ISC2 - CC - Dominio 1.2.3.4

COMENTARIOS

ESTADÍSTICAS

RÉCORDS

REALIZAR TEST

Título del Test:

ISC2 - CC - Dominio 1.2.3.4

Descripción:
ISC2 - Certificación de Seguridad

Autor:

Jonny Julian Sanchez

OTROS TESTS DEL AUTOR

Fecha de Creación: 2025/03/29

Categoría: Otros

Número Preguntas: 449

Valoración:

(0)

COMPARTE EL TEST

Nuevo Comentario

Comentarios
NO HAY REGISTROS

Temario:

Proceso de control de acceso que compara uno o más factores de identificación para validar que el sistema conoce la identidad reclamada por un usuario o entidad. Autenticación. Autorización. Disponibilidad. No repudio.

Proceso de control de acceso que compara uno o más factores de identificación para validar que el sistema conoce la identidad reclamada por un usuario o entidad.

Asegurar el acceso y uso oportuno y confiable de la información por parte de los usuarios autorizados. Autenticación. Autorización. Disponibilidad. No repudio.

Asegurar el acceso y uso oportuno y confiable de la información por parte de los usuarios autorizados.

La propiedad de que los datos no hayan sido alterados de forma no autorizada. Confidencialidad. Disponibilidad. Integridad. Privacidad.

La propiedad de que los datos no hayan sido alterados de forma no autorizada.

La incapacidad de negarse haber realizado una acción, como enviar un mensaje de correo electrónico. Confidencialidad. Disponibilidad. No repudio. Autenticación.

La incapacidad de negarse haber realizado una acción, como enviar un mensaje de correo electrónico.

El derecho de un individuo a controlar la distribución de información sobre sí mismo. Confidencialidad. Autenticación. Privacidad. Integridad.

El derecho de un individuo a controlar la distribución de información sobre sí mismo.

La característica de los datos o la información cuando no se pone a disposición o se divulga a personas o procesos no autorizados. Confidencialidad. Disponibilidad. Integridad. Privacidad.

La característica de los datos o la información cuando no se pone a disposición o se divulga a personas o procesos no autorizados.

El derecho o permiso que se otorga a una entidad del sistema para acceder a un recurso del sistema. Autorización. Autenticación. Disponibilidad. Identidad.

El derecho o permiso que se otorga a una entidad del sistema para acceder a un recurso del sistema.

es algo que necesita protección.

es una brecha o debilidad en esos esfuerzos de protección.

es algo o alguien que pretende explotar una vulnerabilidad para frustrar los esfuerzos de protección.

es algo que necesita protección. Activo. Vulnerabilidad. Amenaza. Riesgo.

es una brecha o debilidad en esos esfuerzos de protección. Activo. Vulnerabilidad. Amenaza. Riesgo.

_____ es una medida del grado en que una entidad se ve amenazada por una circunstancia o un acontecimiento potencial. Activo. Vulnerabilidad. Amenaza. Riesgo.

______ es una medida del grado en que una entidad se ve amenazada por una circunstancia o un acontecimiento potencial.

El medio por el que un actor de la amenaza lleva a cabo sus objetivos.

El medio por el que un actor de la amenaza lleva a cabo sus objetivos. Activo. Vector de amenaza. Amenaza. Riesgo.

de que una determinada amenaza o un conjunto de amenazas sea capaz de explotar una determinada vulnerabilidad o conjunto de vulnerabilidades. Probabilidad. Vector de amenaza. Amenaza. Riesgo.

de que una determinada amenaza o un conjunto de amenazas sea capaz de explotar una determinada vulnerabilidad o conjunto de vulnerabilidades.

Tomar medidas para prevenir o reducir el impacto de un acontecimiento. Mitigación. Evasión. Aceptación. Transferencia.

Ignorar los riesgos y continuar con las actividades de riesgo. Mitigación. Evasión. Aceptación. Transferencia.

Cese de la actividad de riesgo para eliminar la probabilidad de que se produzca un suceso. Mitigación. Evasión. Aceptación. Transferencia.

Una debilidad o defecto inherente. Vulnerabilidad. Amenaza. Riesgo. Probabilidad.

Persona o entidad que actúa deliberadamente para explotar un objetivo. Vulnerabilidad. Riesgo. Amenaza. Transferencia.

Traspasar el riesgo a un tercero. Reducir. Evitación. Aceptación. Transferencia.

Algo de valor que es propiedad de una organización, incluido el hardware físico y la propiedad intelectual. Transferencia. Riesgo. Aceptación. Recurso.

Política de uso aceptable. Control Administrativo. Control Fisico. Control Técnico.

Lector de insignias. Control Administrativo. Control Fisico. Control Técnico.

Señal de stop en aparcamiento. Control Administrativo. Control Fisico. Control Técnico.

Procedimientos de operaciones de emergencia. Control Administrativo. Control Fisico. Control Técnico.

Lista de control de acceso. Control Administrativo. Control Fisico. Control Técnico.

Cerradura de puerta. Control Administrativo. Control Fisico. Control Técnico.

Formación para la concienciación de los empleados. Control Administrativo. Control Fisico. Control Técnico.

¿Verdadero o falso? Todos los miembros de (ISC)² se comprometen a respetar y adherirse a los Cánones del Código Ético. (D1, L1.5.1). Verdadero. Falso.

son los documentos de gobierno de más alto nivel en una organización, generalmente aprobados y emitidos por la gerencia, generalmente para respaldar una iniciativa de cumplimiento. (D1, L.1.5).

Un profesional de la seguridad que necesita instrucciones paso a paso para completar una tarea de aprovisionamiento podría usar un ________ para asegurarse de que están realizando la tarea de manera consistente. (D1,L.1.5).

Usualmente por mandato de una agencia gubernamental, _________ son un conjunto de reglas que todos deben cumplir y generalmente conllevan sanciones monetarias por su incumplimiento. (D1, L.1.5).

Marcos, normas o, ___________ menudo son ofrecidos por organizaciones de terceros y cubren objetivos específicos de asesoramiento o cumplimiento. (D1, L.1.5).

Esto puede proteger la información en un archivador para que no sea vista por personas no autorizadas (confidencialidad) y evitar que se modifique cualquier documento (integridad). Extintor de incendios. Cifrado. Cerradura de puerta. Generador. Biometría. Políticas de contraseña.

Este es abstracto, pero podría estar relacionado con la disponibilidad, porque cuanto antes funcione, más datos permanecerán disponibles. Extintor de incendios. Cifrado. Cerradura de puerta. Generador. Biometría. Políticas de contraseña.

Esto puede proporcionar confidencialidad al proteger los datos del acceso no autorizado y la integridad de los cambios no autorizados. Incluso podría ampliarse para proporcionar disponibilidad si más de una persona necesita acceso de emergencia compartido a la información. Extintor de incendios. Cifrado. Cerradura de puerta. Generador. Biometría. Políticas de contraseña.

Esto protege la disponibilidad al garantizar el acceso continuo a los sistemas durante un corte de energía. Extintor de incendios. Cifrado. Cerradura de puerta. Generador. Biometría. Políticas de contraseña.

En general, esto se asociaría con la confidencialidad y la gestión de la identidad, pero se podría argumentar para los tres, lo mismo que una política de contraseñas. Extintor de incendios. Cifrado. Cerradura de puerta. Generador. Biometría. Políticas de contraseña.

La Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA, por sus siglas en inglés) es una ley federal ___________ en los Estados Unidos que requiere que se tomen ciertas medidas para proteger la información de salud. Muchas organizaciones utilizan marcos publicados, _____________, para orientar la organización ________________ que apoyan el esfuerzo de cumplimiento. Muchos departamentos o grupos de trabajo dentro de la organización implementan ______________que detallan cómo completan las tareas diarias sin dejar de cumplir. (D1, L.1.5).

Cranz es miembro de ISC2 y empleado de Triffid Corporation. Uno de los colegas de Cranz se ofrece a compartir un archivo que contiene una copia ilícita de una película recién estrenada. ¿Qué debe hacer Cranz? (D1, L1.5.1). Informar ISC2. Aceptar la película. Negarse a aceptar. Informar a las fuerzas del orden.

Un director de seguridad de la información (CISO) de una gran organización documentó una política que establece el uso aceptable de entornos de nube para todo el personal. Este es un ejemplo de un: (D1, L1.3.1). Gestión/Control Administrativo. control tecnico. Control físico. control de la nube.

¿Es posible evitar el riesgo? (D1, L1.2.1). Si. No. A veces. Nunca.

¿Qué se entiende por no repudio? (D1, L1.1.1). Si un usuario hace algo, no puede afirmar más tarde que no lo hizo. Controles para proteger la reputación de la organización de daños debido a publicaciones inapropiadas en las redes sociales por parte de los empleados, incluso en sus cuentas privadas y tiempo personal. Forma parte de las normas establecidas por los controles administrativos. Es una función de seguridad que evita ataques de repetición de sesión.

¿Cuál de las siguientes NO es una de las cuatro formas típicas de gestionar el riesgo? (D1, L1.2.1). Evitar. Aceptar. Mitigar. Conflate.

Siobhan está decidiendo si hacer una compra en línea; el proveedor quiere que Siobhan cree una nueva cuenta de usuario y solicita el nombre completo, la dirección particular, el número de tarjeta de crédito, el número de teléfono, la dirección de correo electrónico de Siobhan, la capacidad de enviar mensajes de marketing a Siobhan y el permiso para compartir estos datos con otros proveedores. Siobhan decide que el artículo en venta no vale el valor de la información personal de Siobhan y decide no realizar la compra. ¿Qué tipo de enfoque de gestión de riesgos hizo Siobhan? (D1, L1.2.2). anulación. aceptación. mitigación. transferencia.

Guillermo es el administrador de sistemas de una organización minorista mediana. Guillermo se ha encargado de escribir un documento que describe, paso a paso, cómo instalar de forma segura el sistema operativo en una computadora portátil nueva. Este documento es un ejemplo de ________. (D1, L1.4.1). Politica. Estandar. Procedimiento. Directriz.

Lankesh es el administrador de seguridad de una pequeña empresa de distribución de alimentos. El país en el que opera la empresa de Lankesh publica una nueva ley, pero la ley entra en conflicto con las políticas de la empresa. ¿Qué elemento de gobierno debe seguir la empresa de Lankesh? (D1, L1.4.2). Ley. La politica. cualquier procedimiento que la empresa haya creado para las actividades particulares afectadas por la ley. Se debe permitir que Lankesh use su juicio personal y profesional para determinar cómo proceder.

Kristal es la administradora de seguridad de un gran proveedor de servicios en línea. Kristal se entera de que la empresa recopila datos personales de sus clientes y los comparte con los gobiernos locales donde opera la empresa, sin el conocimiento de los usuarios, para permitir que los gobiernos persigan a los usuarios sobre la base de sus creencias políticas y filosóficas. El acuerdo de usuario publicado establece que la empresa no compartirá datos personales del usuario con ninguna entidad sin el permiso explícito de los usuarios. De acuerdo con el Código de Ética (ISC)2, ¿con quién tiene Kristal un deber en última instancia en esta situación? (D1, L1.5.1). los gobiernos de los países donde opera la empresa. la empresa para la que trabaja Kristal. los usuarios. (ISC)2.

Mientras toma el examen de certificación para esta certificación, nota que otro candidato para la certificación hace trampa. ¿Qué debes hacer? (D1, L1.5.1). Nada: cada persona es responsable de sus propias acciones. Gritarle al otro candidato por violar la seguridad del examen. Reportar al candidato a (ISC)2. Llame a la policía local.

¿Con qué aspecto fundamental de la seguridad está más relacionado el concepto de "secreto"? (D1, L1.1.1). Confidencialidad. Integridad. Disponibilidad. Plausibilidad.

Un algoritmo de hashing nos ayuda a detectar si un archivo ha sido alterado de alguna manera. ¿Qué concepto nos ayuda a abordar esto?. Confidencialidad. Privacidad. Disponibilidad. Integridad.

"¿Cuál de los siguientes elementos podría considerarse PII?" Las posibles respuestas son: Nombre. Dirección IP. Dirección de correo electrónico. Todas las anteriores.

Dentro de una organización, si una política y un procedimiento se contradicen, ¿cuál normalmente tiene precedencia?" Las posibles respuestas son: La política. El procedimiento. Ninguno, ambos normalmente tienen el mismo peso. Depende de la jurisdicción en la que opere la empresa.

