Está en la página 1de 6

Seguridad de la Información

Banco de Preguntas - Primer Parcial

1. Estudiando los factores de la valoración de activos. ¿Cuál de las siguientes opciones es un activo difícil de medir?
a. El tiempo que se necesita para sustituir un componente o sistema.
b. El tiempo que necesita un programador para encontrar un problema.
c. El efecto psicológico o valor para un cliente.

2. La encargada de garantizar que la información del sistema no haya sido alterada por usuarios no autorizados es el objetivo de:
a. Confiabilidad
b. Integridad
c. Confidencialidad

3. Dentro de los niveles básicos de la seguridad, nos referimos a los implicados dentro de los sistemas de gestión de base de datos, nos referimos al
nivel:
a. Aplicación
b. Middleware
c. Hardware

4. Una característica de un factor para un buen sistema de control, hace relación a la interfaz de usuario que debe ser fácil de utilizar, esto hace
referencia al factor de:
a) Reducción de la complejidad
b) Principio de mínimo privilegio
c) Aceptabilidad del usuario

5. ¿Al enviar cierta información entre dos equipos mediante un sistema de información se pudo determinar que lo que se recibió no fue lo que
realmente se envió, por lo tanto no se cumplió con el objetivo de la seguridad sobre integridad, el mismo fue a nivel de:?
a) Integridad del sistema
b) Integridad de datos
c) Integridad de equipos

6. ¿En cuál de los siguientes factores para un buen sistema de control de acceso, el diseño debe abierto y no mantener la seguridad ocultando
información?
a) Principio del mínimo privilegio
b) Reducción de la complejidad
c) Principio de Kerckhoff
7. ¿En cuál de los siguientes factores para un buen sistema de control de acceso, se debe simplificar el diseño:?
d) Principio del mínimo privilegio
e) Reducción de la complejidad
f) Principio de Kerckhoff

8. ¿En cuál de los elementos de gestión de la Seguridad de los Sistemas de Información, realizamos la planificación de instalación de la herramienta
KASPERSKY
a. Identificación de Riesgos
b. Aplicación de las Salvaguardas
c. Identificación de las limitaciones de aplicación de la seguridad
9. En qué área de proceso de la seguridad se habla sobre la propiedad que deben cumplir las salvaguardas para garantizar que cumplan los requisitos
para las que fueron diseñadas.
a. Riesgos.
b. Ingeniería
c. Aseguramiento.
10. Una amenaza de denegación de servicios, es una amenaza asociada a un activo, esta amenaza está relacionada con:
a) Activo de equipo físico
b) Activos de información
c) Activo de equipo lógico de aplicaciones

11. ¿Cuál de los siguientes ítems sobre los componentes de un incidente indican la debilidad del activo que puede ser explotada?
a. Amenaza
b. Vulnerabilidad
c. Impacto
12. ¿Cuál de los siguientes objetivos de la seguridad en las organizaciones se lo considera el más importante?
a. Disponibilidad.
b. Integridad.
c. Confidencialidad de los datos.

13. La propiedad de que las salvaguardas funciones de forma que satisfagan las necesidades de seguridad del consumidor, hablas de la propiedad de:
a) corrección
b) eficiencia
c) solidez

