Cuestionario Dos Tecnología de la información y

Comunicación I
1) ¿Por qué se dice que las licencias de software libre son un hacking
legal?
2) ¿Cuál es la principal diferencia entre el software privativo y el software
libre?
El software libre es aquel que puede ser distribuido, modificado, copiado
y usado; por lo tanto, debe venir acompañado del código fuente para
hacer efectivas las libertades que lo caracterizan.

Mientras que el software privado se refiere a cualquier programa

informático en el que los usuarios tienen limitadas las posibilidades de
usarlo, modificarlo o redistribuirlo (con o sin modificaciones), o que su
código fuente no está disponible o el acceso a éste se encuentra
restringido.
3) ¿Qué se debe hacer para usar una licencia de software libre en un
programa?
4) ¿Qué requisitos debe cumplir una licencia para considerarla libre?
5) ¿Se puede vender un programa libre?
6) ¿Se puede “cerrar” el código de un programa libre para evitar para evitar
su redifusión por parte de terceros?
7) ¿Se puede cambiar la licencia de un programa libre y convertirlo en
privativo?
8) ¿Qué tipos de licencias de software existen?
9) ¿Por qué debería comprar licencias a través de un Resseler certificado?
10) ¿Qué ventajas puede ofrecerme licenciar la plataforma de software de
mi compañía?
11) ¿Qué es la ADS y cuáles son sus fines?

Los ADS son por muchos conocidos dentro del mundo de la informática, y
sobretodo de la seguridad. Un ADS es un flujo alternativo o un fichero
dentro de otro fichero.

12) ¿Qué es la ley 19.223 y cuáles son sus artículos?

TIPIFICA FIGURAS PENALES RELATIVAS A LA INFORMATICA

Teniendo presente que el H. Congreso Nacional ha dado su

aprobación al siguiente
Proyecto de Ley:

"Artículo 1°.- El que maliciosamente destruya o inutilice un sistema de

tratamiento de información o sus partes o componentes, o impida,
obstaculice o modifique su funcionamiento, sufrirá la pena de presidio
menor en su grado medio a máximo.
 Si como consecuencia de estas conductas se afectaren los datos
contenidos en el sistema, se aplicará la pena señalada en el inciso
anterior, en su grado máximo.

Artículo 2°.- El que con el ánimo de apoderarse, usar o conocer

indebidamente de la información contenida en un sistema de tratamiento
de la misma, lo intercepte, interfiera o acceda a él, será castigado con
presidio menor en su grado mínimo a medio.

Artículo 3°.- El que maliciosamente altere, dañe o destruya los datos

contenidos en un sistema de tratamiento de información, será castigado
con presidio menor en su grado medio.

Artículo 4°.- El que maliciosamente revele o difunda los datos

contenidos en un sistema de información, sufrirá la pena de presidio
menor en su grado medio. Si quien incurre en estas conductas es el
responsable del sistema de información, la pena se aumentará en un
grado.".

13) ¿Qué es la ley 19.628 y cuáles son sus artículos?

https://www.leychile.cl/Navegar?idNorma=141599
14) ¿Qué se entiende por derecho de autor?
En la terminología jurídica, la expresión “derecho de autor” se utiliza
para describir los derechos de los creadores sobre sus obras literarias y
artísticas. Las obras que se prestan a la protección por derecho de autor
van desde los libros, la música, la pintura, la escultura y las películas
hasta los programas informáticos, las bases de datos, los anuncios
publicitarios, los mapas y los dibujos técnicos.
15) ¿Qué significa GPL?
General Public License

16) Cuando se habla de software libre, ¿significa que se está empleando la

GPL?
17) ¿Por qué debería usar GPL de GNU en lugar de otras licencias de
software libre?
18) ¿Todos los programas de GNU utilizan como licencia la GPL de GNU?
19) ¿Exige la GPL que el código fuente de las versiones modificadas se
ponga a disposición del público?
20) ¿Me permite la GPL vender copias del programa?
21) ¿Cómo consigo el copyright de mi programa a fin de publicarlo bajo la
GPL?
EJERCICIO 1:
1.1 Establecer ocho objetivos de seguridad que tengan que ser considerados en
relación a la gestión de la seguridad de la Información de cualquier Organización.

1.2 Indicar quien consideráis que tiene que estar representando en el Comité de
Seguridad de cualquier Organización.

- Gerente de TI
- Gerente de Recursos Humanos
- Jefe de Calidad
- Jefe de Riesgos
- Asesor Jurídico (abogado de la empresa)
- Comité Directivo de la compañía o su representante.
- Gerente de Finanzas.

EJERCICIO 2:
Diseñar una matriz RACI en la cual se asignen para cada una de las funciones o
actividades que se indican a continuación, las siguientes responsabilidades:
encargado, responsable, consultado e informado, en relación con determinadas
funciones de seguridad.

