seguridad en redes, aplicaciones, auditoría y legal

El principal objetivo que se pretende alcanzar cuando se ofrece autenticidad es. Certificar que la información se transmite llegue al destino. Certificar que los datos, o la información, provienen realmente de la fuente que dice ser. Certificar que la información no se comprometió al ser enviada por el emisor. Validar que los datos no se hayan modificado en el momento en que la información se transmitía por la red.

La técnica de suplantación de identidad en la Red, llevada a cabo por un ciberdelincuente y que ponen en riesgo la privacidad de los usuarios, así como la integridad de sus datos se conoce como: a. MitM. b. DoS. c. Spoofing. d. Phishing.

Cuál es función de un IDS: a. Es una herramienta que permite identificar a seguridad de una red de acuerdo a la configuración que se establece para sus usuarios. b. Es una aplicación usada para detectar accesos no autorizados a un ordenador o a una red. c. Es una herramienta que identifica los puntos de seguridad que se configuran en una organización. d. Ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos.

Una política de la seguridad de la información debe establecerse: a. Recoger los principales riesgos de la organización y se definen los controles necesarios para la mitigación de estos. b. En un documento que se elabora de acuerdo a los incidentes que se presentan en la organización. c. A nivel ejecutivo mediante la creación de un documento en el cual la organización establece sus directrices de seguridad de la información. d. Los compromisos de mejora establecidos por el área de TI de acuerdo a los objetivos establecidos por la organización en su Plan Estratégico.

El proceso de monitoreo de los riesgos, permite: a. Establecer mejores opciones para cerrar los problemas y brechas de seguridad porque se le hace un seguimiento. b. Administrar los riesgos y reducir la probabilidad dado el factor de impacto. c. Encontrar mecanismos de control y reducir el impacto según la amenaza. d. Todas las anteriores.

Seleccionar varios factores de impacto para calcular los riesgos me permite: a. Conocer los riesgos en los activos. b. Tener mecanismos de comparación del riesgo, con el fin de conocer cual factor impacta más. c. Establecer que los factores de impacto pueden reducir la probabilidad. d. Todas las anteriores.

Los mapas de riesgos o mapas de aceptabilidad, son el resultado final que consideran: a. Que, a partir de un levantamiento de activos, se puede calcular riesgos. b. La probabilidad y el impacto como elementos fundamentales. c. Los riesgos altos son aquellos que deben ser tratados con más urgencia. d. Establecer planes de tratamiento. e. Todas las anteriores.

Para calificar los riesgos basados en la probabilidad y el impacto se debe entender las amenazas, vulnerabilidades y controles que tienen los activos, PORQUE será más factible establecer planes de tratamiento atacando cada uno de esos factores. Marque A Si las dos afirmaciones son verdaderas y la segunda explica la primera. Marque B Si las dos afirmaciones son verdaderas y la segunda NO explica la primera. Marque C Si la primera afirmación es verdadera y la segunda es falsa. Marque D Si la primera afirmación es falsa y la segunda es verdadera.

En el contexto de la seguridad informática. ¿Cuál es la importancia del modelo OSI?. a. Permite realizar una aproximación por capas a los servicios de red que se usan en aplicaciones web. b. Representa un modelo para cubrir la seguridad informática de manera integral, tomando controles en las diferentes capas. c. Corresponde a un modelo que permite definir controles integrales que son válidos para cubrir simultáneamente brechas de seguridad en cada capa del modelo. d. Es un modelo que alineado con la norma ISO 27001 permite proteger las propiedades de seguridad de la información (Confidencialidad, Disponibilidad, Integridad).

¿En el contexto del saludo de 3 vías (3 way handshaking) qué significa que un puerto responda ACK?. a. Que el puerto está cerrado y que no se puede establecer una conexión TCP. b. Que el puerto está abierto y que hay un servicio UDP a la espera de un reinicio remoto. c. Que se ha completado el saludo de 3 vías y el puerto está a la escucha en espera de establecer una conexión TCP. d. Que el puerto está filtrado mediante un Firewall que impide conexión TCP.