c) Se realice un control completo a los usuarios. Una de las funciones del control de acceso discrecional es permitir que: a) Un usuario común pueda conceder libremente acceso no autorizados. administración.14. ¿Cuál de los tipos de control de acceso. b) Desarrollo. ¿Cuál de las siguientes opciones describe mejor a la integridad de los datos? a) Es la propiedad en que los datos se deterioran y son de libre manipulación. 21. integración. b) Router de una organización. . ¿Es una amenaza de: ? a) Interrupción b) Interceptación c) modificación 15. mantenimiento y evolución de los sistemas. operación. 22. operación. administración. utilizan un conjunto de elementos interrelacionados. 18. c) La reactiva en alguna acción y la proactiva se anticipa ante cualquier fallo. control y mantenimiento preventivo. ¿Cuál es el área de proceso que se constituye la parte central de todo proceso de cualquier tipo? a) Riesgos b) Ingeniería c) Aseguramiento 19. Un empleado poco satisfecho ha modificado la información en la base de datos de un sistema de información de la empresa. ¿los encargados de la seguridad verificarán el sistema por considerarlo como? a) El nivel más complejo y el menos fiable b) El nivel menos complejo y el más fiable c) No representa nivel de complejidad pues es algo externo. b) Es la cualidad que poseen los datos cuando realizan una función adecuada c) Es la propiedad por la cual los datos no han sido alterados de forma no autorizada. c) Desarrollo. 25. ¿Cuál es el orden correcto los ciclos de vida de un proyecto de seguridad? a) Desarrollo. Se ha contratado a una empresa para que desarrollo un sistema de facturación para el departamento de ventas. b) La reactiva en el análisis de riesgos y la proactiva emerge durante el fallo. En la empresa existen usuarios que han instalado software pirata en las computadoras de trabajo. 17. El impacto a los activos. ¿cuál de los objetivos de la seguridad ha sido vulnerado? a) Integridad de Datos b) Integridad del Sistema c) Confidencialidad de información de los sistemas 24. asumiendo que saben lo que hacen. integración. ¿Cuál de los objetivo de la seguridad en las organizaciones se lo consideran el más importante? a) Disponibilidad b) Integridad c) Confidencialidad de Datos 20. b) Se limite la flexibilidad del usuario para tener el control. dentro de los riesgos se encuentra en: a) Información de amenazas b) Información de vulnerabilidades c) Información de impactos 16. ¿Cuál es la diferencia principal entre una respuesta reactiva y una respuesta proactiva? a) La reactiva se anticipa ante cualquier fallo y la proactiva después. La mayor parte de metodologías de análisis de riesgos cualitativas. administración e interoperabilidad. ¿Cuál de estos elementos no corresponde? a) Amenazas b) Vulnerabilidades c) Salvaguardas 23. es conocido como el control de acceso basado en reglas?: a) Control de acceso discrecional b) Control de acceso mandatorio c) Control de acceso monótono 26. ¿Cuál de las siguientes opciones es un ejemplo de un recurso tangible cuya integridad puede ser amenazada? a) Imagen pública de una organización.

científicamente obtenidos y probados que conducen a la interpretación y presentación de evidencias de los fallos de un sistema digital. c. Las estrategias de políticas de seguridad. c) Veracidad de los usuarios de una organización. Dentro de los objetivo de la seguridad en las organizaciones. b) Acciones no permitidas que permiten la emisión de órdenes y comandos científicos sobre los protocolos de un acceso remoto. c) La perdida y modificación de un sistema de información. c. c) Se enfoca en actuar contra la amenaza o contra el mismo riesgo. 38. b. ¿Cuál es el enunciado más apropiado que nos permite definir a la ciencia forense? a) Uso de métodos. Planificación b. Organice en e l o rden correcto los c iclos de v ida de u n p royecto son: a. Identifique para qué sirve la confidencialidad de los datos y de la información del sistema. ( V ) El objetivo del control de acceso es proteger al sistema contra acceso no autorizado a los recursos de computación. mantenimiento e interoperabilidad. 29. administración. Desarrollo. 33. 39. de recueros humanos. ¿Dentro de cuál de estos encontramos el mecanismo de planificación y preparación? a) Reducción y prevención de riesgos b) Transferencias de riesgos c) Atenuación de riesgos 34. … que pueden ser un ciclo informático que dependen de otros procesos. Uno de los objetivos del estándar ISO-17799 es: a) Controlar el excesivo uso de datos en una empresa. . Por políticas de seguridad realizamos la planificación de instalación del software NORTON ANTIVIRUS ¿En cuál de los elementos de gestión de la Seguridad de los Sistemas de información se relaciona con este proceso? a) Identificación de Riesgos b) Aplicación de las Salvaguardas c) Identificación de las limitaciones de aplicación de la seguridad 37. ¿Cuál de estas permiten la visualización de lo que puede sucederé cuando no se dispone de datos reales?. b) Se enfoca en el flujo de información entre dominios de seguridad. c) Planificar y verificar las vulnerabilidades de una empresa. Gestión de Riesgos 28. 32. de gestión organizaciones. Se realiza un monitoreo a los equipos informáticos en una organización. Desarrollo. a) Aplicación de la valoración de riesgos b) Análisis de vulnerabilidad c) Análisis de escenarios 31. comunicación e información. 27. b. en qué fase se realiza del proceso de análisis y gestión de riesgos de la Seguridad de la Información: a. administración. a) Controles disuarsorios b) Controles preventivos c) Controles correctores. a. mediante la depuración de activos lógicos. ¿Cuál es la función principal de las salvaguardas? a) Se enfoca en la protección de edificios y emplazamientos evitando riesgos. La información se mantenga al alcance de todas las personas. c. b. Desarrollo. mantenimiento y evolución de los sistemas. ¿Cuál de los siguientes criterios complementa a la seguridad de la información como un proceso? a. integración. 40. ¿Las estrategias de análisis de riesgos se recogen en tres niveles. administración. b) Proteger los activos de una empresa. … de apoyo utilizado por las empresas para salvaguardar sus activos fijos. … en los que intervienen diferentes aspectos tales como los tecnológicos. ¿Cuáles de los siguientes controles reducen el efecto de un ataque?. alterando los datos científicamente y presentados digitalmente. ¿Cuál de estos es considerado como el más importante? a) Disponibilidad b) Integridad c) Confidencialidad de Datos 36. Análisis de Riesgos c. 30. Existen técnicas alternativas de análisis de riesgos. integración. control y mantenimiento preventivo. La información privada o secreta no se revela a individuos no autorizados. 35.