Considerar las siguientes funciones o actividades de seguridad:

 Realización de copias y restauraciones

 Identificación de activos/servicios críticos.
 Redacción del cuerpo Documental del sistema de Gestión.
 Monitorización de los sistemas.
 Aprobación del cuerpo Documental del sistema de Gestión.
 Evaluación de controles periódicos de seguridad.
 Gestión de incidencias de seguridad.
 Implantación técnica de permisos de accesos.
 Implementación de indicadores de seguridad
 Autorización de acceso a datos.

Dónde:

 R (encargado): Indica la persona que realiza la actividad.

 A (responsable): Indica quién es la persona que autoriza y dirige la realización
de la actividad. Es quien tiene que firmar o aprobar la actividad antes de que
sea aceptada.
 C (consultado): Indica quién es consultado y apoya al proceso,
 I (informado): Indica quién es informado del progreso y de los resultados de la
actividad.

EJERCICIO 3:
Marcar con una X según corresponda:

1. Elegir la definición más idónea.

La seguridad de la información es una responsabilidad que tiene que ser
compartida por todos los miembros de un grupo de seguridad definido por la
x
dirección.

La seguridad de la información es una responsabilidad que tiene que recaer en

una sola persona que tiene que conocer todos los aspectos de negocio de una
organización

2. Elegir aquellos elementos que tienen que ser considerados “activos” importantes o
relevantes en una empresa.

Guía telefónica o las páginas amarillas

La máquina de café

Base de datos de clientes, pedidos y facturas.

x
Mobiliario de oficina

Las líneas de comunicaciones de voz y datos (telefonía e Internet).

El personal de la organización
x
Los libros de contabilidad

3. Qué información del SGSI se tiene que utilizar para detectar puntos de mejora y
problemas del SGSI?

Las recomendaciones del auditor de certificación

Los resultados de encuestas entre el personal

No es necesario detectar los puntos de mejora en los SGSI

Incidentes detectados, auditorías internas, índices de los controles

4. Seleccionar el tipo de activo al que corresponde cada activo de la tabla siguiente:

Servicios de
Hardware Software Información
ACTIVOS infraestructura

Sistemas Operativos
Programas de
desarrollo propio

Suministro eléctrico

Ordenadores
personales, portátiles

Hub-switch

Telefonía fija y móvil

Monitores

Programas comerciales

Documentación de
sistemas informáticos

Impresoras

Routers

Firewalls

Líneas comunicaciones
externas (Internet, ...)

Bases de datos de
clientes

Planes de continuidad

5. La norma ISO/IEC 27002…

a) Es la norma frente a la cual una empresa certifica su sistema de gestión de
seguridad de la información
a)

b) Es una norma para certificar el desarrollo de software

c) Es el código de buenas prácticas que recoge los controles que una empresa
tiene que considerar para asegurar su SGSI

d) Es una norma que contiene los controles obligatorios de todo SGSI

6. Señalar, como clasificarías la información mostrada a continuación, atendiendo a

su “criticidad” o necesidad de confidencialidad.
 Alto Medio Bajo

Fichero con los nombres y DNI de los empleados

Informes de la última revisión médica de los empleados

Documento resumen con las nóminas de todos los

empleados del último mes.

Plan estratégico de la empresa incluyendo futuras

inversiones, proyectos, balances, ...

7. Marcar aquella información que consideras que no tiene que ser utilizada
confidencialmente.

Fichero con las nóminas de los empleados

Fichero con datos de clientes, ventas efectuadas y facturas correspondientes

Fichero de proveedores

Fichero con la relación de empresas de una provincia dedicadas a una actividad

concreta

Datos de un estudio de mercado realizado por la empresa para el sondeo de

opinión ante un nuevo producto

8. La sección de la norma en la cual se recogen controles para asegurar que la

empresa conoce las leyes que tiene que aplicar es …
a) La sección Políticas de Seguridad

b) La sección Seguridad del Personal

c) La sección Conformidad

d) La sección Continuidad del negocio

9. Señalar el tiempo que consideras tendría que transcurrir una vez que un
empleado deja de trabajar en su centro de trabajo, para aplicar las acciones
indicadas a continuación.

ACCIÓN TIEMPO PARA LLEVAR A CABO

La ACCIÓN
 Un Una Un mes No es
día semana Máximo necesario

Entregar las claves de acceso al edificio o

cualquiera otro sistema alternativo utilizado

Eliminar los datos de este empleado del sistema

de control de acceso

Deshabilitar su cuenta de correo electrónico

Realizar una copia de seguridad de la información

almacenada en el ordenador utilizado por el
usuario y reinstalar de nuevo todo el sistema

Realizar un seguimiento si este empleado ha

intentado posteriormente acceder a el edificio, al
sistema informático, correo electrónico, intranet,...