Históricamente, los sistemas de supresión de incendios en centros de datos utilizaban gases que eran tóxicos para los humanos. Estos han sido gradualmente eliminados porque: Las posibles respuestas son: Se han descubierto soluciones más efectivas. La toxicidad presenta un riesgo para la vida humana. Ahora hay soluciones más económicas disponibles comercialmente. Los gases fueron eliminados y reemplazados por sistemas a base de polvo o agua.

cuál concepto describe una estrategia de seguridad de la información que integra personas, tecnología y operaciones para establecer controles de seguridad en múltiples capas de la organización. Las opciones ofrecidas son: Menor Privilegio. Defensa en Profundidad. Separación de Funciones. Cuentas Privilegiadas.

¿Cuál de las siguientes NO es un canon ético de ISC2?. Promover y proteger la profesión. Proteger a la sociedad, el bien común, la confianza pública necesaria y la infraestructura. Actuar honorablemente, con honestidad, justicia, responsabilidad y de forma legal. Proveer un servicio activo y calificado al principal.

El modelo de implementación en la nube donde una empresa tiene recursos en las instalaciones y en la nube se conoce como: Nube híbrida. Multi-tenant. Nube privada. Nube comunitaria.

¿Cuál de las siguientes es una IP pública?. 13.16.123.1. 192.168.123.1. 172.16.123.1. 10.221.123.1.

"¿Qué dispositivos serían más efectivos para detectar una intrusión en una red?". Enrutadores. HIDS (Sistema de Detección de Intrusiones Basado en Host). Firewalls. NIDS (Sistema de Detección de Intrusiones Basado en Red).

¿Qué control de acceso es más efectivo para proteger una puerta contra accesos no autorizados?. Cercas. Torniquetes. Barreras. Cerraduras.

¿Cuál de los siguientes es un control de detección?. Torniquetes. Sensores de humo. Barreras. Firewalls.

¿Qué tipo de ataque tiene como objetivo principal controlar el sistema desde fuera?. Puertas traseras. Rootkits. Cross-Site Scripting. Troyanos.

¿Cuál de los siguientes no es un protocolo del Nivel 3 del modelo OSI?. SNMP. ICMP. IGMP. IP.

Cuando una empresa contrata a una aseguradora para mitigar el riesgo, ¿qué técnica de gestión de riesgos está aplicando?. Evitación de riesgos. Transferencia de riesgos. Mitigación de riesgos. Tolerancia de riesgos.

El protocolo SMTP opera en el Nivel OSI. 7. 25. 3. 23.

El proceso de verificar o demostrar la identificación del usuario se conoce como: Confidencialidad. Integridad. Autenticación. Autorización.

Si una organización quiere protegerse contra el tailgating, ¿qué tipo de control de acceso sería más efectivo?. Cerraduras. Cercas. Barreras. Torniquetes.

Los sistemas de registro y monitoreo son esenciales para: Identificar sistemas de bajo rendimiento, prevenir compromisos y proporcionar un registro de cómo se usan los sistemas. Identificar sistemas de alto rendimiento, etiquetar compromisos y proporcionar un registro de cómo se usan los sistemas. Identificar sistemas de bajo rendimiento, detectar compromisos y proporcionar un registro de cómo se usan los sistemas. Identificar sistemas de alto rendimiento, detectar compromisos y proporcionar un registro de cómo se usan los sistemas.

En caso de un desastre, ¿cuál debería ser el objetivo principal?. Garantizar la seguridad de las personas. Garantizar la continuidad de los sistemas críticos. Proteger la base de datos de producción. Aplicar la comunicación de desastres.

El proceso que asegura que los cambios en el sistema no afecten negativamente las operaciones comerciales se conoce como: Respuesta. Gestión de cambios. Gestión de Vulnerabilidades. Gestión de Configuración. Gestión de Inventario.

La última fase en el ciclo de seguridad de datos es: Destrucción. Encriptación. Respaldo. Archivado.

¿Qué modelo de control de acceso especifica el acceso a un objeto basado en el rol del sujeto en la organización? Respuesta. Control de Acceso Basado en Roles (RBAC). Control de Acceso Obligatorio (MAC). Control de Acceso Discrecional (DAC). Control de Acceso Basado en Atributos (ABAC).

¿Cuál de los siguientes NO es un ejemplo de control de seguridad físico? Respuesta: Cortafuegos (Firewalls). Controles de acceso biométricos. Cerraduras electrónicas controladas remotamente. Cámaras de seguridad.

¿Qué tipo de ataque mantendrá más efectivamente el acceso remoto y el control sobre la computadora de la víctima? Respuesta: Rootkits. Troyanos. Cross-Site Scripting. Phishing.

En terminología de incidentes, el significado de Día Cero (Zero Day) es: Una vulnerabilidad del sistema previamente desconocida. Días sin un incidente de ciberseguridad. Días con un incidente de ciberseguridad. Días para resolver una vulnerabilidad previamente desconocida del sistema.

Un dispositivo encontrado que no cumple con la línea base de seguridad debe ser: Deshabilitado o aislado en un área de cuarentena hasta que pueda ser revisado y actualizado. Deshabilitado o separado en un área de cuarentena hasta que se ejecute un escaneo de virus. Colocado en una zona desmilitarizada (DMZ) hasta que pueda ser revisado y actualizado. Marcado como potencialmente vulnerable y colocado en un área de cuarentena.

¿Qué tipo de ataque PRIMARIAMENTE tiene como objetivo hacer que un recurso sea inaccesible para sus usuarios previstos?. Denegaciones de Servicio (DoS). Phishing. Troyanos. Cross-Site Scripting.

¿Qué tipo de ataque incrusta una carga maliciosa dentro de un software reputado o confiable?. Troyanos (Trojans). Phishing. Rootkits. Cross-Site Scripting.

¿Qué herramienta se usa comúnmente para analizar el tráfico de red?. Wireshark. Burp Suite. John the Ripper. Nslookup.

¿Cuál de estos NO es un ataque contra una red IP?. Ataque por canal lateral (Side-channel Attack). Ataque de intermediario (Man-in-the-middle). Ataque de paquetes fragmentados. Ataque de paquetes sobredimensionados.

Los pasos detallados para completar tareas que apoyan políticas departamentales u organizacionales se documentan típicamente en: Procedimientos. Regulaciones. Estándares. Políticas.

¿Qué dispositivo se usa para conectar una LAN a Internet?. Enrutador (Router). HIDS. SIEM. Cortafuegos.

¿Qué significa SIEM?. Gestor de Información y Eventos de Seguridad. Gestor de Sistemas e Información Empresarial. Gestor de Información y Empresa de Seguridad. Gestor de Sistemas e Información de Eventos.

Una salvaguarda de seguridad es lo mismo que: Control de seguridad. Control de privacidad. Control de técnico. Principio de seguridad.

¿Qué modelo de control de acceso puede otorgar acceso a un objeto dado basado en reglas complejas?. DAC (Discretionary Access Control):. ABAC (Attribute-Based Access Control):. RBAC (Role-Based Access Control):. MAC (Mandatory Access Control):.

¿Qué puerto se utiliza para la comunicación segura a través de la web (HTTPS)?. 80. 25. 443. 21.

¿Cuál de estos tiene como objetivo PRINCIPAL identificar y priorizar procesos críticos del negocio?. Business Impact Plan (BIP) Plan de Impacto Comercial. Business Impact Analysis (BIA) Análisis de Impacto Comercial. Disaster Recovery Plan (DRP) Plan de Recuperación ante Desastres. Business Continuity Plan (BCP) Plan de Continuidad del Negocio.

¿Cuál de las siguientes NO es un tipo de control de seguridad?. Controles comunes. Controles híbridos. Controles específicos del sistema. Controles de almacenamiento.

¿Cuál de las siguientes NO es un tipo de actividad de aprendizaje utilizada en la Concienciación sobre Seguridad?. Concienciación. Capacitación. Educación. Tutorial.

La magnitud del daño esperado como resultado de la divulgación, modificación, destrucción o pérdida no autorizada de información, se conoce como. Vulnerabilidad. Amenaza. Impacto. Probabilidad.

La implementación de Controles de Seguridad es una forma de. Reducción de riesgos (Risk reduction). Aceptación de riesgos (Risk acceptance). Evitación de riesgos (Risk avoidance). Transferencia de riesgos (Risk Transference).

¿Cuál de los siguientes ataques aprovecha la falta de validación adecuada de entradas en sitios web?. Troyanos. Cross-Site Scripting. Phishing. Rootkits.

¿Cuál de los siguientes es un ejemplo de un control de seguridad administrativo?. Listas de Control de Acceso. Políticas de Uso Aceptable. Lectoras de credenciales. Señales de prohibición de entrada.

En la Gestión del Cambio, ¿qué componente aborda los procedimientos necesarios para deshacer cambios?. Solicitud de Aprobación. Solicitud de Cambio. Reversión/RollBack. Recuperación ante Desastres.

¿Cuál de las siguientes propiedades NO está garantizada por las Firmas Digitales?. Autenticación. Confidencialidad. No repudio. Integridad.

¿Qué dispositivos tienen como objetivo PRIMARIO recopilar y analizar eventos de seguridad?. Hubs. Cortafuegos. Routers. SIEM.

¿Cuál es una forma efectiva de endurecer un sistema?. Actualizar el sistema. Implementar un IPS. Ejecutar un análisis de vulnerabilidades. Crear una DMZ para los servicios de aplicaciones web.

¿Qué tipo de clave puede usarse tanto para cifrar como para descifrar el mismo mensaje?. Una clave pública. Una clave privada. Una clave asimétrica. Una clave simétrica.

Qué regulaciones abordan la protección de datos y la privacidad en Europa?. SOX. HIPAA. FISMA. GDPR.

¿Qué dispositivos inspeccionan información de encabezados de paquetes para permitir o denegar tráfico de red?. Cortafuegos (Firewalls). Hubs. Routers. Switches.

¿En qué red debe colocarse un servidor web que acepta solicitudes de clientes externos?. DMZ (Zona Desmilitarizada). Intranet. VPN. Red interna.

¿Cuántas etiquetas de datos se consideran una buena práctica?. 2-3. 1. 1-2. Más de 4.

Los carteles de seguridad son un elemento EMPLEADO PRINCIPALMENTE en: Concienciación sobre Seguridad. Planes de Respuesta a Incidentes. Planes de Continuidad del Negocio. Controles de Seguridad Física.

¿Cuál de estos tipos de usuario es MENOS probable que tenga una cuenta privilegiada?. Administrador del Sistema. Analista de Seguridad. Mesa de Ayuda. Trabajador Externo.

El conjunto predeterminado de instrucciones o procedimientos para mantener las operaciones comerciales después de un desastre se conoce comúnmente como. Business Impact Analysis (BIA) Análisis de Impacto Comercial. Disaster Recovery Plan (DRP) Plan de Recuperación ante Desastres. Bussiness Impact Plan (BIP) Plan de Impacto Comercial. Bussiness Continuity Plan (BCP) Plan de Continuidad del Negocio.

¿Cuál de los siguientes NO es un elemento de la Gestión de Configuración de Seguridad del Sistema?. Inventario. Líneas base. Actualizaciones. Registros de auditoría.

¿Cuáles son los componentes de un plan de respuesta a incidentes?. Preparación -> Detección y Análisis -> Recuperación -> Contención -> Erradicación -> Actividad Post-Incidente. Preparación -> Detección y Análisis -> Contención -> Erradicación -> Actividad Post-Incidente -> Recuperación. Preparación -> Detección y Análisis -> Erradicación -> Recuperación -> Contención -> Actividad Post-Incidente. Preparación -> Detección y Análisis -> Contención, Erradicación y Recuperación -> Actividad Post-Incidente.

¿Cuál de los siguientes es un ejemplo de autenticación de dos factores (2FA)?. Insignias. Contraseñas. Llaves. Contraseñas de un solo uso (OTA).

¿Cuál de los siguientes NO es una característica de una función hash criptográfica?. Reversible. Única. Determinista. Útil.

¿Cuáles son los tres paquetes utilizados en el apretón de manos de la conexión TCP?. Offer -> Request -> ACK. SYN -> SYN / ACK -> ACK. SYN -> ACK -> FIN. Discover -> Offer -> Request.

Después de un terremoto que interrumpe las operaciones comerciales, ¿qué documento contiene los procedimientos necesarios para volver a las operaciones normales?. Bussiness Impact Plan (BIP) Plan de Impacto Comercial. Business Impact Analysis (BIA) Análisis de Impacto Comercial. Bussiness Continuity Plan (BCP) Plan de Continuidad del Negocio. Disaster Recovery Plan (DRP) Plan de Recuperación ante Desastres.

¿Cuál es la consecuencia de un ataque de Denegación de Servicio (DoS)?. Agotamiento de los recursos del dispositivo. Infección de malware. Aumento en la disponibilidad de recursos. Control remoto de un dispositivo.

