Seguridad informatica - Auditorías

Indique cual de las siguientes normas no está dentro de las Normas de Auditoría de Sistemas de Información ISACA. El auditor de los sistemas de informacion debe ser dependiente del auditado. El auditor debe cumplir con el código de Ética Profesional de ISACA. El auditor debe tener conocimientos técnicos y destrezas para hacer la auditoría. La auditoria debe llevarse a cabo cuidando y cumpliendo la norma aplicable.

El auditor debe evitar recomendar actuaciones no necesarias o que impliquen riesgo sin justificación para el auditado. Principio de cautela. Principio de comportamiento profesional. Principio de beneficio del auditado. Principio de economia.

El auditor debe delimitar el alcance y los limites de la auditoría, evitando retrasos y costes extra. Principio de economia. Principio de beneficio del auditado. Principio de cautela. Principio de comportamiento profesional.

El auditor debe tener en cuenta las normas, cuidando la exposición de sus conocimientos técnicos y siendo preciso y correcto. Principio de comportamiento profesional. principio de beneficio del auditado. Principio de cautela. Principio de economía.

El auditor debe mantener la confidencialidad de los datos del auditado, fomentando relacion de confianza. Principio de beneficio del auditado. Principio de secreto profesional. Principio del comportamiento profesional. Principio de economía.

¿Cuál de los siguientes forma parte de los principios del código deontológico de la auditoria?. Principio de eficacia. Principio de perjuicio del auditado. Principio de Calidad. Principio de desabastecimiento.

Clases de auditoria. Financiera, de gestión, de cumplimiento, informática. Financiera, contable, fiscal, laboral e informática. Informática, de sistemas, de redes, de wifi. Informática, financiera, de sistemas y de control.

Relaciona el concepto con el tipo de auditoria: "Auditoria que emula un atacante real. Auditoria de paginas web y aplicaciones. Auditoría forense. Auditoría de control de acceso físico. Pentesting.

Relaciona el concepto con el tipo de auditoria: "Auditoria que evalua las medidas de seguridad fisica de las instalaciones. Auditoria de control de acceso físico. Auditoría de paginas web y aplicaciones. Auditoria forense. Pendesting.

Relaciona el concepto con el tipo de auditoria: "Auditoria cuyo maximo exponente es la metodología OWASP. Auditoría forense. Auditoria de páginas web y aplicaciones. Auditoría de control de acceso físico. Pendesting.

Relaciona el concepto con el tipo de auditoria: "Auditoria que recopila y evalua la informacion referente a un incidente de seguridad. Auditoria de paginas web y aplicaciones. Auditoria de control de acceso físico. Auditoria Forense. Pendesting.

¿Cuál de los siguientes conceptos no debe incluirse obligatoriamente en la planificacion de la auditoria informática?. Empleados de la organización al completo. Areas que serán auditadas. Fecha límite para la finalización de la auditoría. Composición del equipo de auditoría.

Cual no es una ventaja de las herramientas CAAT. Al ser técnicas mecanizadas, dan independencia a las actividades del auditor. Se reduce el riesgo al ser aplicaciones que maximizan la probabilidad de error. Proporcionan mayor coherencia a los resultados de la auditoria. Facilitan una mayor disponibilidad de la información.

A que tipo de hallazgo corresponde: "Aspectos de requisitos que podrian mejorarse pero que no requieren acción inmediata. Observaciones. No conformidad. Oportunidades de mejora o Recomendaciones.

A que tipo de hallazgo corresponde: "Cuando se encuentra algún impedimento de un requisito definido en auditoria. No conformidad. Observaciones. Oportunidades de mejora o Reconocimiento.

A que tipo de hallazgo corresponde: "no son fallos, son recomendaciones para mejorar la eficiencia y eficacia del sistema. No conformidad. Observaciones. Oportunidades de mejora.

Cual no se corresponde con los conocimientos básicos del equipo de auditores informáticos. Desarrollo de proyectos financieros. Sistemas operativos. Gestión de bases de datos. Seguridad física y del entorno.

Relacione definicion con concepto: "datos personales que recogen caracteristicas fisicas, fisiologicas o conductuales. Datos biométricos. Interesado o afectado. Transferencia internacional de datos. Encargado de tratamiento.

Relacione definicion con concepto: "Comunicacion de datos a destinatarios fuera de la Union Europea". Transferencia internacional de datos. datos biometricos. Interesado o afectado. encargado del tratamiento.

Relacione definicion con concepto: "Entidad que trate datos personales por cuenta del responsable del tratamiento". Interesado o afectado. Datos biometricos. Encargado de tratamiento. Transferencia internacional de datos.