¿Cómo opera un escaneo de puertos TCP XMAS –X a partir de lo que hace la herramienta NMAP?. a. Envía segmentos con la bandera SYN activa y luego envía ACK. b. Ejecuta el escaneo medio abierto ya que no se abre una conexión TCP completa. c. Envía un segmento con los bits de control FIN, PSH y URG activos. d. Ejecuta un escaneo que utiliza la llamada CONNECT del sistema operativo.

¿Qué escaneo se está efectuando cuando se utiliza el siguiente comando: #nmap –sT –sU –O 192.168.1.10 ?. a. Se está haciendo una exploración de todos los puertos TCP activos en la máquina remota y se identifica el sistema operativo. b. Se está identificando el sistema operativo de la máquina remota y se están validando los puertos UDP inactivos. c. Se están validando los puertos UDP activos, detectando el sistema operativo y utilizando el escaneo Connect. d. Se está realizando un escaneo NULL que permite identificar también el sistema operativo de la máquina remota.

¿Cuál de las siguientes definiciones es más apropiada para referirse al concepto de barrido de ping?. a. Es una enumeración de puertos TCP que permite identificar host activos a nivel de capa de aplicación. b. Se utiliza para detectar aquellas interfaces capaces de responder a la llegada de un paquete ICMP tipo 8. c. Se refiere al envío de paquetes ICMP tipo 5 que permiten identificar host activos en la red. d. Es un mecanismo de host discovery que envía segmentos TCP del tipo PING.

Un firewall local (El presente en el sistema operativo de las estaciones de trabajo) en una red permite principalmente mitigar los siguientes tipos de ataques. a. Ataques a la capa de aplicación. b. Ataques a la capa de red. c. Ataques a la capa física. d. Ataques a la capa de enlace de datos.

¿Cuál de las siguientes afirmaciones es correcta para la mitigación de los efectos de un escaneo de puertos como una de las fases de un ataque informático a nivel de red?. a. Reducir el área desde la cual pueden ser alcanzados los puertos de un servidor crítico donde corren aplicaciones importantes. b. Instalar un firewall local en un dispositivo de networking de la organización. c. Realizar una configuración de portnoking permite controlar los paquetes ICMP que ingresan a la red. d. Configurar las máquinas para que no respondan a los paquetes ICMP tipo PING.

Un análisis de vulnerabilidades permite: a. Identificar ataques a realizar a máquinas más aseguradas en la red. b. Reconocer las debilidades de un sistema informático. c. Aplicar el concepto de Hardenning a medida que se van realizando pruebas de actualizaciones de sistema operativo. d. Identificar las líneas base de seguridad de los activos de información, ya que el analizador entrega todo el benchmark.

¿Cuál es el propósito de que un administrador de red realice un escaneo o análisis de vulnerabilidades?. a. Para identificar exploits que permitan tomar ventaja de la vulnerabilidad. b. Para cerrar brechas de seguridad que posibilitarían el acceso de un atacante. c. Para instalar actualizaciones que permitan mitigar amenazas externas en un servidor. d. Para detectar errores o falencias del sistema que podrían ser explotados por un atacante.

¿Cuál de las siguientes afirmaciones es adecuada al identificar un puerto abierto?. a. Existe una vulnerabilidad que debe gestionarse para mitigar los riesgos. b. Es un puerto que ante un escaneo de vulnerabilidades envía una bandera RST activa. c. Es un puerto que debe estar protegido por un Firewall que evite el acceso a cualquier usuario. d. Se debe demostrar si existe una vulnerabilidad en el puerto para mitigar posibles riesgos de seguridad.