Según ISC2, ¿cuáles son las seis fases de la manipulación de datos?. Crear -> Usar -> Almacenar -> Compartir -> Archivar -> Destruir. Crear -> Almacenar -> Usar -> Compartir -> Archivar -> Destruir. Crear -> Compartir -> Usar -> Almacenar -> Archivar -> Destruir. Crear -> Compartir -> Almacenar -> Usar -> Archivar -> Destruir.

¿Cuál de los siguientes es menos probable que forme parte de un equipo de respuesta a incidentes?. Representantes legales. Recursos Humanos. Representantes de la alta dirección. Profesionales de la seguridad de la información.

Cuál de estas herramientas se usa comúnmente para descifrar contraseñas?. Burp Suite. Nslookup. John the Ripper. Wireshark.

Para averiguar qué dispositivos personales tipo tableta están permitidos en la oficina, ¿cuál de las siguientes políticas sería útil leer. BYOD - Bring Your Own Device - Trae tu propio dispositivo. Política de Privacidad. Política de Gestión de Cambios. AUP - Política de Uso Aceptable.

¿En qué modelo de despliegue de nube las empresas comparten recursos e infraestructura en la nube?. Nube híbrida. Multi-inquilino. Nube privada. Nube comunitaria.

¿Cuál de estos es el objetivo PRINCIPAL de un Plan de Recuperación ante Desastres?. Restaurar la operación de la empresa al último estado conocido de operación confiable. Delinear un procedimiento de escape seguro para el personal de la organización. Mantener las operaciones cruciales de la empresa en caso de desastre. Comunicar a las entidades responsables el daño causado a las operaciones en el evento de un desastre.

Una entidad que actúa para explotar las vulnerabilidades del sistema de una organización objetivo es un: Vector de amenaza. Actor/Agente de amenaza. Actor malintencionado. Oportunidad de amenaza.

Una práctica recomendada de la gestión de parches es. Aplicar todos los parches tan rápido como sea posible. Probar los parches antes de aplicarlos. Aplicar parches cada miércoles. Aplicar parches según la reputación del proveedor.

¿Cuál de estos sería la mejor opción si un administrador de red necesita controlar el acceso a una red?. HIDS. IDS. SIEM. NAC.

¿Cuál de estos NO es un componente de gestión de cambios?. Aprobación. RFC - (Request for change) Solicitud deCambio. Reversión / RollBack. Gobernanza.

¿Cuál de los siguientes NO es una técnica de ingeniería social?. Pretexting. Quid pro quo. Doble trato. Baiting.

Si no hay restricción de tiempo, ¿qué protocolo debería emplearse para establecer una conexión confiable entre dos dispositivos?. TCP. DHCP. SNMP. UDP.

Una debilidad o falla explotable en un sistema o componente es: Amenaza. Error. Vulnerabilidad. Riesgo.

¿En qué modelo de nube el cliente de la nube tiene MENOS responsabilidad sobre la infraestructura?. IaaS. FaaS. PaaS. SaaS.

¿En qué modelo de nube el cliente de la nube tiene MAYOR responsabilidad sobre la infraestructura?. IaaS. FaaS. PaaS. SaaS.

¿En qué modelo de nube el cliente de la nube tiene COMPARTIDA la responsabilidad sobre la infraestructura?. IaaS. FaaS. PaaS. SaaS.

La gestión de riesgos es: La evaluación del impacto potencial de una amenaza. La creación de un equipo de respuesta a incidentes. El impacto y la probabilidad de una amenaza. La identificación, evaluación y priorización de riesgos.

¿Cuál de los siguientes documentos contiene elementos que NO son obligatorios?. Políticas. Directrices - Guidelines. Regulaciones. Procedimientos.

En cuál de las siguientes fases de un Plan de Recuperación de Incidentes se priorizan las respuestas a incidentes?. Actividad post-incidente. Detección y análisis. Preparación. Contención, erradicación y recuperación.

¿Qué principio de seguridad establece que un usuario solo debe tener los permisos necesarios para ejecutar una tarea?. Cuentas privilegiadas. Separación de deberes. Menor privilegio. Defensa en profundidad.

El modelo de control de acceso Bell y LaPadula es una forma de: ABAC (Attribute-Based Access Control) Control de acceso basado en atributos. RBAC (Role-Based Access Control) Control de acceso basado en roles. MAC (Mandatory Access Control) Control de Acceso Obligatorio. DAC (Discretionary Access Control) Control de acceso discrecional.

En la gestión de riesgos, la mayor prioridad se da a un riesgo donde: La frecuencia de ocurrencia es baja, y el valor de impacto esperado es alto. La probabilidad esperada de ocurrencia es baja, y el valor de impacto potencial es bajo. La probabilidad esperada de ocurrencia es alta, y el valor de impacto potencial es alto. La frecuencia de ocurrencia es alta, y el valor de impacto esperado es bajo.

¿Cuál de las siguientes áreas está conectada con PII?. No repudio. Autenticación. Integridad. Confidencialidad.

Los correos electrónicos maliciosos que apuntan a atacar a los ejecutivos de la empresa son un ejemplo de: Troyanos. Whaling. Phishing. Rootkits.

Los gobiernos pueden imponer sanciones financieras como consecuencia de romper una: Regulación. Estándar. Política. Procedimiento.

¿Qué tipo de ataque intenta engañar al usuario para que revele información personal enviando un mensaje fraudulento?. Phishing. Cross-site Scripting. Denegación de Servicio. Troyano.

¿En cuál de los siguientes modelos de control de acceso puede el creador de un objeto delegar permisos?. ABAC (Attribute-Based Access Control) Control de acceso basado en atributos. RBAC (Role-Based Access Control) Control de acceso basado en roles. MAC (Mandatory Access Control) Control de Acceso Obligatorio. DAC (Discretionary Access Control) Control de acceso discrecional.

¿Qué tipo de ataque tiene como objetivo principal encriptar dispositivos y sus datos, y luego exigir un pago de rescate por la clave de desencriptación?. Ransomware. Troyano. Cross-site Scripting. Phishing.

¿Cuál de los siguientes modelos de nube permite acceso a recursos fundamentales de la computadora?. IaaS. FaaS. PaaS. SaaS.

¿Cuántas capas tiene el modelo OSI?. 7. 4. 6. 5.

¿Cuál de los siguientes principios tiene como objetivo principal la detección de fraude?. Cuentas Privilegiadas. Defensa en Profundidad. Menor Privilegio. Separación de Funciones.

¿Qué protocolo usa un apretón de manos de tres vías para establecer una conexión confiable?. TCP. SMTP. UDP. SNMP.

¿Cuál de los siguientes es un ejemplo de un control de seguridad técnico?. Listas de control de acceso. Torniquetes. Vallas. Bolardos.

¿Qué tipo de ataque intenta obtener información observando el consumo de energía del dispositivo?. Canales Laterales. Troyanos. Cross-site Scripting. Denegación de Servicio.

¿Cuál de las siguientes áreas es la propiedad más distintiva de la PHI?. Integridad. Confidencialidad. No Repudiación. Autenticación.

¿Cuál de estos es el método más eficiente y efectivo para probar un plan de continuidad de negocio?. Simulaciones. Recorridos. Revisiones. Discusiones.

Cuál de los siguientes conceptos de ciberseguridad garantiza que la información sea accesible solo para aquellos autorizados a acceder a ella?. Confidencialidad. No Repudiación. Autenticación. Accesibilidad.

En caso de un desastre, ¿cuál debería ser el objetivo principal?. Aplicar comunicación de desastre. Proteger la base de datos de producción. Garantizar la seguridad de las personas. Garantizar la continuidad de los sistemas críticos.

Un profesional de seguridad debería reportar violaciones de la política de seguridad de una empresa a: El Comité de Ética de ISC. La administración de la empresa. Autoridades nacionales. Un tribunal de justicia.

¿Qué departamento en una empresa NO está regularmente involucrado en un DRP?. Ejecutivos. TI. Relaciones Públicas. Financiero.

¿Cuál de las siguientes está incluida en un documento de SLA?. Un plan para preparar a la organización para la continuidad de funciones críticas de negocio. Un plan para mantener las operaciones empresariales mientras se recupera de una interrupción significativa. Instrucciones para detectar, responder y limitar las consecuencias de un ciberataque. Instrucciones sobre propiedad y destrucción de datos.

¿Cuál es la diferencia más importante entre MAC y DAC?. En MAC, los administradores de seguridad establecen los roles de los usuarios; en DAC, los roles son establecidos según la discreción del propietario del objeto. En MAC, los administradores de seguridad asignan permisos de acceso; en DAC, los administradores de seguridad establecen roles de usuario. En MAC, los administradores de seguridad asignan permisos de acceso; en DAC, los permisos de acceso son establecidos según la discreción del propietario del objeto. En MAC, los permisos de acceso son establecidos según la discreción del propietario del objeto; en DAC, los administradores de seguridad se encargan de asignar permisos de acceso.

Requerir un rol de usuario específico para acceder a los recursos es un ejemplo de: ABAC (Attribute-Based Access Control) Control de acceso basado en atributos. RBAC (Role-Based Access Control) Control de acceso basado en roles. MAC (Mandatory Access Control) Control de Acceso Obligatorio. DAC (Discretionary Access Control) Control de acceso discrecional.

Después de un terremoto que interrumpe las operaciones comerciales, ¿qué documento contiene los procedimientos necesarios para volver a las operaciones normales?. Business Impact Plan (BIP) Plan de Impacto Comercial. Business Impact Analysis (BIA) Análisis de Impacto Comercial. Business Continuity Plan (BCP) Plan de Continuidad del Negocio. Disaster Recovery Plan (DRP) Plan de Recuperación ante Desastres.

¿Cuál de las siguientes NO es una práctica recomendada en la gestión de acceso?. Dar solo la cantidad correcta de permisos. Evaluar periódicamente si los permisos de los usuarios aún se aplican. Solicitar una justificación al mejorar los permisos. Confiar pero verificar.

Si una empresa recopila información personal (PII), ¿qué política se requiere?. Política de acceso remoto. GDPR. Política de privacidad. Política de uso aceptable.

¿Cuál de los siguientes es MENOS probable que se instale mediante una infección?. Bomba lógica. Keylogger. Troyano. Backdoor.

El mejor método de defensa para detener un 'ataque de repetición' es: Usar una VPN IPsec. Usar un firewall. Usar autenticación mediante contraseña. Usar un resumen de mensajes.

¿Cuál de estos dispositivos tiene como objetivo PRINCIPAL determinar la ruta más eficiente para que el tráfico fluya a través de las redes?. Hubs. Firewalls. Routers. Switches.

¿Cuál de estos tipos de malware se replica sin necesidad de intervención humana?. Worm. Troyano. Virus. Rootkits.

Como miembro de (ISC)², se espera que actúe con el debido cuidado. ¿Qué significa específicamente "debido cuidado"?. Hacer lo correcto en cada situación que enfrente en el trabajo. Dar continuidad al legado de prácticas de seguridad de su empresa. Aplicar parches anualmente. Investigar y adquirir el conocimiento para realizar su trabajo correctamente.

Durante la investigación de un incidente, ¿qué políticas de seguridad son más propensas a causar dificultades?. Estándares de configuración. Políticas de respuesta a incidentes. Políticas de comunicación. Políticas de retención.

En una lista de control de acceso (ACL), el elemento que determina qué permisos tiene es: El sujeto. El objeto. El firmware. La regla.

¿A qué se refiere el término "remanencia de datos"?. Datos en uso que no pueden ser cifrados. Archivos almacenados localmente que no pueden recuperarse. Datos que permanecen tras la eliminación de archivos. Todos los datos de un sistema.

¿Qué tipo de sitio de recuperación tiene algunos sistemas configurados, pero carece de datos necesarios para reanudar operaciones?. Un sitio caliente. Un sitio en la nube. Un sitio tibio. Un sitio frío.

¿Cuál de las siguientes NO es una característica de una implementación de MSP?. Gestionar toda la infraestructura internamente. Supervisar y responder a incidentes de seguridad. Mediar y decidir sobre decisiones de alto nivel. Utilizar experiencia para implementar un producto o servicio.

¿Cuál de los siguientes NO es un componente típico de un Plan de Continuidad de Negocios (BCP)?. Una predicción de costos del procedimiento de respuesta inmediata. Procedimientos y listas de verificación para la respuesta inmediata. Sistemas de notificación para alertar al personal. Una lista de miembros del equipo del BCP.

Actuar éticamente es obligatorio para los miembros de (ISC)². ¿Cuál de los siguientes actos NO se considera poco ético?. Interrumpir el uso previsto de Internet. Buscar acceso no autorizado a recursos en Internet. Comprometer la privacidad de los usuarios. Tener perfiles o cuentas falsas en redes sociales.