verificando y validando las funciones asignadas. c. cuando se habla de que el plan debe ser rentable estamos hablando de una característica de Eficacia. ( F ) Cómo califica el siguiente enunciado: la confidencialidad depende de la disponibilidad y la accesibilidad. Modelo de redes Gregorianas. 44. Para el activo equipo físico c. 49. Las estrategias de análisis de riesgos se recogen en tres niveles. b. Proceso que integra las técnicas de análisis de riesgo y beneficio. que no hay que tomar medidas para reducirlo. ( F ) Un plan de gestión de riesgos debe tener algunas características. sistema o negocio? a) Comprobando que las medidas adoptadas sean las correctas. ¿Dentro de cuál de estos encontramos el mecanismo de aplicación de políticas de seguridad? a) Reducción y prevención de riesgos b) Transferencias de riesgos c) Atenuación de riesgos 50. Modelo de redes Bayesianas. Calculado. Suponga que desea determinar las anomalías o las operaciones normales del tráfico de red de una organización. se puede decir que es una razón para realizar el análisis de riesgos. 43. ¿Cuál de los apartados se puede considerar como externo a la gestión de riesgos? a. Mecanismo para salvaguardar los dispositivos físicos 48. c. Modelo de redes Criptogámicas manejando algoritmos simétricos. Un error de denegación de acceso a servidores. se considera como una amenaza asociada con un activo de: a) Para el activo información b) Para el activo equipo físico c) Para el activo equipo lógico 45. se puede considerar la identificación de los subsistemas y los componentes dentro de la frontera establecida. 54. ( F ) La valoración de riesgos es el proceso consistente en valorar los problemas que se han encontrado. es decir. mediante análisis estadísticos. b. Podemos encontrar clases de riesgos. controla y elimina los sistemas. Proceso que identifica. . ¿Cómo aplicaría la verificación y validación en el establecimiento de la confianza de un producto. ¿Cuál es el modelo a seguir para implantar una seguridad proactiva? a. b. Asumido. ( V ) La autorización es la concesión de derechos por parte de un propietario o de un controlador de un recurso a otro usuario. b) Comprobando que las medidas adoptadas satisfagan la calidad producto. Para el activo información b. es el riesgo: a. 42. Aquel que se considera asumible. 51. ( V ) Se puede considerar a un administrador del sistema como un recurso amenazado 52. Un error de diseño de aplicaciones. se considera como una amenaza asocia con un activo de: a. 41. 53. Para el activo equipo lógico 46. Residual c. ( V ) Identificar la necesidad de acciones correctivas. 47. c) Comprobando. utilizando un c0ntrol de riesgos. ( F ) La fase Inicial del proceso de gestión de riesgos de seguridad.

