trabajando 1

¿Todos los controles del anexo A se deben implementar en un sistema de gestión de seguridad de la información?. v. f.

Para auditores líderes de más de 3 años ejerciendo como auditor, es posible que por su experiencia no se hagan un plan de auditoría. v. f.

La norma ISO 27001, es la única forma como una compañía puede evaluar la capacidad de la organización para cumplir con sus propios requisitos de seguridad. v. f.

¿Es posible tener que crear una Política de control de acceso en el momento de aplicar controles de la Norma?. v. f.

¿El tamaño de la organización y su tipo de actividades, procesos, productos y servicios pueden determinar el alcance de la información documentada en la ISO 27001?. v. f.

Los procesos contratados externamente estén fuera del alcance de control siempre y cuando se documente esto dentro de las exclusiones del sistema de gestión. v. f.

¿Planificar, establecer, implementar y mantener un único programa de auditoría es requerido por la norma ISO 27001?. v. f.

De acuerdo a la ISO 27001, basado en las tendencias actuales y manteniendo siempre en un enfoque proactivo no se debe excluir el control de Teletrabajo. v. f.

La organización debe determinar las cuestiones externas e internas que son pertinentes para su propósito y que afectan a su capacidad para lograr los resultados previstos de su sistema de gestión de seguridad de la información. v. f.

La oficina de proyectos de TI debe establecer una política de seguridad de la Información que sea adecuada al propósito de la organización. v. f.

Asegurar que se establecen la política y los objetivos de seguridad de la información y que estos sean compatibles con la dirección estratégica de la organización y asegurar la integración de los requisitos del sistema de gestión de seguridad de la información en los procesos de la organización. Son compromisos del representante del SGSI. v. f.

La alta dirección puede asignar responsabilidades y autoridades para informar sobre el comportamiento del sistema de gestión de seguridad de la información dentro de la organización. v. f.

La información documentada de origen externo que la organización ha determinado que es necesaria para la planificación y operación del sistema de gestión de seguridad de la Información se debe identificar y controlar. v. f.

Los controles necesarios y sus justificaciones para la inclusión. ¿Son parte de la Declaración de aplicabilidad?. v. f.

En la definición del alcance se debe tener en cuenta las interfaces y dependencias entre las actividades realizadas por la organizaci6n y las que se llevan a cabo por otras organizaciones. v. f.

La Auditoría de BD es importante porque los datos convertidos en información a través de bases de datos y procesos de negocios representan el negocio. v. f.

La Auditoría completa y extensiva permite cubrir gran cantidad de manejadores de bases de datos. v. f.

Uno de los objetivos de la auditoria informática es verificar el cumplimiento de las normas de auditoria. Según ese objetivo, el nivel de la información que está de acuerdo con el mismo es el nivel ético y moral. v. f.

La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática. v. f.

El área de AI depende del Director de Auditoría general o del Jefe del Director de Informática. v. f.

Los colaboradores directos en la realización de la auditoría se deben tener personas con las siguientes características en experiencia en operación y análisis de sistemas. v. f.

Los sistemas deben evaluarse de acuerdo con el ciclo de vida que normalmente siguen bajo requerimientos del usuario, estudio de factibilidad diseño general, análisis, diseño lógico, desarrollo físico, pruebas, implementación, evaluación. v. f.

Instalar software únicamente de sitios web confiables es el mejor método para evitar el spyware en una máquina?. v. f.

¿Un virus se centra en obtener acceso privilegiado a un dispositivo, mientras que un gusano no?. v. f.

Una organización permite que los empleados trabajen desde su hogar, la tecnología que debería implementarse para garantizar la confidencialidad de los datos mientras estos se transmiten, ¿es mediante VLANS?. f. v.

¿El análisis de vulnerabilidades es sinónimo de prueba de penetración?. f. v.

¿Un exploit permite la explotación de una vulnerabilidad descubierta?. v. f.

Shodan y Robtex son herramientas de external footprint pasivo?. v. f.