En un proceso de respuesta a incidentes, ¿qué fase utiliza indicadores de compromiso y análisis de registros como parte de una revisión de eventos?. Preparación. Erradicación. Identificación. Contención.

¿Cuál de estos sistemas de control de acceso se usa comúnmente en el ejército?. ABAC. DAC. RBAC. MAC.

¿Cuál de estos NO es un principio de seguridad?. Seguridad en profundidad (SID). Modelo de confianza cero. Menor privilegio. Separación de deberes.

¿Cuál de estos NO es un objetivo común de un atacante cibernético?. Asignación. Alteración. Divulgación. Negación.

¿Cuál de estos tipos de capas NO forma parte del modelo TCP/IP?. Aplicación. Física. Internet. Transporte.

En un modelo BYOD, ¿cuál de estas tecnologías es la mejor para mantener los datos y aplicaciones corporativas separadas de las personales?. Biometría. Cifrado de dispositivo completo. Autenticación de contexto. Contenerización.

En el contexto de la gestión de riesgos, ¿qué información describe ALE?. El costo esperado por año de no realizar una acción de mitigación de riesgos. El impacto comercial de un riesgo. El porcentaje de eficiencia de pérdida esperada. La probabilidad de que un riesgo ocurra en un año dado.

¿Cuál de estas técnicas se usa PRINCIPALMENTE para asegurar la integridad de los datos?. Resumen de mensaje. Cifrado de contenido. Copias de seguridad. Hashing.

¿Cuál de estos es un ejemplo de una violación de privacidad?. Cualquier ocurrencia observable en una red o sistema. Estar expuesto a la posibilidad de ataque. Indisponibilidad de sistemas críticos. Acceso a información privada por una persona no autorizada.

¿Cuál de estos términos se refiere a una colección de correcciones?. Degradación. Parche. Paquete de servicio. Hotfix.

Al realizar verificaciones de antecedentes en nuevos empleados, ¿cuál de estos NUNCA puede ser un atributo para la discriminación?. Historia laboral, referencias, registros criminales. Historia crediticia, historia de empleo, referencias. Registros criminales, historia crediticia, referencias. Referencias, educación, afiliación política, historia laboral.

Al buscar un seguro de ciberseguridad, ¿cuál de estos es el OBJETIVO MÁS IMPORTANTE?. Aceptación de riesgos. Transferencia de riesgos. Mitigación de riesgos. Evitación de riesgos.

¿Cuál de estos documentos describe los procedimientos para asegurar que la empresa vital siga funcionando durante eventos disruptivos?. Business Impact Analysis (BIA) Análisis de Impacto Comercial. Bussiness Impact Plan (BIP) Plan de Impacto Comercial. Bussiness Continuity Plan (BCP) Plan de Continuidad del Negocio. Disaster Recovery Plan (DRP) Plan de Recuperación ante Desastres.

¿Cuál de estos ataques de ingeniería social envía correos electrónicos que apuntan a individuos específicos?. Pharming. Whaling. Vishing. Spear phishing.

¿Cuál de estas propiedades NO está garantizada por un Código de Autenticación de Mensajes (MAC)?. Autenticidad. Anonimato. Integridad. No repudio.

¿Cuál es el objetivo PRINCIPAL de una desmagnetización?. Prevenir ataques de canal lateral de microondas. Reducir el ruido de datos en un disco. Borrar los datos en un disco. Retener los datos en un disco.

¿Cuál de estos es parte de los cánones del código de ética (ISC)²?. Proporcionar servicios diligentes y competentes a las partes interesadas. Avanzar y proteger la profesión. Prevenir y detectar el uso no autorizado de activos digitales en una sociedad. Actuar siempre en el mejor interés de su cliente.

¿Cuál de estos NO es uno de los cánones éticos de (ISC)²?. Actuar con honor, honestidad, justicia, responsabilidad y legalidad. Considerar las consecuencias sociales de los sistemas que estás diseñando. Proteger la sociedad, el bien común, la confianza pública necesaria y la infraestructura. Brindar un servicio diligente y competente a los principales.

¿Cuál de estos es el objetivo PRINCIPAL del estándar PCI-DSS?. Información Personal Identificable (PII). Gestión de Cambios. Pagos Seguros con Tarjetas de Crédito. Información de Salud Protegida (PHI).

¿Cuál de estos es un ataque que cifra la información de la organización y exige pago por el código de descifrado?. Phishing. DDoS. Suplantación (Spoofing). Ransomware.

¿El objetivo PRINCIPAL de un plan de continuidad de negocio es?. Verificar regularmente si la organización cumple con las regulaciones aplicables. Mantener las operaciones comerciales mientras se recupera de una interrupción. Evaluar el impacto de la interrupción en el negocio. Restaurar el negocio al último estado confiable conocido de operaciones.

¿Cuál de estos es un ataque cuyo objetivo PRINCIPAL es obtener acceso a un sistema objetivo mediante identidad falsa?. Ransomware. Amplificación. Suplantación (Spoofing). DDoS.

Cuando ocurre un incidente, ¿cuál de estas NO es una responsabilidad PRINCIPAL del equipo de respuesta de la organización?. Determinar el alcance del daño causado por el incidente. Implementar los procedimientos de recuperación necesarios para restaurar la seguridad y recuperarse de los daños relacionados con el incidente. Determinar si alguna información confidencial ha sido comprometida durante todo el incidente. Comunicarse con la alta dirección sobre las circunstancias del evento de ciberseguridad.

¿Cuál es el objetivo PRINCIPAL de un rollback en el contexto del proceso de gestión de cambios?. Identificar los cambios necesarios. Validar el proceso de cambio del sistema. Restaurar el sistema a su último estado antes de que se hiciera el cambio. Establecer un nivel mínimo entendido y aceptable de requisitos de seguridad.

¿Qué entidad es responsable de firmar las políticas de una organización?. Recursos Humanos. Ingeniero de Seguridad. Departamento Financiero. Alta Dirección.

¿Cuál de estos términos hace referencia a amenazas con una sofisticación técnica y operativa inusualmente alta, que abarcan meses o incluso años?. Rootkit. APT. Canal Secundario. Ping de la Muerte.

El objetivo PRINCIPAL de una línea base de seguridad es establecer... un nivel mínimo entendido y bueno de requisitos de seguridad. un nivel mínimo entendido y aceptable de requisitos de seguridad. requisitos de seguridad y configuración. un nivel máximo entendido y aceptable de requisitos de seguridad.

¿Cuál de estos ataques aprovecha una validación de entradas inadecuada en sitios web?. Phishing. Troyanos. Cross-Site Scripting. Rootkits.

Una organización necesita una herramienta de seguridad de red que detecte y actúe en caso de actividad maliciosa. ¿Cuál de estas herramientas satisfará MEJOR sus necesidades?. Router. IPS. IDS. Firewall.

En un escenario de política DAC, ¿cuál de estas tareas solo puede ser realizada por un sujeto con acceso a la información?. Cambiar atributos de seguridad. Leer la información. Ejecutar la información. Modificar la información.

En caso de incumplimiento, ¿cuál de estas puede tener consecuencias financieras considerables para una organización?. Políticas. Regulaciones. Directrices. Normas.

¿A qué se refiere el término LAN?. Una herramienta para gestionar y controlar el tráfico de red, así como para proteger una red. Una red en un edificio o área geográfica limitada. Un dispositivo que conecta múltiples otros dispositivos en una red. Una conexión a larga distancia entre redes geográficamente distantes.

¿Cuál de estos es un tipo de control de seguridad correctivo?. Parches. Sistemas de detección de intrusos. Directrices. Cifrado.

¿Cuál de estos permite la comunicación en línea punto a punto sobre una red no confiable?. VLAN. Firewall. Router. .VPN.

¿En cuál de las capas del modelo OSI funcionan TCP y UDP?. Capa de transporte. Capa de sesión. Capa de aplicación. .Capa física.

¿Cuál es el enfoque principal del estándar ISO 27002?. Ley de Portabilidad y Responsabilidad de Seguros de Salud (HIPAA). Sistema de Gestión de Seguridad de la Información (ISMS). Gestión de riesgos. Seguridad de aplicaciones.

¿Cuál de estas diferentes submáscaras permitirá 30 hosts?. /26. /30. /27. /29.

¿Cuál de estas afirmaciones sobre las implicaciones de seguridad de IPv6 NO es verdadera?. Las reglas basadas en direcciones IPv6 estáticas pueden no funcionar. La implementación de NAT en IPv6 es insegura. El tráfico IPv6 puede eludir los controles de seguridad existentes. /Los servicios de reputación de IPv6 pueden no estar maduros y ser útiles.

¿Cuál de estos es un tipo de control de acceso de detección?. Bolardos. Sensores de movimiento. Torniquetes. Cortafuegos.

El nombre, la edad, la ubicación y el título de trabajo de una persona son todos ejemplos de. Factores biométricos. Atributos. Permisos de cuenta. Factores de identidad.

¿Cuál modelo de servicio en la nube proporciona el entorno más adecuado para los clientes que desean instalar su propio sistema operativo?. SaaS. SLA. IaaS. PaaS.

¿Cuál de estas afirmaciones es VERDADERA sobre el ciberocupación?. Es una práctica poco ética pero que todos hacen. Es una práctica parcialmente ilegal. Es una práctica ilegal. Es una práctica legal.

¿Cuál de estas direcciones se reserva comúnmente específicamente para la transmisión?. 192.299.121.254. 192.299.121.9. 192.299.121.14. 192.299.121.255.

¿Cuál departamento en una empresa NO está típicamente involucrado en un Plan de Recuperación de Desastres (DRP)?. Ejecutivo. Financiero. Relaciones Públicas. TI.

¿Cuál de estos pares NO constituye Autenticación Multifactor (MFA)?. Huella digital y contraseña. Escaneo de retina y nombre de usuario. Contraseña y nombre de usuario. PIN y tarjeta de crédito.

¿Cuál método se usa comúnmente para mapear hosts activos en la red?. Geolocalización. Traceroute. Barrido de ping. Wireshark.

¿Un póster que recuerda las mejores prácticas de gestión de contraseñas es un ejemplo de qué tipo de actividad de aprendizaje?. Concienciación. Enseñanza. Educación. Capacitación.

¿Qué parte de la tríada CIA se verá PRINCIPALMENTE comprometida en un ataque de denegación de servicio distribuido (DDoS)?. Responsabilidad. Disponibilidad. Integridad. Confidencialidad.

¿Qué tecnología es MÁS PROBABLE que conserve el espacio de almacenamiento requerido para grabaciones de video?. Detección de movimiento. PTZ. Reconocimiento facial. Cámaras infrarrojas.

Una organización que utiliza un enfoque en capas al diseñar su arquitectura de seguridad está usando cuál de estos enfoques de seguridad. Confianza cero. Defensa en profundidad. Capas de red. Control de acceso a la red.

¿Cuál de estas técnicas garantizará la propiedad de 'no repudio'?. Uso de una VPN. Contraseñas. Cifrado. Firmas digitales.

Una memoria USB con datos que se pasa por la oficina es un ejemplo de. Datos en movimiento. Datos en reposo. Datos en tránsito. Datos en uso.

Supongamos que una organización quiere implementar medidas para fortalecer sus controles de acceso de detección. ¿Cuál de estas herramientas debería implementar?. Parcheos. Cifrado. IDS. Copias de seguridad.

¿Cuál de estos es un ejemplo de dirección MAC?. 00-50-12-1F-58-F6. 8051021F58. 10.23.19.49. 2001: db8: 3333: 4444: 5555: 6666: 7777: 8888.

¿Cuál de estos tipos de credenciales NO se usa en la autenticación multifactorial?. Algo que tienes. Algo que sabes. Algo que eres. Algo en lo que confías.

En un equipo de respuesta a incidentes, ¿qué rol actúa como el principal enlace del equipo con la alta gerencia?. Seguridad de la información. Comunicaciones y relaciones públicas. Gestión. Experto técnico.

¿Cuál de estos NO es una manera efectiva de proteger a una organización de los ciberdelincuentes?. Eliminar o deshabilitar servicios y protocolos innecesarios. Usar cortafuegos. Usar software antimalware desactualizado. Usar sistemas de detección y prevención de intrusiones.

¿Cuál de estos NO puede ser un control de seguridad correctivo?. Plan de recuperación ante desastres. Copias de seguridad. Parcheos. Bolardos.

¿Qué se incluye en un documento de SLA?. Instrucciones sobre propiedad y destrucción de datos. Instrucciones para detectar, responder y limitar las consecuencias de un ciberataque. Un plan para mantener las operaciones mientras se recupera de una interrupción significativa. Un plan para preparar a la organización para la continuación de funciones críticas.