En términos de seguridad en sistemas operativos¿Qué es el Hardening?. a. Es una metodología de gestión de riesgos que permite mitigar impactos de amenazas en sistemas operativos. b. Es un proceso de aseguramiento de los activos informáticos, donde se aplican las mejores prácticas para fortalecer la seguridad de los mismos. c. Es un modelo que permite realizar una verificación de alto nivel de la seguridad de los sistemas operativos para evitar fallas que alteren la integridad. d. Es una técnica para realizar análisis de vulnerabilidades en activos de información e identificar las debilidades del sistema.

En el contexto de la seguridad de sistemas operativos¿Qué es una benchmark?. a. Es un documento que reúne las mejores prácticas de seguridad para un activo de información. b. Es un conjunto de instrucciones que permiten realizar ataques controlados a un sistema operativo bajo una metodología de Hacking ético. c. Es un proceso que permite obtener la información relacionada con las vulnerabilidades de un sistema operativo para gestionarlas. d. Es una metodología que permite promover configuraciones integrales y generales para cualquier tipo de sistema de información.

En el contexto de la seguridad informática para sistemas operativos: ¿Qué es una línea base?. a. Es la totalidad de las configuraciones óptimas aplicadas a los dispositivos de networking de una organización. b. Es un conjunto de parámetros y configuraciones óptimas seleccionadas para los activos de información de una organización y su contexto. c. Es un proceso que permite obtener la información relacionada con las vulnerabilidades de un sistema operativo para gestionarlas. d. Es una metodología que permite promover configuraciones integrales y generales para cualquier tipo de sistema de información.

¿Cuál de las siguientes NO es una herramienta de análisis de línea base?. a. Nessus. b. CIS-CAT. c. Bastille. d. Microsoft Baseline Analyzer.

¿Cuál de las siguientes NO es una buena práctica dentro del proceso de hardenning de un sistema operativo?. a. Activar las actualizaciones de seguridad en el sistema operativo. b. Correr una herramienta automatizada de identificación de cumplimiento de línea base. c. Aplicar políticas de seguridad en un sistema perimetral de detección de intrusos de red. d. Activar el antivirus del sistema operativo.

Un ataque de tipo SQL Injection se basa fundamentalmente en: a. Realizar inyección de cadenas SQL que llegan a la aplicación pero no se procesan en la base de datos. b. Realizar inyección de cadenas SQL que llegan hasta la base de datos pero no a la aplicación web, por tanto son retornadas al cliente. c. Realizar inyección de cadenas SQL a través de la aplicación web que son procesadas por la base de datos y retornadas al cliente. d. Realizar inyección de cadenas SQL que son procesadas por la base de datos y retornadas al servidor de aplicaciones, pero sin llegar al cliente.

¿En qué consiste un ataque de Cross Site Scripting?. a. Consiste en enviar código Javascript que es ejecutado por el dominio y permite hacer un hijacking (secuestro) de la resolución de dominio. b. Consiste en enviar código Javascript a una aplicación que la procesa en la base de datos y retorna los datos allí contenidos. c. Es un ataque donde se envía código Javascript a una aplicación y cuya ejecución se retorna del lado del cliente. d. Es un ataque de tipo pasivo que permite robar las contraseñas contenidas en un sistema de login de una aplicación web.

¿Qué es un Cross Site Scripting Reflejado?. a. Es aquel ataque web donde un código Javascript enviado como parámetro retorna al cliente y se ejecuta en el navegador de la víctima. b. Es aquel ataque web donde un código Javascript enviado como parámetro queda permanente en un sitio web y se ejecuta con cada carga del sitio. c. Es aquel ataque web donde un código Javascript es enviado como parámetro en un método HTTP tipo POST de una aplicación web y se refleja en la base de datos. d. Es aquel ataque web donde un código Javascript es enviado como parámetro en un método HTTP tipo GET y se almacena en la base de datos de la aplicación.

¿En qué consiste un ataque de Command Execution dirigido a una aplicación web?. a. Es la capacidad de ejecutar código Javascript del lado del cliente que consume una aplicación web. b. Es la posibilidad de usar un parámetro de entrada de la aplicación web para inyectar comandos hacia el sistema operativo donde está alojada la aplicación. c. Es la posibilidad de usar un parámetro de entrada de la aplicación web para inyectar código SQL. d. Es la posibilidad de ejecutar una inyección de código HTML que pueda escribir sobre el sistema operativo.