Relacione definicion con concepto: "Persona fisica cuyos datos han sido o pueden ser tratados". Interesado o afectado. Datos biométricos. Transferencia internacional de fatos. encargado del tratamiento.

Cual no se considera fuente accesible al publico. Censo promocional. Boletines no oficiales. repertorios telefonicos. medios de comunicacion.

Que principio de Proteccion de Datos: "datos exactos, el responsable toma medidas para que se modifiquen o eliminen cuando sea necesario. Principio de limitación del plazo de conservación. principio de integridad y confidencialidad. Principio de exactitud. Principio de responsabilidad proactiva.

Que principio de Proteccion de Datos: "El responsable de tratamiento garantiza confidencialidad y seguridad de los datos". principio de integridad y confidencialidad. principio de limitación del plazo de conservacion. principio de responsabilidad proactiva. principio de exactitud.

Que principio de Protección de Datos: El responsable de tratamiento debe demostrar que cumple los principios. Principio de responsabilidad proactiva. Principio de limitación del plazo de conservación. Principio de integridad y confidencialidad. Principio de exactitud.

Que principio de Proteccion de Datos: "Los datos deben ser eliminados cuando se alcance el objetivo para el que fueron recogidos. Principio de integridad y confidencialidad. Principio de limitación del plazo de conservación. Principio de responsabilidad proactiva. Principio de exactitud.

Ordena de más antigua a mas nueva. LOPD - RGPD (LOPDGDD) - LORTAD. RGPD (LOPDGDD) - LOPD - LORTAD. LORTAD - LOPD - RGPD (LOPDGDD). LOPD - LORTAD - RGPD (LOPDGDD).

Cuando no se aplica el RGPD. Cuando los datos personales son publicos por el interesado. El tratamiento es para la defensa juridica. La finalidad es de interes pueblico, investigacion, historica o estadistica. Todas las opciones son correctas.

Segun el codigo penal, cuando serán mayores las penas: El delito es cometido por los responsables de los datos. Los datos son de menores, ideología, religión, salud, origen racial... Si el delito es lucrativo y/o por grupo criminal. Todas las opciones son correctas.

Cuales son los derechos ARCO-POL. Acceso, rectificación, cancelación, oposición, portabilidad, obligación, localización. Acceso, rectificación, supresión, oposición, portabilidad, olvido y limitación. Acceso, rectificación, suprimir, olvido, penalización, obligación y limitación. Acceso, rectificación, cancelo, olvido, penalización, obligación y limitación.

Relacione: "Establece y regula el régimen sancionador por las infracciones que pueden producirse hacia la LOPDGDD. Regimen sancionador. Responsable y encargado de tratamiento. Disposiciones aplicables a tratamientos concretos.

Relacione: "Regula la figura del Delegado de Protección de datos, que pasa a tener responsabilidad activa sobre medidas. Responsable y encargado de tratamiento. Disposiciones aplicables a tratamientos concretos. Régimen sancionador.

Relacione: "Disposiciones generales relativas a tratamientos concretos. Responsable y encargado de tratamiento. Disposiciones aplicables a tratamientos concretos. Régimen sancionador.

¿Qué es soudonimización?. Identificar a una persona por sus datos. Anonimizar a una persona conociendo sus datos generales. Separar los datos para no identificar a una persona.

Ordena cronologicamente los pasos a seguir en una auditoria de proteccion de datos. Obtención datos auditar - alcance - objeto - planificación de recursos - evaluar. Alcance - Planificación de recursos - Obtención datos a auditar - Evaluación de pruebas. Evaluar - planificación de recursos - alcance - obtención de datos a auditar - objeto. Objeto - alcance - obtención datos a auditar - planificación de recursos.

Cual de los siguiente conceptos NO se corresponde con un método de obtención de datos para la auditoria de protección de datos. Elaboración y mantenimiento de inventario de los soportes con datos personales. Revisión del diseño físico y lógico de los sistemas de informacion. Examen del documento de seguridad y de las auditorias realizadas antes. Evaluación de una relación de usuarios con accesos no autorizados.

La información debe ser correcta y completa. La seguridad debe impedir que se manipule, corrompa o elimine información sin autorización. Integridad. Confidencialidad. Disponibilidad. Autenticidad.

la información debe estar disponible solo para los usuarios que estén correctamente autorizados. Integridad. Confidencialidad. Autenticidad. Disponibilidad.