¿VPN y VLAN son métodos que se pueden utilizar para implementar la autenticación de varios factores?. v. f.

¿La Ingeniería social es el método no técnico que un delincuente cibernético usaría para recopilar información confidencial?. v. f.

FIRTS es la Organización CSIRT/CERT de ámbito mundial?. v. f.

¿Los protocolos STP y ARP presentan amenazas al switching?. v. f.

¿El Gusano informático es un tipo de malware, que afecta el rendimiento de la red?. v. f.

¿Hash suite es un Conjunto de herramientas para el desarrollo y ejecución de exploits?. v. f.

Integridad es el Principio de seguridad que garantiza acceso a la información cada vez que se requiera acceder a ella?. v. f.

¿El nombre que se le da a un programa o un código de programa que omite la autenticación normal es Puerta trasera. v. f.

El término Spyware se utiliza para describir un correo electrónico dirigido a una persona específica empleada en una institución financiera?. v. f.

El Bluesnarf es un elemento capaz de capturar, analizar e incluso modificar el tráfico de la red se denomina?. v. f.

La Suplantación de identidad es el término utilizado cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado como fuente legítima y confiable. v. f.

Un atacante está sentado frente a una tienda y copia de manera inalámbrica los correos electrónicos y las listas de contactos de los dispositivos de usuarios cercanos desprevenidos, el tipo de ataque es Smishing. v. f.

El Spyware es utilizado por delincuentes para obtener información sobre la computadora de un usuario?. v. f.

El rootkit modifica el Microsoft Office?. v. f.

La Efectividad es: Consiste en que la información sea generada optimizando los recursos (más productivo y económico). Tiene que ver con la protección de información sensible contra revelación no autorizada. Se relaciona íntegramente con la precisión y completitud de la información. Hace referencia a que la información sea relevante y acertada con los procesos del negocio, y sea entregada de manera oportuna, correcta, consistente y pueda ser utilizada.

La Disponibilidad es: Es básicamente el acatar aquellas leyes, reglamentos y acuerdos contractuales, es decir, criterios de negocios impuestos externamente, así como políticas internas. Tiene que ver con la protección de información sensible contra revelación no autorizada. Quiere decir que la información esté disponible cuando sea requerida por los procesos del negocio siempre. Consiste en que la información sea generada optimizando los recursos (más productivo y económico).

La Confiabilidad es: Es básicamente el acatar aquellas leyes, reglamentos y acuerdos contractuales, es decir, criterios de negocios impuestos externamente, así como políticas internas. Representa proveer la información adecuada para que la gerencia administre la entidad y ejercite sus responsabilidades fiduciarias y de gobierno. Se relaciona íntegramente con la precisión y completitud de la información. tiene que ver con la protección de información sensible contra revelación no autorizada.

A que se le considera Información: A los sistemas de información (aplicaciones) que están compuestos por procedimientos manuales y basados en tecnología que proporcionan soporte a los procesos del negocio. Es el hardware (equipos), sistemas operativos, sistemas de administración de bases de datos, de redes y de telecomunicaciones, multimedia, etc. Se considera la información interna y externa como, gráficas, sonidos, documentos etc. Se relaciona íntegramente con la precisión y completitud de la información, así como con su validez de acuerdo con los valores y expectativas del negocio.

Como resultado de una auditoria informática deberán realizar: Un oficio. Un Memo. Un Informe Técnico. Ninguna de las anteriores.

Los profesionales auditores no solamente deben tener capacitación para la realización de trabajos de auditoría, sino que también formación específica relacionada con un contexto: Ambiente y desarrollo. Tecnológico o informático. Informático. Tecnológico.

La Auditoría Informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los. Procedimientos, controles, archivos de información. Infraestructura y diseño. Equipos de comunicación. Tecnología.

El alcance ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria informática se complementa en.: Tecnología. Objetivos. Planificación.