¿Qué número de puerto corresponde al Protocolo de transferencia de correo simple (SMTP)?. 161. 69. 25. 22.

¿Qué tipo de ataque intenta engañar al usuario para que revele información personal enviándole correos electrónicos fraudulentos?. Cross-Site Scripting. Denegación de servicio. Troyanos. Phishing.

¿Cuál de estas NO es una característica de la nube?. Cero responsabilidad del cliente. Acceso amplio a la red. Servicio medido. Elasticidad rápida.

¿Cuál de estos es un error COMÚN al implementar políticas de retención de registros?. No categorizar el tipo de información que se debe conservar. No etiquetar el tipo de información que se debe conservar. Aplicar los periodos de retención más largos a la información. Aplicar periodos de retención más cortos a la información.

¿Qué tipo de control de seguridad NO incluye cámaras CCTV?. Correctivo. Disuasivo. Preventivo. Detective.

Un consultor de seguridad contratado para diseñar las políticas de seguridad relacionadas con PHI manejará principalmente: Información de salud personal. Información de salud pública. Información de salud procesal. Información de salud protegida.

¿Qué modelo de implementación de la nube combina almacenamiento en la nube pública y privada?. Comunitario. Privado. Híbrido. Público.

¿Cuál es el objetivo principal de una política de gestión de cambios?. Estandarizar la creación de la red y sistemas informáticos de la organización. Garantizar que los sistemas estén actualizados con el último parche de seguridad. Estandarizar el uso de la red y sistemas informáticos de la organización. Garantizar que los cambios en el sistema se realicen sin afectar negativamente las operaciones comerciales.

¿Cuál de estas NO es una característica de un SIEM (Gestión de Información y Eventos de Seguridad)?. Auditoría de registros. Cifrado de registros. Consolidación de registros. Retención de registros.

¿Cuál de estas tecnologías es la MENOS efectiva para prevenir cuentas compartidas?. Requerir una contraseña de un solo uso mediante una aplicación. Requerir contraseñas de un solo uso mediante un token. Requisitos de complejidad de contraseña. Requerir autenticación biométrica.

Al analizar riesgos, ¿cuál de estas actividades es necesaria?. Aceptar todos los riesgos evaluados. Identificar riesgos asociados con la pérdida de confidencialidad. Determinar la probabilidad de ocurrencia de un conjunto de riesgos. Seleccionar los controles apropiados.

¿Cuál de estos ejercicios repasa un incidente muestra paso a paso, validando lo que hará cada persona?. Un ejercicio de simulación. Un ejercicio de recorrido. Un ejercicio de mesa redonda. Un ejercicio de lista de verificación.

¿Cuál de estos tipos de documentos suele ser EL MENOS formal?. Estándares. Guías. Políticas. Regulaciones.

Una copia de seguridad que captura los cambios realizados desde la última copia de seguridad completa es un ejemplo de: Estándares. Guías. Políticas. Regulaciones.

¿Un respaldo que captura los cambios realizados desde el último respaldo completo es un ejemplo de: Un respaldo diferencial. Un respaldo incremental. Una instantánea de respaldo. Un respaldo completo.

Un alto ejecutivo de una organización recibe un correo electrónico malicioso que intenta engañarlo. ¿Qué ataque está utilizando el perpetrador?. DDoS. Whaling. Suplantación de identidad (phishing). Suplantación dirigida (spear phishing).

¿Qué significa redundancia en el contexto de la ciberseguridad?. Diseñar sistemas con componentes robustos para que la organización tenga más resistencia a ataques. Concebir sistemas solo con los componentes necesarios para que la organización asuma los riesgos esenciales. Concebir sistemas con menos superficie de ataque para que el atacante tenga menos posibilidad de éxito. Concebir sistemas con componentes duplicados para que, si ocurre una falla, haya un respaldo.

¿Qué tipo de ataque tiene como objetivo PRINCIPAL consumir todos los recursos disponibles, haciendo que el servicio de una organización sea inaccesible para sus usuarios?. Troyanos. Cross-Site Scripting. Denial of Service (DoS). Phishing.

¿Cuál de estas herramientas es MÁS probable que detecte una vulnerabilidad XSS?. Escáner de vulnerabilidades de red. Prueba estática de aplicaciones. Sistema de detección de intrusos. Escáner de vulnerabilidades de aplicaciones web.

¿Qué tipo de control físico de acceso es MENOS efectivo para evitar el acceso no autorizado a un centro de datos?. Torniquetes. Barreras. Cercas. Bolardos.

¿Cuál de estas NO es un tipo de malware?. Troyano. Gusano. Spoofing. Rootkit.

¿Qué principio de seguridad establece que un usuario solo debe tener los permisos necesarios para ejecutar una tarea?. Cuentas privilegiadas. Separación de funciones. Privilegios mínimos. Defensa en profundidad.

¿Cuál es el objetivo principal de implementar políticas de seguridad en una organización?. Asegurar el cumplimiento legal. Crear un marco para controles y procedimientos de seguridad. Exigir contraseñas fuertes. Capacitar a los empleados en ciberseguridad.

¿Cuál de los siguientes es un ejemplo de control de seguridad físico?. Cortafuegos. Cifrado. Guardias de seguridad. Software antivirus.

¿Qué fase del plan de recuperación ante desastres implica la restauración de las operaciones normales?. Respuesta. Recuperación. Mitigación. Análisis de impacto empresarial (BIA).

¿Cuál de las siguientes es un componente principal de un plan de respuesta a incidentes?. Evaluación de riesgos. Procedimientos de comunicación. Desarrollo de políticas de seguridad. Medidas de seguridad física.

¿Cuál de las siguientes es una actividad clave en las operaciones de seguridad para mantener la integridad de los sistemas. Implementar controles de acceso. Realizar respaldos regulares. Llevar a cabo auditorías de seguridad. Monitorear el tráfico de red.

La pérdida de control, el compromiso, la divulgación no autorizada, la adquisición no autorizada o cualquier suceso similar en el que: una persona que no sea un usuario autorizado acceda o pueda acceder a información personal identificable; o un usuario autorizado acceda a información personal identificable para un fin distinto al autorizado. Incidente. Incumplimiento. Evento. Intrusión.

Un suceso que pone en peligro real o potencialmente la confidencialidad, integridad o disponibilidad de un sistema de información o de la información que el sistema procesa, almacena o transmite.

Un suceso que pone en peligro real o potencialmente la confidencialidad, integridad o disponibilidad de un sistema de información o de la información que el sistema procesa, almacena o transmite. Incidente. Vulnerabilidad. Intrusion. Amenaza.

Un ataque particular. Se denomina así porque estos ataques aprovechan las vulnerabilidades del sistema. Explotar. Vulnerabilidad. Intrusión. Amenaza.

Un ataque particular. Se denomina así porque estos ataques aprovechan las vulnerabilidades del sistema.

Un suceso de seguridad, o una combinación de sucesos, que constituye un incidente de seguridad deliberado en el que un intruso obtiene, o intenta obtener, acceso a un sistema o a un recurso del sistema sin autorización. Explotar. incidente. Intrusión. Amenaza.

Debilidad en un sistema de información, en los procedimientos de seguridad del sistema, en los controles internos o en la implementación que podría ser explotada o desencadenada por una fuente de amenaza. Vulnerabilidad. Evento. Amenaza. Incidente.

Cualquier circunstancia/evento con el potencial de afectar negativamente a las operaciones de la organización (incluida la misión, las funciones, la imagen o la reputación), los activos de la organización, los individuos, otras organizaciones o la nación a través de un sistema de información mediante el acceso no autorizado, la destrucción, la divulgación, la modificación de la información y/o la denegación de servicio.

Cualquier suceso observable en una red o sistema. Vulnerabilidad. Evento. Amenaza. Incidente.

Cualquier suceso observable en una red o sistema.

¿Cuál de los siguientes es poco probable que sea miembro del equipo de recuperación ante desastres? (D2, L2.2.3). Dirección Ejecutiva. Relaciones Públicas. Empleado de facturación. Personal de TI.

¿La siguiente expresión es cierta o falsa? Un componente importante del plan de continuidad del negocio detalla cómo y cuándo se promulga el plan. (D2, L2.1.3). Verdadero. Falso.

¿Con qué frecuencia debe una organización probar su plan de continuidad del negocio (BCP)? (D2, L2.2.1). Anualmente. Continuamente. Rutinariamente. Diario.

Está trabajando en la oficina de seguridad de su organización. Recibe una llamada de un usuario que ha intentado iniciar sesión en la red varias veces con las credenciales correctas, sin éxito. Este es un ejemplo de un(a)_______. (D2, L2.1.1). Emergencia. Evento. Política. Desastre.

Está trabajando en la oficina de seguridad de su organización. Recibe una llamada de un usuario que intentó iniciar sesión en la red varias veces con las credenciales correctas, sin éxito. Después de una breve investigación, determina que la cuenta del usuario se ha visto comprometida. Este es un ejemplo de un(a)_______. (D2, L2.1.1). Gestión del riesgo. Detección de incidentes. Malware. Desastre.

Una entidad externa ha intentado obtener acceso al entorno de TI de una organización sin la debida autorización. Este es un ejemplo de un(a) _________. (D2, L2.1.1). Explotar. Intrusion. Evento. Malware.

Al responder a un incidente de seguridad, su equipo determina que la vulnerabilidad que se explotó no era ampliamente conocida por la comunidad de seguridad y que actualmente no existen definiciones/listados conocidos en bases de datos o colecciones de vulnerabilidades comunes. Esta vulnerabilidad y exploit podría llamarse ______. (D2, B 2.1.1). Fractales. Critico. Dia cero. Malware.

¿Verdadero o falso? El departamento de TI es responsable de crear el plan de continuidad del negocio de la organización. (D2, L2.2.1). Verdadero. Falso.

El esfuerzo de Continuidad del negocio para una organización es una forma de garantizar que las funciones críticas de ______ se mantengan durante un desastre, una emergencia o una interrupción del entorno de producción. (D2, B 2.2.1). Negocio. Tecnica. TI. Financiero.

¿Cuál de los siguientes es muy probable que se utilice en un esfuerzo de recuperación ante desastres (DR)? (D2, B 2.3.1). perros guardianes. Copias de seguridad de datos. Personal de contrato. Soluciones antimalware.

¿Cuál de los siguientes se asocia a menudo con la planificación de DR?. Listas de control. Cortafuegos. Detectores de movimiento. No repudio.

¿Cuál de estas actividades se asocia a menudo con los esfuerzos de DR? (D2, L2.3.1). Empleados que regresan a la ubicación de producción principal. Ejecutar soluciones antimalware. Exploración del entorno de TI en busca de vulnerabilidades. Hazañas de día cero.

¿Cuál de estos componentes es probable que sea fundamental para cualquier esfuerzo de recuperación ante desastres (DR)? (D2, L2.3.1). Enrutadores. Computadoras portátiles. Cortafuegos. Copias de seguridad.

¿Cuál de los siguientes es poco probable que sea miembro del equipo de recuperación de desastres? (D2, L2.2.3). Dirección ejecutiva. Relaciones publicas. Empleado de facturación. Personal Informático.

¿Cuál de las siguientes áreas no se incluye típicamente en un plan de continuidad del negocio?. Cumplimiento. Gestión de incidentes. Recuperación de desastres. Gestión de la configuración.

¿Quién debe ser incluido como parte de un equipo de respuesta en un plan de continuidad del negocio?. El equipo de TI. El centro de operaciones de seguridad. Servicios de primera línea. Cualquier función que se requiera como parte de la respuesta.

Como gerente de seguridad de una organización, se le ha pedido que elija quién es el mejor para firmar el nuevo plan de recuperación de desastres. ¿A quién sugeriría?. Un miembro del equipo de alta dirección, como el CIO o el CEO. Todas las áreas afectadas por el plan deben firmar para ayudar a hacer cumplir la responsabilidad. Cualquier miembro del equipo de alta dirección puede firmar. Como gerente de seguridad, usted es el mejor posicionado para hacerlo.

Como mínimo, ¿con qué frecuencia se debe revisar un plan de continuidad del negocio o de recuperación de desastres?. Anualmente. Trimestralmente. Las revisiones informales son suficientes. No requiere un proceso formal de revisión.

Un sistema de alimentación ininterrumpida (UPS) proporciona energía a uno o más dispositivos en caso de pérdida de la energía principal. ¿Con cuál de los siguientes planes se alinea más estrechamente?. Continuidad del negocio. Recuperación de desastres. Respuesta a incidentes. Todas las anteriores.