- responder a una brecha detectada. • FORENCE. - para evitar un problema de seguridad. la implantación. Todo modelo de madurez de la seguridad divide a la seguridad en tres grandes áreas. La respuesta puede ser reactivo o proactiva . en primer lugar. con las acciones que se observan. 5. para elaborar una respuesta. la verificación. La gestión de la seguridad basada en riesgo comprende 4 fases para la toma de decisiones. Es el menos utilizado. • PREVENCIÓN. 3. el diseño. liste estas fases con una breve descripción de cada una. hasta la eliminación. • Fase1. 6. Permite modificar por completo la autorización a lección de los usuarios y de los programas en su nombre. hablar de la ingeniería: La ingeniería sería el esfuerzo para alcanzar y mantener la seguridad óptima y supervivencia de un sistema en todo su ciclo de vida. Se desarrolla para determinar e implementar soluciones a los problemas presentados por las amenazas y peligros. Presente un ejemplo donde aplicarlo: Integridad: Se encarga de garantizar que la información del sistema no haya sido alterada. la gestión de riesgos de seguridad compite por los mismos recursos que necesita la gestión de riesgos relacionada con otros tipos como riesgos relacionados a azares de la naturaleza. Plan de gestión de riesgos. administrador. viabilidad. describa los siguientes. que incluyan un conjunto de controles internos y externos • Fase 3. Modelos de Madurez de la seguridad. 7. es sencillo e intuitivo. que incluyan controles internos y externos. realice una breve descripción de cada uno de ellas?. de una forma que concuerde con las directrices de la organización. la operación y el mantenimiento. - es lo que ve el usuario.- es el nivel más simple. la clave es desarrollar estrategias de gestión de riesgos. se encarga de identificar y cuantificar la probabilidad de que se produzcan amenazas y de establecer un nivel aceptable de riesgo para la organización. 8. d) Control de acceso monótono: Control de acceso clásico. es decir presenta los escenarios de ataque contra los objetivos específicos de acuerdo al riesgo percibido • Fase 2. Se basa en estimaciones de pérdidas de potenciales. identifica los recursos adicionales necesarios y los recursos infrautilizados que se pueden emplear. Liste los mismos y detalle por lo menos 2 de ellos. • DETECCIÓN. pero asume que los usuarios y programas que operan en su nombre saben lo que hacen b) RBAC: En este caso los derechos de acceso dependen del papel que desempeñan los sujetos dentro de la empresa. muy flexible. ¿Cuáles son los enfoques de la seguridad de un sistema de información. Liste dichas áreas y describa cualquiera de ellas • Proceso de gestión de riesgo • Proceso de ingeniería de seguridad • Proceso de aseguramiento Proceso de Gestión de Riesgo. Plan de asignación de recursos para riesgos de seguridad. el diseño. es el nivel más complejo y menos fiable. • RESPUESTA Y ACTUACION. la operación y el mantenimiento. hasta la eliminación. ¿Cuáles son los niveles de la seguridad de la información. compara los requisitos con los recursos disponibles. – gestión de ficheros y las comunicaciones • Hardware. Explique a que hace referencia el proceso de ingeniería de las áreas de proceso de la seguridad. A que hace referencia esta fase. requisitos de recursos de la estrategia de gestión de riegos planificada. Valoración del Riesgo. 4. identifica y prioriza los peligros inherentes al desarrollo de un producto. • Middleware. Se desarrolla para determinar e implementar soluciones a los problemas presentados por las amenazas y peligros. Hace referencia a los escenarios de ataques de riesgos significativos. dentro de los objetivos generales de la seguridad. • Fase 4. existen varios tipos. el despliegue. prioriza las amenazas contra los objetivos. Plan global de asignación de recursos. el despliegue. • Aplicación. que afirma que el dueño de la información decide sobre el acceso. y se ejecuta un proceso de notificación para que el personal de seguridad detecte las inconsistencias existentes. Dentro del control de acceso. ya que implica cálculos complejos o datos difíciles de estimar. Detalle cada uno brevemente? • Enfoque Cuantitativo. PARTE DE ENSAYO 1. la implantación. Permite la modelización de la estructura de autorizaciones de los sistemas c) OCAC: En este caso el originador de la información y no su propietario es quien tienen el control sobre la distribución de la información. – Se comparan los riesgos considerados aceptables por las directrices de política de seguridad de la organización. se obtiene más poder. 2. eficiencia. evitando la pérdida de consistencia. la clave es desarrollar estrategias de gestión de riego. Con Características de eficacia. la verificación. Además proporciona a los usuarios control completo. Dentro de la Seguridad Basada en Riesgos. se eliminan las posibles vulnerabilidades y amenazas y se reduce la visibilidad del recurso de cara al exterior. se menciona la fase Plan de gestión de Riesgos. Es un proceso que se desarrolla en diferentes fases que van desde el concepto. 9. a) DAC: Basado en el principio del propietario. - el nivel menos complejo y el más fiable. aquí ocurren la mayor parte de fraudes. Es un proceso que se desarrolla en diferentes fases que van desde el concepto. por el cual según se va más capacidades o identidades. - Se trata de recoger información tras detectarse una violación de seguridad. Una base de datos del Registro civil. la probabilidad y la estimación • Enfoque Cualitativo: Es el más utilizado actualmente por las empresas. - implicados los sistemas de gestión de bases de datos y la manipulación del software • Sistema operativo. por usuarios no autorizados. como root. Dentro de la seguridad de un sistema de información encontramos cuatro enfoques. Detalle a que hace referencia el objetivo de Integridad. Es parte importante de la gestión de la seguridad. cuando tenemos escenarios de ataques que plantean riesgos significativos. Se basa en dos parámetros. sistema u organización.