¿Qué permite la aplicación SQLmap?. a. Es una herramienta para automatizar las pruebas de SQLInjection sobre uno o varios parámetros potencialmente vulnerables de una aplicación web. b. Es una herramienta que permite hacer un escaneo de parámetros vulnerables y realizar una serie de inyecciones de código XSS en el sitio web. c. Es una herramienta que permite realizar pruebas de tipo SQL Injection cubriendo todas las posibles URL y parámetros de un sitio de manera totalmente automatizada. d. Es una herramienta que inyecta código HTML, SQL y XSS en cada input de entrada de una aplicación web, sea por un formulario o por un método POST o GET.

Una compañía, persona jurídica, ha definido el uso un sistema de información entre un servidor y varios equipos interconectados por una red, al cual sólo pueden acceder personas autorizadas mediante un método de autenticación. Este sistema excluyente y seguro. Teniendo en cuenta la definición de un ámbito privado, se configura un derecho a la: imtimidad. privacidad. confidencialidad. publicidad. Ninguna de la anteriores.

Una persona realiza una consulta de su nombre en google y encuentra que dicho motor de búsqueda arroja diversos resultados que contienen información negativa y en gran cantidad sobre dicho nombre. La persona acude ante un juez para restablecer sus derechos. ¿Qué solicitaría y con base en qué argumentos?. a. Que se actualice toda la información y que sólo pueda aparecer la información positiva, dado que se afecta su buen nombre y solo debe aparecer aquello que favorezca su propia imagen. b. Que el sistema se “olvide” de la información personal del individuo, pudiéndose borrar cualquier información no autorizada por el, ya que basado en el principio de libertad, sólo podrá darse tratamiento a aquella información que ha sido autorizada por el titular. c. Que la plataforma realice un filtro e impida publicar información de la persona, ya que, en virtud de la autodeterminación informativa, cuenta el usuario con el derecho a determinar libremente qué dicen los sistemas de información de sí. d. Que se deje sin efectos los términos de uso del servicio de google ya que, al momento de aceptarlos, la forma de aceptación no era lo suficientemente clara sobre esta forma de tratamiento y por ende se debe declarar la responsabilidad de google. e. Que se realicen unas conductas tendientes a rectificar la información, bajo el argumento que se trata de información vencida al no estar actualizada, ni vigente.

Una persona recibe una llamada por parte de un comercializador de seguros quien le indica que, como titular de una tarjeta de crédito de una entidad financiera, tiene derecho a acceder a los beneficios del convenio con una determinada aseguradora. Bajo el entendido que el tratamiento de datos personales sólo es posible realizarlo bajo los procedimientos de autorización por parte del titular, se cuenta con una cláusula determinada para el tratamiento por terceros que sólo dice “para los fines comerciales y de mercadeo del responsable”. ¿Se pregunta, considera legal o ilegal esta conducta, como forma de tratamiento de datos?. a. Legal, como el usuario aceptó la política de privacidad y en ella se contempla una autorización para el tratamiento de datos por parte del titular, se entiende autorizado para otros fines. b. Ilegal, la autorización debe ser expresa para la finalidad y para el tipo de tratamiento necesario, no siendo suficiente una autorización general, así sea determinada. c. Legal, la política tiene una finalidad establecida y con esta es suficiente para el tratamiento necesario por parte del responsable. d. Ilegal, además de no tener una autorización específica para el tratamiento, esa finalidad debe estar autorizada para ser ejecutada por terceras personas y debe estar expresa. e. Legal, si durante la llamada le informan que su llamada será grabada y monitoreada, por lo que solicitan al cliente en ese momento su autorización para el tratamiento.