Compare y contraste los permisos de una cuenta de usuario regular con los permisos de una cuenta de usuario privilegiado.¿Qué función obtendría permisos de cuenta normal? (Seleccione todo lo que corresponda). Empleado a tiempo parcial. Empleado remoto. Director de seguridad de la información. Administrador de red. Administrador del sistema. Empleado a tiempo completo. Empleado temporal. Gerente/Jefe de equipo.

Compare y contraste una cuenta de usuario normal con una cuenta de usuario privilegiado. Una cuenta de usuario privilegiado: (Seleccione todo lo que corresponda). Tiene acceso para interactuar directamente con servidores y otros dispositivos de infraestructura. Tiene acceso para iniciar sesión solo en estaciones de trabajo autorizadas. Lo más probable es que tenga acceso de solo lectura a una base de datos. Tiene niveles de acceso que normalmente se necesitan para las operaciones comerciales diarias. Tiene el nivel más bajo de registro asociado con acciones. En caso de requerir el uso de MFA. Utiliza el control de acceso más estricto. Tiene el nivel más alto de registro asociado con acciones. A menudo tiene la capacidad de crear usuarios y asignar permisos.

¿Cuál de los siguientes es un sujeto? (D 3, L3.1.1). Un archivo. Una Valla. Un nombre de archivo. Un usuario.

Lia trabaja en la oficina de seguridad. Durante una investigación, Lia se entera de que un cambio de configuración podría proteger mejor el entorno informático de la organización. Lia hace una propuesta para este cambio, pero el cambio no puede aplicarse hasta que sea aprobado, probado y, a continuación, autorizado para su despliegue por la Junta de Control de Cambios. Este es un ejemplo de __________. (D3, L3.1.1). Defensa en profundidad. Seguridad integral. Inteligencia sobre amenazas. Segregación de Funciones.

Duncan y Mira trabajan ambos en el centro de datos de Triffid, Inc. Existe una política que exige que ambos estén presentes en el centro de datos al mismo tiempo; si uno de ellos tiene que salir por cualquier motivo, el otro tiene que salir también, hasta que ambos puedan volver a entrar. Esto se denomina ________. (D 3, L3.1.1). Bloqueo. Autenticación multifactor. Integridad de dos personas. Defensa en profundidad.

Clyde es el analista de seguridad encargado de encontrar un control físico adecuado para reducir la posibilidad de que personas sin acreditación sigan a empleados con acreditación a través de la entrada de las instalaciones de la organización. ¿Cuál de las siguientes opciones puede abordar este riesgo?(D3, L3.2.1). Vallas. Perros. Bolardos. Torniquetes.

Sinka está considerando un control físico disuasorio para disuadir a las personas no autorizadas de entrar en la propiedad de la organización. ¿Cuál de las siguientes opciones serviría a este propósito? (D3, L3.2.1). Un muro. Cinta de afeitar. Un signo. Una cámara oculta.

¿Cuál de estas combinaciones de controles de seguridad física comparte un único punto de fallo? (D3, L3.2.1). Guardas y vallas. Lectores de tarjetas y pared. Perros y bolardos. Iluminación y cámaras de alta iluminación.

Lakshmi presenta un identificador de usuario y una contraseña a un sistema para iniciar sesión. ¿Cuál de las siguientes características debe tener el identificador de usuario?(D3, L3.3.1). Confidencialidad. Complejidad. Unico. Largo.

Lakshmi presenta un identificador de usuario y una contraseña a un sistema para iniciar sesión. ¿Cuál de las siguientes características debe tener la contraseña? (D3, L3.3.1. Confidencialidad. Matematicas. Unico. Compartidas.

Derrick se conecta a un sistema para leer un archivo. En este ejemplo, Derrick es el ______. (D3, L3.3.1). Sujeto. Objeto. Proceso. Predicado.

¿Cuál es un control físico que impide el "piggybacking" o "tailgating"; es decir, que una persona no autorizada siga a una persona autorizada hasta una zona controlada? (D3, L3.2.1. Bolardos. Torniquetes. Valla. Pared.

Un dispositivo que dirige el tráfico al puerto de un dispositivo conocido. Dirección Mac. Servidor. Switch. Firewall. Ethernet. Dirección IP.

Un ordenador que proporciona información a otros ordenadores. Dirección Mac. Servidor. Switch. Firewall. Ethernet. Dirección IP.

Dispositivo que filtra el tráfico de red basándose en un conjunto definido de reglas. Dirección Mac. Servidor. Switch. Firewall. Ethernet. Dirección IP.

Norma que define las comunicaciones por cable de los dispositivos conectados en red. Dirección Mac. Servidor. Switch. Firewall. Ethernet. Dirección IP.

Dirección lógica que representa la interfaz de red. Dirección Mac. Servidor. Switch. Firewall. Ethernet. Dirección IP.

Dirección que denota el proveedor o fabricante de la interfaz de red física. Dirección Mac. Servidor. Switch. Firewall. Ethernet. Dirección IP.

¿Cuál de los siguientes ejemplos es una versión abreviada correcta de la dirección 2001:0db8:0000:0000:0000:ffff:0000:0001?. 2001:db8::ffff:0000:1. 2001:0db8:0:ffff::1. 2001:db8::ffff:0:00001. 2001:db8::ffff:0:1.

¿Cuál de los siguientes protocolos es una alternativa segura al uso de telnet? (D4, L4.1.2). HTTPS. LDAPS. SFTP. SSH.

Diagramas de redes informáticas. Cortafuegos. Internet. Punto de acceso inalámbrico. Enrutador. Dispositivo inalámbrico (Laptop, Tablet, etc.). Teléfono. Estaciones de trabajo. Servidor. Switch.

¿Qué es un tipo de malware que cifra archivos y exige el pago del código de descifrado? (D4, L4.2.1). APT. Ransomware. Suplantación de identidad. Denegación de servicio.

¿Qué amenazas están directamente asociadas con el malware? Seleccione todas las que correspondan. APT. Secuestro de datos. troyano. Suplantación de identidad. Virus.

¿Qué tráfico se debe denegar o permitir en el cortafuegos? Seleccione permitido o denegado para cada tráfico. Tráfico ICMP entrante. Permitido. Denegado.

¿Qué tráfico se debe denegar o permitir en el cortafuegos? Seleccione permitido o denegado para cada tráfico. Tráfico entrante con IP de origen y/o dirección de correo electrónico desde dentro de la red. Permitido. Denegado.

¿Qué tráfico se debe denegar o permitir en el cortafuegos? Seleccione permitido o denegado para cada tráfico. Correo electrónico entrante sin archivos adjuntos. Permitido. Denegado.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. DNI. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. HID. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. NIDS. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. SIEM. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. Antimalware/Antivirus. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. Escaneos. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. Cortafuegos. Identificar. Prevenir. Ambas.

¿Qué herramientas ayudan a identificar, prevenir o identificar y prevenir amenazas? Seleccione identificar, prevenir o ambos para cada herramienta. IPS (NIPS/HIPS). Identificar. Prevenir. Ambas.

¿Cuál de los siguientes se asocia típicamente con un centro de datos local? (D4, L4.3.1). Extinción de incendios. HVAC - Calefacción, Ventilación y Aire Acondicionado. Energia. Todo lo anterior.

¿Cuál de las siguientes no es una fuente de alimentación redundante (D4, L4.3.1): Climatización. Generador. Utilidad. SAI.

¿Qué modelo de implantación de la nube proporciona servicios a una sola organización? (D4, L4.3.3). Publico. Privado. Hibrido.

¿Cuál de los siguientes modelos de servicios en la nube proporciona el entorno más adecuado para que los clientes construyan y operen su propio software? (D4. L4.3.3). SaaS. PaaS. IaaS. SLA.

¿Qué término describe un túnel de comunicación que proporciona transmisión de punto a punto tanto de autenticación como de tráfico de datos a través de una red que no es de confianza? (D4, L4.3.2). VPN. Confianza Cero. DMZ. Ninguna de las anteriores.

Dispositivo de red común utilizado para conectar redes. (D4.1, L4.1.1). servidor. punto final. enrutador. cambiar.

Un dispositivo de red común utilizado para filtrar el tráfico. (D4.1, L4.1.1). servidor. punto final. ethernet. cortafuegos.

punto final <------> servidor web ¿Qué número de puerto está asociado con el protocolo que normalmente se usa en esta conexión? (D4.1, L4.1.2). 21. 53. 80. 161.

Un ataque contra la disponibilidad de una red/sistema; normalmente utiliza muchas máquinas atacantes para dirigir el tráfico contra un objetivo determinado. (D4.2, L4.2.1). gusano. virus. sigilo. denegación de servicio distribuida (DDOS).

Una solución de seguridad instalada en un punto final para detectar actividad potencialmente anómala. (D4.2, L4.2.2). enrutador. Sistema de prevención de intrusiones basado en host. Switch. istema de gestión de incidentes y eventos de seguridad (SIEM).

Una solución de seguridad que detecta, identifica y, a menudo, pone en cuarentena el software potencialmente hostil. (D4.2, L4.2.2). cortafuegos. Guardia. cámara. anti-malware.

El término común utilizado para describir los mecanismos que controlan la temperatura y la humedad en un centro de datos. (D4.3, L4.3.1). VLAN (red de área local virtual). HVAC (calefacción, ventilación y aire acondicionado). STAT (temperatura del sistema y tiempo). TAWC (control de temperatura y agua).

Un acuerdo de nube en el que el proveedor posee y administra el hardware, el sistema operativo y las aplicaciones en la nube, y el cliente es propietario de los datos. (D4.3 L4.3.2). infraestructura como servicio (IaaS). transformación como servicio (MaaS). plataforma como servicio (PaaS). software como servicio (SaaS).

Una parte de la red de la organización que interactúa directamente con el mundo exterior; por lo general, esta área expuesta tiene más controles y restricciones de seguridad que el resto del entorno de TI interno. (D4.3 L4.3.3). Instituto Nacional de Estándares y Tecnología (NIST). zona desmilitarizada (DMZ). red privada virtual (VPN). red de área local virtual (VLAN).

¿Cuál de las siguientes herramientas se puede utilizar para otorgar a los usuarios remotos acceso al entorno de TI interno? (D4.3 L4.3.3). VLAN (red de área local virtual). VPN (red privada virtual). DDOS (denegación de servicio distribuida). MAC (control de acceso a los medios).

¿Cuántos bits hay en la dirección de hardware asignada a los dispositivos de red?. 24 bits. 32 bits. 40 bits. 48 bits.

¿Qué respuesta describe mejor la diferencia entre un hub y un switch?. Un hub puede mejorar el rendimiento y la seguridad en una red enviando paquetes solo al nodo designado. Un switch puede mejorar el rendimiento y la seguridad en una red enviando paquetes solo al nodo designado. Un hub puede mejorar el rendimiento y la seguridad en una red enviando tramas solo al nodo designado. Un switch puede mejorar el rendimiento y la seguridad en una red enviando tramas solo al nodo designado.

¿Qué modelo de servicio en la nube ofrece al cliente mayor control sobre los horarios de actualización y parches?. PaaS. SaaS. Publico. Hibrido.

¿Qué tipo de control ayuda a detectar incidentes de seguridad y también apoya típicamente la agregación de archivos de registro?. IDS. IPS. SIEM. NAC.

¿Cuál de los siguientes problemas no suele estar asociado con los dispositivos IoT?. Los ciclos de actualización rápida pueden significar que la seguridad no está bien implementada. Los dispositivos IoT no soportan encriptación. Los dispositivos pueden tener baja visibilidad en las redes. Los dispositivos IoT pueden no estar bien soportados por los fabricantes.

¿Cuál de los siguientes no influye normalmente en la política de retención de registros de una organización? (D5, L5.1.3). Leyes. Auditorías. Gobierno corporativo. Regulaciones.

¿Cuál de los siguientes se puede usar para mapear los flujos de datos a través de una organización y los controles de seguridad relevantes que se usan en cada punto del camino? (D5.1, L5.1.1). cifrado. hash. copia impresa. ciclo de vida de los datos.

¿Por qué es tan importante un inventario de activos? (D5.2, L5.2.1). te dice qué cifrar. no puedes proteger lo que no sabes que tienes. la ley lo exige. contiene una lista de precios.

¿Quién es responsable de publicar y firmar las políticas de la organización? (D5.3, L5.3.1). la oficina de seguridad. Recursos humanos. Gerencia senior. el departamento legal.

¿Cuál de las siguientes es siempre cierta sobre el registro? (D5.1, L5.1.3). los registros deben ser muy detallados. los registros deben estar en inglés. los registros deben ser concisos. los registros deben almacenarse por separado de los sistemas que están registrando.