Su contable le ha hecho llegar un borrador de su formulario de la declaración de la renta. Usted comprueba si los datos son correctos. ¿Qué aspectos de fiabilidad de la información está comprobando?. Integridad. Exclusividad. Disponibilidad. Confidencialidad.

El responsable de la seguridad de la información de la compañía de seguros desea establecer una lista de medidas de seguridad. ¿Qué tiene que hacer en primer lugar, antes de que se puedan seleccionar las medidas de seguridad?. Establecer vigilancia. Llevar a cabo una evaluación. Llevar a cabo un análisis de riesgo. Formular una política de seguridad de la información.

Un posible riesgo para las compañías es un incendio. En este caso, si realmente hay un fuego, se puede producir un daño directo e indirecto. ¿Cuál es un ejemplo de daño directo?. Se destruye una base de datos. Perdida de imagen. Ya no se pueden satisfacer las obligaciones jurídicas. Pérdida de confianza del cliente.

Hay un incendio en una sucursal de una compañía de seguros médicos. Se traslada al personal a una sucursal cercana para continuar su trabajo. ¿En qué momento del ciclo del incidente se encuentra la ejecución de este acuerdo en espera (stand-by)?. Entre la recuperación y la amenaza. Entre el daño y la recuperación. Entre el incidente y el daño. Entre la amenaza y el incidente.

Según Magerit v3, quién NO es un participante en un proyecto de análisis y gestión de riesgos: Comité de Gestión. Grupos de Interlocutores. Comité de Seguimiento. Equipo de Proyecto.

En la metodología MAGERIT, la actividad "Interpretación del Riesgo" corresponde a la etapa de: Planificación. Análisis de riesgos revisar. Gestión de riesgos. Selección de salvaguardas.

¿Cuál es el propósito de la gestión de riesgo?. Establecer amenazas a las que están expuesto los recursos informáticos. Utilizar medidas para reducir riesgos a un nivel aceptable. Determinar la probabilidad de que ocurra un cierto riesgo. Determinar el daño causado por posibles incidentes relacionados con la seguridad.

La información tiene una serie de aspectos de fiabilidad. La fiabilidad está continuamente amenazada. Algunos ejemplos de amenazas son: un cable se suelta, alguien modifica accidentalmente información, uso de los datos con fines particulares o datos falsificados. ¿Cuál de los siguientes ejemplos constituye una amenaza para la confidencialidad?. Usar datos con fines particulares. Un cable suelto. Falsificar datos. Borrar datos accidentalmente.

20. El acceso a la sala de informática se cierra mediante la utilización de un lector de tarjeta. Soló el Departamento de Gestión de Sistemas tiene tarjetas. ¿Qué tipo de medida de seguridad es ésta?. Una medida de seguridad física. Una medida de seguridad represiva. Una medida de seguridad lógica. Una medida de seguridad correctiva.

En la recepción de una oficina de administración hay una impresora que todo el personal puede utilizar en caso de emergencia. El acuerdo es que las hojas impresas han de recogerse inmediatamente para que no se las pueda llevar un visitante. ¿Qué otro riesgo para la información de la empresa conlleva esta situación?. Los visitantes podrían copiar e imprimir información confidencial de la red. Puede estropearse la impresora con un uso excesivo, con lo que no podría utilizarse más. Los archivos pueden quedarse almacenados en la memoria de la impresora.

¿Cómo se describe mejor el propósito de la política de seguridad de la información?. La política proporciona dirección y apoyo a la gestión en materia de seguridad de la información. La política documenta al análisis de riesgo y la búsqueda de contra medidas. La política hace que el plan de seguridad sea concreto aportándole la información detallada necesaria. La política proporciona una mejor comprensión sobre las amenazas y las posibles consecuencias.

Según MAGERIT v3, el informe en el que se recogen los resultados de la identificación de las amenazas relevantes sobre el sistema a analizar, caracterizadas por las estimaciones de ocurrencia y daño causado, se denomina: Estimación del riesgo. Evaluación de salvaguardas. Declaración de aplicabilidad. Mapa de riesgos.