Garantia de la fuente de la que proceden los datos. La seguridad de la organizacion debe asegurara que los datos proceden de sitios seguros. Confidencialidad. Integridad. Disponibilidad. Autenticidad.

Proceso y metodologia utilizados para estimar la magnitud de los riesgos a los que se expone una organizacion. Gestión de riesgos. Tratamiento del riesgo. Riesgo. Análisis de riesgos.

Procesos realizados para modificar los riesgos de una organización. Análisis de riesgos. Gestión de riesgos. Tratamiento del riesgo. Riesgo.

Estimacion de probabilidad de que una amenaza se materialice sobre activos de la organizacion causando efectos negativos o perdidas. Riesgo. Análisis de riesgos. Gestión de riesgos. Tratamiento del riesgo.

Que tipo de vulnerabilidad explota la Ingenieria Social. Vulnerabilidades por uso o debidas a factor humano. Vulnerabilidad de diseño. Vulnerabilidad zero day. Vulnerabilidad por falta de mantenimiento.

Que vulnerabilidad es el fallo no conocido en un software que puede permitir a un atacante usar código para explotarla. Vulnerabilidad de diseño. Vulnerabilidad por falta de mantenimiento. Vulnerabilidad por uso o debidas al factor humano. Vulnerabilidad Zero Day.

Relacione: "software malicioso diseñado para dañar al equipo al que accede, pasando desapercibido por el usuario. Virus. Troyano. Ransomware. Cookies de seguimiento.

Relacione: "Software que detecta y almacena datos de navegacion de un usuario para conocer sus preferencias. Troyano. Virus. Ransomware. Cookies de seguimiento.

Relacione: "Malware que se hace pasar por un archivo o aplicación que tiene funciones ocultas perjudiciales para el usuario. Troyano. Ransomware. Cookies de seguimiento. Virus.

Relacione: "Malware que cifra la información del sistema y pide rescate para proporcionar clave de descifrado. Troyano. Virus. Ransomware. Cookies de seguimiento.

Relacione: "Evento que puede afectar a activos de un sistema provocando un incidente de seguridad y produciendo daños. Amenaza. Riesgo. Impacto. Vulnerabilidad.

Tipos de amenazas. Criminalidad. Sucesos de origen físico. Negligencia y decisiones institucionales. Todas son correctas.

Relaciona: Disuasorio, preventivo, correctivo, detectivo. Ataques de auditoría. Metodología de gestión de riesgos. Controles de seguridad. Metodología de análisis de riesgos.

Los activos de impacto muy _____, requerirán atención inmediata para disminuir las incidencias sobre esos activos. Alto. Bajo.

Los activos de impacto muy _____, no influirán considerablemente en el correcto funcionamiento del sistema. Alto. Bajo.

Relacione: "Envió de mails con la identidad de otro usuario. Alteración. Elevación de privilegios. Divulgación de información. Suplantación.

Relacione: "Modificacion no autorizada de los datos de un archivo. Alteración. Elevación de privilegios. Divulgación de información. Suplantación.

Relacione: "Envio por error de mails con datos confidenciales de los clientes de la empresa. Alteración. Elevación de privilegios. Divulgación de información. Suplantación.

Tipo de escáneres de vulnerabilidades: "escáneres que detectan vulnerabilidades de las aplicaciones. Escáner de aplicaciones web. Escáneres de puerto. Escáneres de red. Escáneres de bases de datos.

Los analizadores de protocolos o analizadores de red... ... analizan el trafico de datos de una red en tiempo real y después de la captura. ... analizan el trafico de datos de una red en tiempo real. ... analizan el trafico de datos de una red después de la captura de datos. Todas las opciones son incorrectas.

Cual de los siguientes identifica y analiza el trafico de red. Acunetix. WireShark. Dirb. Nessus.

Que herramienta de las siguientes, esta incluida en Kali Linux y sirve para detectar vulnerabilidades web. Acunetix. WireShark. Dirb. Nessus.

Que tipo de ataque es el que prueba todas las combinaciones posibles. Fuerza bruta. De diccionario.

El objetivo de un cortafuegos o firewall es el de... ... separar Internet del sistema para que los usuarios no cometan errores. ... separar la red interna de la externa para impedir entradas no autorizadas. ... impedir entradas y salidas del sistema. ... impedir que los usuarios accedan a Internet.

Políticas de seguridad, la monitorización y la economía son las principales características. ... de configuracion de un cortafuegos. ... del sistema de gestión de la organizacion. ... de compra de un cortafuegos. ... de decisión para la compra de un CPD.