presente un ejemplo dónde aplicarlo: DISPONIBILIDAD: Significa que los recursos importantes o la información están disponibles y lista para su uso sin ningún tipo de problema. E/S. j. 8. g. Iniciadores o Sujetos: Son entidades activas. Datos de control de acceso: Es toda información de control de acceso asociada con una entidad o dato. Disponibilidad: Significa que los recursos importantes o la información están disponibles y lista para su uso sin ningún tipo de problema. Pueden ser ficheros. Son entidades o recursos pasivos a los que acceden los iniciadores. Puede asociarse. 13. Ubique el literal de los apartados citados dentro del cuadrante que únicamente le corresponde. etc. la misma que está disponible y accesible. Datos de decisión del control de acceso: Es la porción o totalidad de datos del control de acceso que están disponibles. procesos o sistemas físicos. incluyendo las operaciones. 16. 1. 2. aplicando reglas de control. No repudio: información no puedan negar el envío de la misma. 6. Implicados los sistemas de gestión de BD f. Especificaciones Nivel Básicos de Seguridad a. identifica y prioriza los peligros inherentes al desarrollo de un producto. 15. 11. y que los receptores no puedan negar que lo recibieron 14. Es el nivel menos complejo y más fiable. Luego de esto si los riesgos que surgen aquí son de consideración interviene la siguiente fase de Planeación de Gestión de Riesgos.j i. basadas en computador. una de ellas es la fase de la valoración de los riesgos. Información contextual de control de acceso: Es el subconjunto del total de información del control de acceso. Función de decisión del control de acceso: Determina las determinaciones del control de acceso. dentro de los objetivos generales de la seguridad. liste los mismos y describa cuatro de ellos. Describa a que referencia la misma. Integridad de mensaje: Significa que el mensaje NO haya sido alterado bajo ningún concepto y llega a su destino tal cual fue enviado. En esta fase se crean escenarios de ataques de acuerdo a los objetivos específicos planteados y a los riesgos percibidos. 9. Gestión de ficheros. 5. Objetivos. i. Información de control de acceso: Es todo tipo de datos. Función de cumplimiento del control de acceso: Forma parte del camino de acceso entre el iniciador y un objetivo. Gestión de comunicaciones. Características de Seguridad en la CPU 12. la mayor parte de los fraudes ocurren aquí. registros. es el nivel más complejo y el menos fiable c. La gestión de la Seguridad basada es riesgos. Defina los siguientes términos: a. 4. Los principales componentes del control de acceso son nueve. sistema u organización. comprende cuatro fases. 10. Acción: Es una petición de acceso realizada por un iniciador hacia un objetivo. características de seguridad de gestión de memoria Middleware d.f e. se encarga de identificar y cuantificar la probabilidad de que se produzcan amenazas y de establecer un nivel aceptable de riesgo para la organización. Hardware h. es parte importante de la gestión de seguridad. incluyendo la información contextual. Implica la manipulación de software. 3. Explique a que hace referencia el Proceso de Gestión de Riesgos de la Seguridad: Es el nivel más simple. es lo que ve el usuario b. EJEMPLO: Un ejemplo es la base de datos del registro civil. 7. La responsabilidad del sistema depende de la capacidad de que los emisores de c. e. . b. como personas o entidades artificiales. que intentan acceder a otras entidades. Detalle a que hace referencia el objetivo de Disponibilidad y Accesibilidad de los sistemas y datos.