Un modo de encriptación para garantizar la confidencialidad de manera eficiente, con una cantidad mínima de sobrecarga de procesamiento (D5.1, L5.1.3). asimétrico. simétrico. hash. encubierto.

Una señal visual lista para que cualquier persona en contacto con los datos sepa cuál es la clasificación. (D5.1, L5.1.1). cifrado. etiqueta. gráficos. fotos.

Un conjunto de controles de seguridad o configuraciones del sistema que se utilizan para garantizar la uniformidad de la configuración a través del entorno de TI. (D5.2, L5.2.1). parches. inventario. base. política.

¿Cuál es el aspecto más importante de la concientización/capacitación en seguridad? (D5.4, L5.4.1). protegiendo los activos. maximizar las capacidades comerciales. garantizar la confidencialidad de los datos. proteger la salud y la seguridad humana.

¿Qué entidad es más probable que tenga la tarea de monitorear y hacer cumplir la política de seguridad? (D5.3, L5.3.1). la oficina de recursos humanos. el departamento legal. reguladores. la oficina de seguridad.

¿Qué política organizacional describe típicamente qué tipos de teléfonos inteligentes se pueden usar para conectarse al entorno de TI interno? (D5.3, L5.3.1). la política de CM (gestión del cambio). la política de contraseñas. la AUP (política de uso aceptable). la política BYOD (traiga su propio dispositivo).

Preenka trabaja en un aeropuerto. Hay líneas rojas pintadas en el suelo al lado de la pista; Preenka ha recibido instrucciones de que nadie puede pisar o cruzar una línea roja a menos que solicite y obtenga un permiso específico de la torre de control. Este es un ejemplo de un(n)______ control. (D1, L1.3.1). físico. administrativo. crítico. técnico.

Todas las demás respuestas son ejemplos de amenazas, ya que todas tienen el potencial de causar un impacto adverso en la organización y los activos de la organización. ¿Cuál de los siguientes probablemente representa el mayor riesgo? (D1, L1.2.1). a evento de alta probabilidad y alto impacto. un evento de alta probabilidad y bajo impacto. un evento de baja probabilidad y alto impacto. un evento de baja probabilidad y bajo impacto.

Un sistema que recopila información transaccional y la almacena en un registro para mostrar qué usuarios realizaron qué acciones es un ejemplo de cómo proporcionar ________. (D1, L1.1.1). no repudio. autenticación multifactor. datos biométricos. privacidad.

Un firewall de software es una aplicación que se ejecuta en un dispositivo y evita que tipos específicos de tráfico ingresen a ese dispositivo. Este es un tipo de control ________. (D1, L1.3.1). físico. administrativo. pasivo. técnico.

Zarma es miembro de (ISC)2 y analista de seguridad de Triffid Corporation. Uno de los colegas de Zarma está interesado en obtener una certificación (ISC)2 y le pregunta a Zarma cómo son las preguntas del examen. ¿Qué debe hacer Zarma? (D1, L1.5.1). informar (ISC)2. explicar el estilo y el formato de las preguntas, pero ningún detalle. informar al supervisor del colega. nada.

Steve es un profesional de la seguridad asignado para idear una medida de protección para garantizar que los automóviles no colisionen con los peatones. ¿Cuál es probablemente el tipo de control más efectivo para esta tarea? (D1, L1.3.1). administrativo. técnico. físico. matizado.

El código municipal de Grampon exige que todas las empresas que operan dentro de los límites de la ciudad tengan un conjunto de procesos para garantizar que los empleados estén seguros mientras trabajan con materiales peligrosos. Triffid Corporation crea una lista de verificación de actividades que los empleados deben seguir mientras trabajan con materiales peligrosos dentro de los límites de la ciudad de Grampon. El código municipal es un ______ y la lista de control Triffid es un ________. (D1, L1.4.2). ley, procedimiento. norma, ley. ley, norma. política, ley.

En los conceptos de gestión de riesgos, un(a) ___________ es algo o alguien que representa un riesgo para una organización o activo. (D1, L1.2.1). miedo. amenaza. controlar. activo.

De los siguientes, ¿cuál probablemente no se consideraría una amenaza? (D1, L1.2.1). desastre natural. daño no intencional al sistema causado por un usuario. a portátil con datos confidenciales. un atacante externo que intenta obtener acceso no autorizado al entorno.

Chad es un profesional de seguridad encargado de garantizar que nadie fuera de la organización cambie la información en el sitio web público de la organización. Esta tarea es un ejemplo de cómo asegurar _________. (D1, L1.1.1). Confidencialidad. Integridad. Disponibilidad. Confirmación.

Dentro de la organización, ¿quién puede identificar el riesgo? (D1, L1.2.2). el jefe de seguridad. cualquier miembro del equipo de seguridad. alta dirección. a nadie.

Afrodita es miembro de (ISC)2 y analista de datos para Triffid Corporation. Mientras Aphrodite revisa los datos de registro del usuario, Aphrodite descubre que otro empleado de Triffid está violando la política de uso aceptable y viendo videos en tiempo real durante las horas de trabajo. ¿Qué debe hacer Afrodita? (D1, L1.5.1). informar (ISC)2. informar a las fuerzas del orden. informar a la dirección de Triffid. nada.

Triffid Corporation publica una política que establece que todo el personal actuará de manera que proteja la salud y la seguridad humana. La oficina de seguridad tiene la tarea de escribir un conjunto detallado de procesos sobre cómo los empleados deben usar equipo de protección, como cascos y guantes, cuando se encuentran en áreas peligrosas. Este conjunto detallado de procesos es un _________. (D1, L1.4.1). politica. procedimiento. estándar. ley.

La ciudad de Grampon quiere asegurarse de que todos sus ciudadanos estén protegidos contra el malware, por lo que el ayuntamiento crea una regla según la cual cualquiera que sea sorprendido creando y lanzando malware dentro de los límites de la ciudad recibirá una multa e irá a la cárcel. ¿Qué clase de regla es esta? (D1, L1.4.1). politica. procedimiento. estándar. ley.

¿Cuál de los siguientes es un ejemplo de un factor de autenticación de "algo que eres"? (D1, L1.1.1). una tarjeta de crédito presentada en un cajero automático. su contraseña y PIN. una identificación de usuario. a fotografía de tu cara.

Druna es una profesional de seguridad encargada de garantizar que las computadoras portátiles no sean robadas de las oficinas de la organización. ¿Qué tipo de control de seguridad sería probablemente el mejor para este propósito? (D1, L1.3.1). técnico. anverso. físico. administrativo.

Jengi está configurando la seguridad de una red doméstica. Jengi decide configurar el filtrado de direcciones MAC en el enrutador, de modo que solo dispositivos específicos puedan unirse a la red. Este es un ejemplo de un(a)_______ control. (D1, L1.3.1). físico. administrativo. sustancial. técnico.

Tina es miembro de (ISC)2 y está invitada a unirse a un grupo en línea de entusiastas de la seguridad de TI. Después de asistir a algunas sesiones en línea, Tina se entera de que algunos participantes del grupo comparten malware entre sí para usarlo contra otras organizaciones en línea. ¿Qué debe hacer Tina? (D1, L1.5.1). nada. dejar de participar en el grupo. denunciar el grupo a la policía. reportar el grupo a (ISC)2.

¿Cuál de los siguientes es un ejemplo de un factor de autenticación de "algo que sabes"? (D1, L1.1.1). ID de usuario. palabra clave. huella dactilar. exploración del iris.

Siobhan es miembro de (ISC)2 y trabaja para Triffid Corporation como analista de seguridad. Ayer, Siobhan recibió una multa de estacionamiento mientras compraba después del trabajo. ¿Qué debe hacer Siobhan? (D1, L1.5.1). informar (ISC)2. pagar la multa de estacionamiento. informar a los supervisores en Triffid. renunciar al empleo de Triffid.

Un atacante fuera de la organización intenta obtener acceso a los archivos internos de la organización. Este es un ejemplo de un(a) ______. (D2, L2.1.1). intrusión. explotar. divulgación. publicación.

¿Cuál es el riesgo asociado con la reanudación de las operaciones normales completas demasiado pronto después de un esfuerzo de recuperación ante desastres? (D2, L2.3.1). el peligro planteado por el desastre aún podría estar presente. los inversores podrían estar molestos. los reguladores podrían desaprobar. la organización podría ahorrar dinero.

¿Verdadero o falso? La planificación de la continuidad del negocio es un procedimiento reactivo que restaura las operaciones comerciales después de que ocurre una interrupción. (D2, L2.2.1). Verdadero. Falso.

¿Cuál es el objetivo de los esfuerzos de Continuidad del Negocio? (D2, L2.2.1). ahorrar dinero. impresionar a los clientes. garantizar que todos los sistemas de TI continúen funcionando. mantener operativas las funciones comerciales críticas.

¿Quién aprueba la política de respuesta a incidentes? (D2, L2.1.1). (ISC)2. gerencia superior. el jefe de seguridad. inversores.

Está revisando los datos de registro de un enrutador; hay una entrada que muestra que un usuario envió tráfico a través del enrutador a las 11:45 am, hora local, ayer. Este es un ejemplo de un(a) _______. (D2, L2.1.1). incidente. evento. ataque. amenaza.

¿Cuál es el objetivo de un esfuerzo de respuesta a incidentes? (D2, L2.1.1). asegurarse de que nunca ocurran incidentes. reducir el impacto de los incidentes en las operaciones. castigar a los malhechores. ahorrar dinero.

En el lugar de trabajo de Parvi, el perímetro de la propiedad está cercado por una cerca; hay una puerta con un guardia en la entrada. Todas las puertas internas solo admiten personal con credencial y cámaras monitorean los pasillos. Los datos confidenciales y los medios se guardan en cajas fuertes cuando no están en uso. (D3, L3.1.1) Esto es un ejemplo de: integridad de dos personas. segregación de funciones. defensa en profundidad. pruebas de penetración.

¿Cuál de las siguientes afirmaciones es verdadera? (D3, L3.3.1). los controles de acceso lógico pueden proteger perfectamente el entorno de TI; no hay razón para implementar otros controles. los controles de acceso físico pueden proteger perfectamente el entorno de TI; no hay razón para implementar otros controles. los controles de acceso administrativo pueden proteger perfectamente el entorno de TI; no hay razón para implementar otros controles. es mejor utilizar una combinación de controles para proporcionar una seguridad óptima.

Prachi trabaja como administrador de la base de datos de Triffid, Inc. Prachi puede agregar o eliminar usuarios, pero no puede leer ni modificar los datos en la base de datos. Cuando Prachi inicia sesión en el sistema, una lista de control de acceso (ACL) verifica para determinar qué permisos tiene Prachi. En esta situación, ¿qué es la ACL? (D3, L3.1.1). el sujeto. el objeto. la regla. el firmware.

Trina es una profesional de seguridad en Triffid, Inc. A Trina se le ha asignado la tarea de seleccionar un nuevo producto para que sirva como control de seguridad en el entorno. Después de investigar un poco, Trina selecciona un producto en particular. Antes de que se pueda comprar ese producto, un gerente debe revisar la selección de Trina y determinar si aprueba la compra. Esta es una descripción de: (D3, L3.1.1). integridad de dos personas. segregación de deberes. software. defensa en profundidad.

¿Cuál de estos es un ejemplo de un mecanismo de control de acceso físico? (D3, L3.2.1). firewall basado en software en el perímetro de la red. una cerradura en una puerta. conmutadores de red que filtran según las direcciones MAC. un proceso que requiere que dos personas actúen al mismo tiempo para realizar una función.

Todos los visitantes de una instalación segura deben ser _______. (D3, L3.2.1). huellas dactilares. fotografiado. escoltado. obligado a llevar equipo de protección.

¿Cuál de los siguientes es probablemente más útil en el perímetro de una propiedad? (D3, L3.2.1). una caja fuerte. una valla. un centro de datos. una instalación de almacenamiento de registro centralizado.

Prina es administradora de bases de datos. Prina puede agregar nuevos usuarios a la base de datos, eliminar usuarios actuales y crear nuevas funciones de uso para los usuarios. Prina no puede leer los datos en los campos de la propia base de datos. Este es un ejemplo de: (D3, L3.3.1). controles de acceso basados en roles (RBAC). controles de acceso obligatorios (MAC). controles de acceso discrecional (DAC). aliviar los controles de acceso de amenazas (ATAC).

Guillermo inicia sesión en un sistema y abre un archivo de documento. En este ejemplo, Guillermo es: (D3, L3.1.1). el sujeto. el objeto. el proceso. el programa.

Para que una seguridad biométrica funcione correctamente, los datos fisiológicos de una persona autorizada deben ser ______. (D3, L3.2.1). transmisión. almacenado. eliminado. modificado.