Relacione: "Utilizan reglas de filtrado de los paquetes que pretenden acceder a la red local. Filtrado de paquetes. Politicas de seguridad. Monitorización de la actividad. Proxy de aplicación.

Relacione: "Aplicaciones software que reenvían o bloquean las conexiones a unos servicios concretos. Políticas de seguridad. Monitorización de la actividad. Filtrado de paquetes. Proxy de aplicación.

Relacione: "Registro del trafico de datos que pasa por el cortafuegos para obtener informacion de los ataques producidos". Politicas de seguridad. Monitorización de la actividad. Filtrado de paquetes. Proxy de aplicación.

Relacione: "No requieren autentificacion de los usuarios". Getaway a nivel de aplicación. Getaway a nivel circuito. Router con filtrado de paquetes. Router con desfitrado de paquetones.

Relacione: "Destacan por su elevada velocidad". Router con filtrado de paquetes. Getaway a nivel de aplicacion. Getaway a nivel de circuito. Router sin mas.

Relacione: "Puede determinar una política restrictiva que permite cerrar y abrir puertos cuando sólo es necesario". Gateway a nivel de circuito. Getaway a nivel de aplicación. Router con filtrado de paquetes. Router filtrado.

Relacione: "Provoca cuellos de botella". Gateway a nivel de aplicacion. Router con filtrado de paquetes. Getaway a nivel de circuito. Router y filtrado de paquetones.

Relacione: "El router hace las funciones de router interno y externo a la vez". Red perimetral con un solo router. Utilizacion de varios host bastión. Utilización del host bastión como router externo. Screened subnet (DMZ).

Relacione: "Tenemos una red perimetral con un router externo, host bastion y router interno". Screened subnet (DMZ). Red perimetral con un solo router. Utilización de varios host bastion. Utilizacion del host bastion como router externo.

Relacione: "El host bastion ejecuta el filtrado de paquetes y los servicios proxy". Screened subnet (DMZ). Red perimetral con un solo router. Utilización de varios host bastion. Utilizacion del host bastion como router externo.

Relacione: "permite separar servicios por necesitar niveles distintos de seguridad". Screened subnet (DMZ). Red perimetral con un solo router. Utilización de varios host bastion. Utilizacion del host bastion como router externo.

Cual no es objetivo fundamental para el diseño de un cortafuegos. El tráfico desde la red interna hacia el exterior pasa por el cortafuegos. El cortafuegos debe ser inmune a penetraciones de intrusos. El cortafuegos permite el acceso al trafico autorizado y no autorizado. Todas las opciones son incorrectas.

Relacione: "Establece las direcciones de entrada y salida en las que se permite el trafico de datos desde/hacia red externa. Control de servicios. Control de dirección. Control de usuarios.

Relacione: "Establece a que tipo de servicios de la organizacion se puede acceder desde la red interna y externa". Control de servicios. Control de usuarios. Control de dirección.

Relacione: "Establece controles de acceso para determinar a que servicios puede acceder cada usuario". Control de servicios. Control de usuarios. Control de dirección.

Relacione: Zona de Riesgo. Red interna. Red externa.

Relacione: Perímetro de seguridad. Red interna. Red externa.

El organigrama de la organización debe incluirse en. Archivo permanente. Archivo corriente.

El esquema de planificación plurianual de auditoria debe incluirse en... Archivo permanente. Archivo corriente.

La carta con las recomendaciones del auditor debe incluirse en. Archivo permanente. Archivo corriente.

Las características de los equipos que forman parte de los sistema de información debe incluirse en... Archivo permanente. Archivo corriente.

Que tipo de información recolectada para la auditoria de seguridad no forma parte de la información a nivel organizacional. Procedimientos administrativos desarrollados. Antecedentes de la organización. Objetivos a largo plazo. Manual, reglas y organigrama de la organización.

Durante la fase de entrevistas, ¿que formas tiene el auditor para recabar informacion?. Todas son correctas. Solicitando documentación específica. Entrevistas abiertas sin guion preestablecido. Entrevistas predeterminadas y guionizadas.

Relacione: "cuestionario concreto y especifico de tipo binario o rango". Datos de prueba. Logs o archivos de registro. Checklist. Entrevista.

Relacione: "Comprobacion del historial de la informacion". Datos de prueba. Logs o archivos de registro. Checklist. Entrevista.

Relacione: "Obtencion de informacion especifica". Datos de prueba. Logs o archivos de registro. Checklist. Entrevista.

Relacione: "Verificación del correcto funcionamiento de los controles internos". Datos de prueba. Logs o archivos de registro. Checklist. Entrevista.