¿En base a qué legislación puede alguien pedir la inspección de datos que ha sido registrados sobe su persona?. La ley de Acceso público a información del gobierno. La ley de Protección de datos personales. La Ley de Delitos informáticos. La ley de Registro público.

Una oficina de administración va a determinar los peligros a los que está expuesta. ¿Cómo denominados un posible hecho que puede afectar negativamente a la fiabilidad de la información?. Dependencia. Riesgo. Amenaza. Vulnerabilidad.

¿Cuál es el ataque de suplantación de identidad que aprovecha una relación de confianza entre dos sistemas?. Falsificación de identidad (spoofing). Man-in-the-middle. Análisis. Envío de correo no deseado.

Qué algoritmo utilizará Windows por defecto cuando un usuario intente cifrar archivos y carpetas en un volumen NTFS?. RSA. AES. 3DES. DES.

¿Las contraseñas y los PIN son ejemplos de qué término de seguridad?. acceso. identificación. autorización. Autenticación.

Qué estándar inalámbrico hizo que los estándares AES y CCM fueran obligatorios?. WPA. WPA2*. WEP. WEP2.

Qué protocolo se utilizaría para proporcionar seguridad a los empleados que tienen acceso a los sistemas de manera remota desde el hogar?. Telnet. WPA. SSH*. SCP.

¿Qué tecnología se puede utilizar para proteger VoIP ante las interceptaciones?. SSH. Mensajes de vos cifrados*. Autenticación segura. ARP.

¿Qué tipo de ataque puede evitar la autenticación mutua?. Suplantación inalámbrica de direcciones IP. Envenenamiento inalámbrico. Análisis inalámbrico. Man-in-the-middle.

Qué utilidad de Windows debe utilizarse para configurar las reglas de contraseña y las políticas de bloqueo de cuenta en un sistema que no es parte de un dominio?. Registro de seguridad del visor de eventos. Herramienta de política de seguridad local. Administración de equipos. Herramienta de seguridad de Active Directory.

Qué instrumento de ciberseguridad analiza el uso de contraseñas predeterminadas, parches faltantes, puertos abiertos, configuraciones incorrectas y direcciones IP activas?. Programas detectores de paquete. Escáners de vulnerabilidad. Decodificadores de contraseñas. Analizadores de paquetes.

Qué sitio web ofrece orientación para armar una lista de verificación a fin de brindar orientación sobre cómo configurar y endurecer los sistemas operativos?. CERT. La base de datos nacional de vulnerabilidad. El Centro de tormentas de Internet. El Centro de ciberseguridad avanzada.

Qué tipo de delincuentes cibernéticos es más probable que cree un malware que comprometa a una organización al robar información de tarjetas de crédito?. Hackers de sombrero gris. Hackers de sombrero blanco. Hackers de sombrero negro. Script kiddies.

¿Qué tipo de ataque de los delincuentes cibernéticos interferirían en la comunicación de red establecida mediante el uso de paquetes creados para que los paquetes parezcan que forman parte de la comunicación normal?. Falsificación de DNS Respondido. AP wifi no confiable. Programas detectores de paquete. Falsificación del paquete.

¿Qué tecnología se debe utilizar para aplicar la política de seguridad de que un dispositivo informático debe cotejarse con la última actualización antivirus antes de que el dispositivo pueda conectarse a la red de la organización?. NAS. SAN. VPN. NAC.

Se le solicita asesoramiento a un especialista en seguridad sobre una medida de seguridad para evitar que hosts no autorizados accedan a la red doméstica de los empleados. ¿Qué medida sería la más eficaz?. Implementar un VLAN. Implementar sistemas de detección de intrusiones. Implementar una RAID. Implementar un firewall.