Handel es gerente sénior en Triffid, Inc. y está a cargo de implementar un nuevo esquema de control de acceso para la empresa. Handel quiere asegurarse de que los gerentes operativos tengan la máxima elección personal para determinar qué empleados tienen acceso a qué sistemas/datos. ¿Qué método debería seleccionar Handel? (D3, L3.3.1). controles de acceso basados en roles (RBAC). controles de acceso obligatorios (MAC). Controles de acceso discrecional (DAC). política de seguridad.

Gary no puede iniciar sesión en el entorno de producción. Gary lo intenta tres veces y luego no puede volver a intentarlo durante una hora. ¿Por qué? (D3, L3.3.1). Gary está siendo castigado. La red está cansada. Los usuarios recuerdan sus credenciales si se les da tiempo para pensarlo. Las acciones de Gary parecen un ataque.

Es necesario controlar a los visitantes de una instalación segura. Los controles útiles para administrar visitantes incluyen todos los siguientes excepto: (D3, L3.2.1). hoja de registro/registro de seguimiento. valla. insignias que difieren de las insignias de los empleados. recepcionista.

¿Cuál de los siguientes roles no suele requerir acceso a una cuenta privilegiada? (D3, L3.1.1). administrador de seguridad. profesional de entrada de datos. administrador del sistema. Técnico de mesa de ayuda.

¿Cuál de los siguientes no es un control apropiado para agregar a cuentas privilegiadas? (D3, L3.1.1). aumento de la tala. autenticación multifactor. mayor auditoría. deposito de seguridad.

Handel es gerente sénior en Triffid, Inc. y está a cargo de implementar un nuevo esquema de control de acceso para la empresa. Handel quiere asegurarse de que los empleados que son asignados a nuevos puestos en la empresa no conserven el acceso que tenían en sus antiguos puestos. ¿Qué método debería seleccionar Handel? (D3, L3.3.1). controles de acceso basados en roles (RBAC). controles de acceso obligatorios (MAC). controles de acceso discrecional (DAC). registro.

Todos los siguientes se perciben típicamente como inconvenientes de los sistemas biométricos, excepto: (D3, L3.2.1). falta de precisión. posibles problemas de privacidad. retención de datos fisiológicos más allá del punto de empleo. legalidad.

¿Qué modelo común de servicio en la nube solo ofrece acceso al cliente a una aplicación determinada? (D4.3 L4.3.2). Almuerzo como servicio (LaaS). Infraestructura como servicio (IaaS). Plataforma como servicio (PaaS). Software como servicio (SaaS).

El tráfico entrante de una fuente externa parece indicar tasas de comunicación mucho más altas de lo normal, hasta el punto en que los sistemas internos pueden verse abrumados. ¿Qué solución de seguridad a menudo puede identificar y potencialmente contrarrestar este riesgo? (D4.2 L4.2.2). cortafuegos. torniquete. antimalware. sistema de distintivos.

¿Cuál de los siguientes estaría mejor ubicado en la DMZ de un entorno de TI? (D4.3 L4.3.3). la computadora portátil del lugar de trabajo del usuario. servidor de correo. motor de base de datos. Almacenamiento de registros SIEM.

Carol está navegando por Internet. ¿Cuál de los siguientes puertos probablemente esté usando? (D4.1, L4.1.2). 12. 80. 247. 999.

Un medio para permitir que los usuarios remotos tengan acceso seguro al entorno de TI interno. (D4.3 L4.3.3). Internet. VLAN. MAC. VPN.

¿Cuál de las siguientes es una de las formas comunes en que se suelen identificar los ataques potenciales? (D4.2 L4.2.2). los atacantes contactan al objetivo antes del ataque, para amenazar y asustar al objetivo. las víctimas notan un calor excesivo proveniente de sus sistemas. la empresa de servicios públicos de energía advierte a los clientes que la red estará inactiva y no se podrá acceder a Internet. los usuarios reportan actividad/respuesta inusual de los sistemas a la mesa de ayuda o a la oficina de seguridad.

¿Qué modelo de servicio de nube común ofrece al cliente el mayor control del entorno de nube? (D4.3 L4.3.2). Almuerzo como servicio (LaaS). Infraestructura como servicio (IaaS). Plataforma como servicio (PaaS). Software como servicio (SaaS).

Cyril quiere asegurarse de que todos los dispositivos del entorno de TI interno de su empresa estén correctamente sincronizados. ¿Cuál de los siguientes protocolos ayudaría en este esfuerzo? (D4.1, L4.1.2). FTP (Protocolo de transferencia de archivos). NTP (Protocolo de tiempo de red). SMTP (Protocolo simple de transferencia de correo). HTTP (Protocolo de transferencia de hipertexto).

Un dispositivo IoT (Internet de las cosas) se caracteriza por su efecto o uso del entorno _____. (D4.3 L4.3.3). filosófico. remoto. interno. físico.

¿Qué modelo común de implementación de la nube suele presentar solo los datos o la funcionalidad de un único cliente almacenados en sistemas o hardware específicos? (D4.3 L4.3.2). público. privado. comunidad. híbrido.

Una herramienta que filtra el tráfico entrante para reducir las amenazas potenciales. (D4.2 L4.2.3). NIDS (sistemas de detección de intrusos basados en red). antimalware. DLP (prevención de pérdida de datos). cortafuegos.

La sección del entorno de TI que está más cerca del mundo exterior; donde ubicamos los sistemas informáticos que se comunican con Internet. (D4.3 L4.3.3). VLAN. DMZ. MAC. RBAC:.

La dirección lógica de un dispositivo conectado a la red o Internet. (D4.1 L4.1.1). dirección de control de acceso a medios (MAC). Dirección de Protocolo de Internet (IP). dirección geofísica. dirección de la terminal.

Un dispositivo al que normalmente acceden varios usuarios, a menudo destinado a un solo propósito, como administrar el correo electrónico o las páginas web. (D4.1 L4.1.1). enrutador. switch. servidor. ordenador portátil.

Una VLAN es un método _____ de segmentación de redes. (D4.3 L4.3.3). secreto. físico. regulado. lógico.

El concepto de que la implementación de varios tipos de controles proporciona una mayor seguridad que el uso de un solo tipo de control. (D4.3 L4.3.3). VPN. privilegio mínimo. Internet. defensa en profundidad.

Barry quiere cargar una serie de archivos en un servicio de almacenamiento basado en la web, para que las personas a las que Barry haya autorizado puedan recuperar estos archivos. ¿Cuál de los siguientes sería el protocolo de comunicación preferido de Barry si quisiera que esta actividad fuera eficiente y segura? (D4.1, L4.1.2). SMTP (Protocolo simple de transferencia de correo). FTP (Protocolo de transferencia de archivos). SFTP (Protocolo seguro de transferencia de archivos). SNMP (Protocolo simple de gestión de red).

Cheryl está navegando por Internet. ¿Cuál de los siguientes protocolos probablemente esté usando? (D4.1, L4.1.2). SNMP (Protocolo simple de administración de red). FTP (Protocolo de transferencia de archivos). TFTP (Protocolo trivial de transferencia de archivos). HTTP (Protocolo de transferencia de hipertexto).

Los registros deben revisarse ______. (D5.1, L5.1.2). todos los jueves. continuamente. una vez por año calendario. una vez por año fiscal.

Los datos _____ son datos que quedan en los sistemas/medios después de intentar los procedimientos normales de eliminación. (D5.1, L5.1.1). fragmentos. paquetes. remanencia. residuo.

Una organización siempre debe estar preparada para ______ al aplicar un parche. (D5.2, L5.2.1). pagar por el contenido actualizado. comprar un nuevo sistema. resolver pleitos. reversión.

Cuando Pritha comenzó a trabajar para Triffid, Inc., Pritha tuvo que firmar una política que describía cómo se le permitiría a Pritha usar el equipo de TI de Triffid. ¿Qué política era esta? (D5.3, L5.3.1). la política de seguridad de la organización. la política de uso aceptable (AUP). a política de traer su propio dispositivo (BYOD). la política de vestimenta en el lugar de trabajo.

Los controles de seguridad de los datos de registro deben reflejar ________. (D5.1, L5.1.2). el compromiso de la organización con el servicio al cliente. la cultura local donde se almacenan los datos de registro. el precio del dispositivo de almacenamiento. la sensibilidad del dispositivo fuente.

La salida de cualquier algoritmo hash dado siempre es _____. (D5.1, L5.1.3). la misma longitud. los mismos personajes. el mismo idioma. diferente para las mismas entradas.

La alineación adecuada de la política de seguridad y los objetivos comerciales dentro de la organización es importante porque: (D5.3, L5.3.1). la seguridad siempre debe ser lo más estricta posible. la política de seguridad que entra en conflicto con los objetivos comerciales puede inhibir la productividad. una mala política de seguridad puede ser ilegal. la seguridad es más importante que el negocio.

Bluga trabaja para Triffid, Inc. como analista de seguridad. Bluga quiere enviar un mensaje a varias personas y quiere que los destinatarios sepan que el mensaje definitivamente vino de Bluga. ¿Qué tipo de encriptación debería usar Bluga? (D5.1, L5.1.3). cifrado simétrico. cifrado asimétrico. cifrado a pequeña escala. hash.

La organización debe mantener una copia de cada Política de uso aceptable (AUP) firmada en el archivo y entregar una copia a _______. (D5.3, L5.3.1). el usuario que lo firmó. los reguladores que supervisan esa industria. legisladores. la oficina de Relaciones Públicas.

Los períodos de retención de datos se aplican a ____ datos. (D5.1, L5.1.1). medico. sensible. a todos. secreto.

¿Quién dicta la política? (D5.3, L5.3.1). el jefe de seguridad. la oficina de Recursos Humanos. gerencia superior. auditores.

Cuando los datos hayan llegado al final del período de retención, deben ser _____. (D5.1, L5.1.1). destruido. archivado. mejorado. vendido.

Uno de los beneficios de la capacitación basada en computadora (CBT): (D5.4, L5.4.1). caro. escalable. interacción personal con el instructor. interactuar con otros participantes.

¿Por qué un sistema de clasificación debe asegurarse de que incluso los activos de información de baja seguridad estén etiquetados?. Etiquetar todos los activos de información proporcionará un estilo consistente y profesional para todos los recursos. Es más fácil requerir que todos los activos sean clasificados que diferenciar cuáles elementos requieren etiquetado y cuáles no. Etiquetar es una mejor práctica. En caso de que un activo no esté etiquetado por error, el error es inmediatamente aparente.

La criptografía simétrica es relativamente rápida y fuerte cuando se compara con la criptografía asimétrica. ¿Por qué podríamos usar un algoritmo asimétrico?. La criptografía asimétrica usa diferentes algoritmos matemáticos que son más difíciles de atacar. La criptografía asimétrica ayuda a abordar la distribución de claves al permitir el intercambio de claves públicas en un medio no confiable. El uso de dos claves proporciona protección adicional. No hay un caso de uso específico donde la criptografía asimétrica sería ventajosa.

Se le pide que use el algoritmo de hash MD5 para ayudar a los clientes a verificar que los archivos que descargan de su sitio web no estén corruptos. ¿De qué tamaño sería un resumen para un archivo que tiene una longitud de 64 bits?. El algoritmo MD5 generará un resumen de 128 bits. MD5 no se puede usar con entradas de menos de 128 bits de longitud. El resumen será de 64 bits de longitud ya que la entrada es más pequeña que el valor estándar del resumen. Una entrada de 64 bits será demasiado propensa a generar colisiones para ser considerada útil.

Has recomendado un programa de capacitación anual en seguridad para todos los miembros de tu organización. Antes de aprobarlo, se te ha pedido que justifiques el enfoque. ¿Qué respuesta describe mejor los beneficios de dicho programa?. Que todos los usuarios serán capaces de identificar amenazas como ataques de phishing. La capacitación anual permite actualizaciones que reflejan amenazas nuevas y cambiantes. Los usuarios tendrán menos probabilidades de cometer errores de seguridad si comprenden las mejores prácticas. Todas las anteriores.

Un usuario ha preguntado qué clave se debe usar al transmitir un mensaje confidencial utilizando encriptación asimétrica. ¿Cuál respuesta es correcta?. Para asegurar la confidencialidad, los mensajes deben ser encriptados con la clave pública del remitente. Para asegurar la confidencialidad, los mensajes deben ser encriptados con la clave privada del remitente. Para asegurar la confidencialidad, los mensajes deben ser encriptados con la clave pública del destinatario. Para asegurar la confidencialidad, los mensajes deben ser encriptados con la clave privada del destinatario.

Denunciar Test

▲