Un empleado está autorizado para trabajar sobre una base de datos elaborada de potenciales clientes de la empresa, la cual es necesaria, es el sustento para establecer los contratos y convenios con las empresas encargadas de realizar actividades de mercadeo, divulgación y fidelización. En los términos de la seguridad de la información, ¿cuál debería ser la conducta apropiada para el tratamiento de esta información?. a. Hacerlo bajo las condiciones de un acuerdo de confidencialidad, seguridad de la información y protección de datos personales, para poder entregar la información a terceros. b. No es posible su entrega ya que con esto se puede afectar el carácter reservado de dicha información, ante lo cual deberá trabajar en conjunto con el tercero para que no haya divulgación y establecer los mecanismos de control de información. c. No se encuentra autorizado para entregar la información, ya que su facultad es para trabajar sobre ella, sin embargo, podrá remitir otro tipo de información que no incluya bases de datos elaboradas, sino información publicable. d. Hacer la entrega de la información ya que no se trata de información estratégica, sino información pública y sólo deberá asegurarse sobre el tema de tratamiento de datos personales, los cuales se encuentran inmersos en el contenido. e. Ninguna de las anteriores.

Por el principio de autorregulación entendemos que: a. Los usuarios son responsables del uso adecuado de los recursos, por eso deben controlar o medir su conducta. b. Las empresas son responsables de cuidar y asegurar sus recursos, por eso deben crear unas reglas que permitan este propósito. c. Es una forma válida de regular el cuidado de su información, mediante la creación de contratos, políticas, o manuales, que son verdaderas normas jurídicas, porque la ley así lo reconoce ante la falta de regulación específica. d. Las empresas deben crear normas jurídicas ante la falta de normatividad vigente. e. Todas las anteriores.

¿Cuál de las siguientes informaciones personales, constituirían información pública?. a. Datos de ubicación y de contacto. b. Nombre y número de identidad. c. Datos biográficos, huella dactilar. d. La cédula de ciudadanía. e. La pertenencia a un grupo político.

Cuál de las siguientes herramientas es idónea para realizar una auditoría a una red. nagios. armitage. Wireshark. Metasploit.

Cuál es el papel que juega el análisis de riesgo en una auditoría de seguridad. a. Determina la relevancia de los procesos que van a ser auditados. b. Permite encontrar las principales inconformidades que se presentan en cada de uno de los procesos que van a ser auditados. c. Enfoca los recursos de auditoría hacia los puntos de mayor importancia dentro de las organizaciones. d. Valora el estado actual de los procesos críticos de la organización.

Se pone a prueba la seguridad de los activos de TI ante la actuación de posibles hackers ¿Qué tipo de auditoría se relaciona con el enunciado anterior?. a. Validación de políticas. b. Test de Intrusión. c. Orientada a Seguridad Interna. d. Configuración de activos claves.

A la hora de revisar un plan de continuidad tecnológico y validar el cumplimiento del RTO que una organización define, un hallazgo que lleva a una no conformidad sería: a. El objetivo de la posible pérdida máxima de datos que dejaron de introducirse desde el ultimo back up. b. El volumen de datos que se utilizaron para volver a la normalidad el negocio. c. Las pruebas realizadas sobre la recuperación de la información, no coinciden con los tiempos de recuperación definidas en el plan. d. La información que se recupera para el negocio, se encuentra disponible para sus usuarios dentro de los tiempos establecidos en el plan.

Un informe final de auditoría no debería contener: a. Resultados de las prácticas realizadas a los procesos auditados. b. Alcance de la auditoría. c. Recomendaciones. d. La evaluación de cada uno de los responsables de los procesos auditados.

Cuando se debería llevar a cabo una auditoría forense. a. Cuando se presume de una mala configuración en el activo de TI y se pretende dar una valoración de su funcionamiento. b. Cuando se da de baja un activo de TI por su tiempo de vida. c. Cuando ya se ha producido una entrada no autorizada al sistema y se pretenden valorar las pérdidas ocasionadas. d. Ninguna de las anteriores.