VPN) Estándar de cifrado avanzado (AES). ¿Qué concepto matemático está considerando el equipo de ingeniería para el mecanismo de intercambio seguro de claves en el siguiente escenario? Una empresa de desarrollo de software está diseñando una plataforma de mensajería segura para clientes corporativos. Una característica principal de esta plataforma es el intercambio seguro de claves de cifrado para conversaciones privadas. El equipo de ingeniería está considerando utilizar un enfoque matemático que permita un cálculo sencillo de claves en una dirección, pero el cálculo inverso, sin conocimientos específicos, es computacionalmente difícil. Funciones hash Criptografía de curva elíptica Funciones de puerta trasera Algoritmos de cifrado simétrico. ¿Cuál de estas operaciones criptográficas es normalmente la más rápida para procesar la entrada de texto sin formato? Cifrado asimétrico con RSA y una clave de 2048 bits Cifrado simétrico con una clave de 128 bits Hashing del mensaje con SHA-3 Cifrado asimétrico con ECC y una clave de 512 bits. ¿Cuál de las siguientes acciones es la MÁS eficaz en el siguiente escenario? Recientemente, se descubrió que un usuario no autorizado obtuvo acceso a la red inalámbrica de una corporación de tamaño mediano. La investigación preliminar reveló que la red inalámbrica estaba utilizando un protocolo criptográfico obsoleto y débil para la seguridad. El responsable de ciberseguridad de la organización debe mejorar la seguridad de la red inalámbrica y evitar futuros accesos no autorizados. Actualizar la red inalámbrica para utilizar un protocolo criptográfico más fuerte, como WPA3. Aumentar la intensidad de la señal de la red inalámbrica para garantizar una conexión más sólida y segura. Implementar un nuevo conjunto de contraseñas complejas para acceder a la red inalámbrica. Restringir el alcance de la red inalámbrica para limitar el acceso a un área física más pequeña. ¿Qué algoritmo de cifrado se utilizó en el Protocolo de equivalencia por cable (WEP)? RC4 RC5 RFC6 Twofish. ¿Qué clave se debe utilizar en una operación PKI al transmitir un mensaje? Se debe utilizar la clave pública del remitente. Se debe utilizar la clave privada del remitente. Se debe utilizar la clave pública del destinatario. Se debe utilizar la clave privada del destinatario. ¿Qué función cumple la autoridad de registro (RA) en una infraestructura de clave pública (PKI)? Crea y firma un certificado. Realiza un seguimiento de las revocaciones de certificados. Valida la información de identificación proporcionada por el solicitante de un certificado. Se utiliza para recopilar la información para su inclusión en el certificado. ¿Qué sistema criptográfico asimétrico proporciona confidencialidad y no repudio? Rivest-Shamir-Adleman (RSA) Diffie-Hellman Blowfish Advanced Encryption Standard (AES). ¿Qué es HAVAL? Un verificador de integridad de mensajes que produce una salida de 128 bits Un verificador de integridad de mensajes que produce una salida de 160 bits Un verificador de integridad de mensajes que produce una salida de longitud variable Un algoritmo de cifrado simétrico . ¿Cuál de las siguientes opciones describe MEJOR una firma digital? Un mensaje de texto simple cifrado simétrico, cifrado adicionalmente con la clave privada del remitente Un mensaje de texto simple cifrado simétrico, cifrado adicionalmente con la clave pública del destinatario Un resumen en hash de un mensaje de texto simple, cifrado adicionalmente con la clave pública del destinatario Un resumen en hash de un mensaje de texto simple, cifrado adicionalmente con la clave privada del remitente. ¿Cuál de los siguientes métodos criptográficos es MÁS eficaz para un consultor de ciberseguridad que tiene la tarea de asesorar a una empresa de tecnología sobre el mejor método criptográfico para garantizar que los mensajes enviados a través de una aplicación mantengan su integridad desde el remitente hasta el receptor? Emplear cifrado simétrico utilizando el Estándar de cifrado avanzado (AES) para cifrar todos los mensajes. Utilizar un Código de autenticación de mensajes basado en hash (HMAC) con un algoritmo de hash seguro como SHA-256. Implementar la Seguridad de la capa de transporte (TLS) para la transmisión de mensajes cifrados de extremo a extremo. Confíe en la criptografía de curva elíptica (ECC) para generar claves criptográficas para el cifrado de mensajes. ¿En qué técnica criptoanalítica el atacante tiene acceso al dispositivo o software de descifrado e intenta vencer la protección criptográfica descifrando fragmentos de texto cifrado para ver cuál es el texto simple correspondiente para descubrir la clave? Un ataque de texto cifrado conocido Un ataque de solo texto cifrado Un ataque de texto cifrado elegido Un ataque de texto simple conocido. ¿Cuál de estas afirmaciones explica con MÁS probabilidad el método del atacante para explotar el sistema Kerberos en el siguiente escenario? Un equipo de seguridad de TI está investigando una reciente violación en la red de su organización que emplea un sistema de autenticación basado en Kerberos. Los hallazgos iniciales indican que el atacante no comprometió directamente ninguna contraseña de usuario ni descifró los tickets de Kerberos. Sin embargo, el atacante pudo hacerse pasar por varios usuarios y obtener acceso no autorizado a varios servicios dentro de la red. El atacante utilizó un ataque de tipo "Pass the Ticket", falsificando tickets Kerberos para obtener acceso no autorizado. El atacante ejecutó un ataque de tipo "Pass the Hash", utilizando las credenciales cifradas de los usuarios para imitar las solicitudes de autenticación. El atacante llevó a cabo un ataque de repetición, reutilizando respuestas de autenticación válidas para engañar al sistema y lograr que otorgara acceso. El atacante realizó un ataque de intermediario, interceptando y alterando tickets Kerberos en tránsito. ¿A qué tipo de ataque podría ser susceptible Kerberos? Canal lateral Algebraico Pasar el hash Análisis de fallas. El Uptime Institute es una organización industrial que proporciona a los operadores de centros de datos la certificación de sus instalaciones. Su sistema de clasificación por niveles consta de cuatro niveles. ¿Qué nivel requiere una infraestructura de sitio que se pueda mantener simultáneamente? Nivel I Nivel II Nivel III Nivel IV. ¿Cuál de los siguientes grupos de controles cumpliría MEJOR con las necesidades de un cliente que ha solicitado ayuda para prevenir tantas amenazas a la seguridad del sitio como sea posible? CCTV, sistemas de control de acceso a puertas RFID y sistemas de detección de incendios VESA Inspección de personal, sistemas de control de acceso a puertas RFID y cercado perimetral Sensores de rotura de vidrios, CCTV alrededor de los puntos de entrada y salida y un servicio de alarma monitoreado Control de personal Protección de sistemas críticos mediante CCTV y UPS. |
Denunciar Test