Un servicio de prueba de penetración contratado por la empresa ha informado que se identificó una puerta trasera en la red. ¿Qué medida debe tomar la organización para detectar si los sistemas están comprometidos?. Buscar cuentas no autorizadas. Buscar nombres de usuario que no tengan contraseñas. Buscar cambios en las políticas en el Visor de eventos. Analizar los sistemas en busca de virus.

Un delincuente cibernético envía una serie de paquetes con formato malicioso al servidor de la base de datos. El servidor no puede analizar los paquetes y el evento provoca la falla del servidor. ¿Cuál es el tipo de ataque que lanza un delincuente cibernético?. Man in themiddle. DoS. Inyección SQL. Inyección de paquete.

Los empleados de una empresa reciben un correo electrónico que indica que la contraseña de la cuenta caducará inmediatamente y requiere el restablecimiento de la contraseña en 5 minutos. ¿Qué declaración clasificaría este correo electrónico?. Es un ataque de DDoS. Es un ataque de suplantación de identidad. Es un ataque combinado. Es un correo electrónico engañoso.

Qué tipo de ataque hará que los sitios web ilegítimos aparezcan más arriba en el listado de resultados de búsqueda en la web?. Correo no deseado. Secuestrador de navegadores. Envenenamiento SEO. Envenenamiento de DNS.

¿Qué control de acceso debe utilizar el departamento de TI para restaurar un sistema a su estado normal?. Control preventivo. Control de compensación. Control correctivo. Control de detección.

Antes de que los datos se envíen para análisis, ¿qué técnica se puede utilizar para reemplazar los datos confidenciales en entornos no relacionados con la producción, a fin de proteger la información subyacente?. Esteganografía. Estegoanálisis. Sustitución de enmascaramiento de datos. Ofuscación de software.

La seguridad se puede clasificar en tres partes como son los siguientes: Los usuarios. La información. La infraestructura.

Los elementos que se pueden aplicar en los mecanismos preventivos se pueden mencionar a: El respaldo de información. Horario de respaldo. La comprensión de la información.

Mecanismos correctivos en seguridad informática. Catalogación y asignación de problemas. Análisis del problema. Análisis de la solución.

Los mecanismos de detección de intrusión tienen unos pasos que se ejecutan como manera básica de detección que se menciona a continuación. Revisión de patrones de acceso. Revisión de la Transacción. Bloqueo automático.

Los métodos de encriptación disponibles actualmente y que son bastantes conocidos se puede mencionar a: Encriptación simétrica. Encriptación WPA. Encriptación WEP.

Tipos de Auditoría. Auditoría Operacional. Administrativa. Social.

Métodos de muestras utilizados en la auditoría: Aleatorio. Estratificado. atributos.

Riesgos de la auditoría. a. Inherente. b. De control. atributos.

En la Implantación de un sistema de controles internos informáticos, es necesario documentar los detalles de la red. así como los distintos niveles de control y elementos relacionados. Entorno de red. Configuración del computador base. Entorno de aplicaciones.

Planeación para una auditoría informática se divide en: Trabajos preliminares. Diagnóstico administrativo. Investigación previa.

Las decisiones que tienen que tomar los usuarios de un sistema de información se pueden dar en tres niveles. Administración Estratégica. Medio de administración. Operativo de administración.

A partir del análisis y definición de requerimientos se deberá explorar las diferentes alternativas: Factibilidad económica. Operativa. Tecnológica.

Los tres métodos para la transformación de la información son: Sustitución. Transposición. Híbrido.

Los objetivos de controles informáticos se han clasificado en las siguientes categorías. Preventivos. Directivos. Correctivos.

Controles internos informáticos para la implantación de un sistema habrá que definir: Administración de sistemas. Seguridad. Gestión del cambio.

Para cada una de las siguientes preguntas selecciones la respuesta correcta. ¿Cuál de los siguientes no es un control del Anexo. ¿Cuál es la definición de disponibilidad según la familia de normas ISO 27000?. ¿Basados en la ISO 19011, actividades dentro de la preparación de la auditoría incluyen?.