10. Señalar, de las siguientes acciones, aquellas que consideras que NO tendrían que
ser permitidas a ningún empleado de tu organización independientemente de su
cargo o responsabilidad.

Falsificar mensajes electrónicos

Intentar leer, borrar, copiar o modificar los mensajes electrónicos o archivos de

otros usuarios sin su consentimiento.

Instalar programas “espía” que monitorizan la actividad de los usuarios en los

equipos informáticos.

Destruir, alterar, inutilizar o dañar intencionadamente los ordenadores y equipos

asociados, datos, programas o documentos electrónicos contenidos en redes,
soportes o sistemas informáticos de la organización.

Enviar mensajes o imágenes de material ilegal, ofensivo, difamatorio, inadecuado

o con contenidos discriminatorios por razones de género, edad, sexo,
discapacidad, etc o de aquellos que promuevan el acoso sexual.

Acceder a la información “cifrada” de los usuarios almacenada en los equipos de

la organización mediante una “clave maestra”.

11. Los planes de continuidad del negocio…

a) Son un requisito indispensable en los SGSI y se desarrollan para aquellas
situaciones que afecten gravemente a la empresa basándose en el análisis
de riesgos
b) Se tienen que desarrollar cuando hay un incidente que ha podido significar el
cierre del negocio

c) La restauración de los servicios tiene que realizarse siempre en menos de 8

horas

d) Los planes de continuidad se aplican a los servidores de aplicaciones

12. Señalar si son correctas o erróneas las siguientes afirmaciones.

Correcta Errónea

Una cerradura de seguridad únicamente con clave de acceso

(PIN) siempre es más segura que otra que requiera una clave
física.

Si existen varias puertas que dan acceso a una vivienda es más

seguro que todas las claves sean diferentes.

Traer en la misma cartera o bolsa las claves de la vivienda y el

D.N.I. implica un alto riesgo de acceso no autorizado a la misma.

Las cámaras de seguridad impiden el acceso no autorizado a un

edificio o vivienda.

13. A continuación, indicar cuales de las siguientes medidas de seguridad, creéis que
se tendrían que aplicar en un centro de trabajo.

Verdadero
Los lugares de acceso restringido están claramente
Falso
identificados.
No estoy seguro

Verdadero
El acceso a los lugares restringidos requiere siempre la
Falso
utilización de claves, tarjetas, códigos, etc.
No estoy seguro

Verdadero
Es posible reconocer a todo el personal que trabaja en el
centro, puesto que trae una identificación visible con su Falso
nombre y puesto de trabajo
No estoy seguro
 Verdadero
Existen cámaras que vigilan permanentemente tanto en las
Falso
zonas restringidas como en las públicas
No estoy seguro

14. Señalar de las siguientes acciones aquellas que piensas que puedan suceder en tu
centro de Trabajo, y si consideras que pueden suponer algún riesgo para la
seguridad.

Enviar a reparar un equipo de administración

Retirar una impresora obsoleta

Por avería, utilizar temporalmente un equipo de un departamento en otro lugar

Conectar en una red externa a la oficina (internet, red cliente,...) un equipo

portátil de la organización

Instalar un equipo nuevo siguiendo la política de seguridad establecida

Reemplazar un Hub/switch estropeado

Retirar un ordenador obsoleto sin quitarle ninguno componente interno y dejarlo

en la basura

15. ¿Cuáles de los siguientes elementos consideras que forman un perímetro de

seguridad?

Cifrar el contenido de una carpeta.

Sistema de alarma por sensores de presencia en una sala de un museo.

El muro construido entre la frontera de España y Marruecos.

La utilización de usuario/contraseña para acceder a un sistema.

Sistema de control de acceso a la sala de servidores mediante tarjeta.

16. Un Sistema de Gestión de la Seguridad se centra en…..

Asegurar el control de las medidas de seguridad.

Asegurar la máxima seguridad de los sistemas.

Asegurar la mínima seguridad de los sistemas.

Asegurar el cumplimiento de los procedimientos.

17. Selecciona el criterio más adecuado para decidir los controles a implantar
a) Se tienen que aplicar todos los controles de la norma ISO/IEC 27002

b) Se tienen que aplicar los controles para los cuales la empresa tenga
presupuesto

c) Se tienen que aplicar al menos un 20% de los controles de cada sección

d) Se tienen que seleccionar en base a un análisis de riesgos

18. Un intruso ha superado el perímetro de seguridad de acceso al mismo. ¿Qué

activo se tiene que proteger con cada una de las siguientes medidas?

MEDIDAS ACTIVOS
Instalación de servidores en un “rack” o Información contenida en las Bases de
armario con cerradura de seguridad datos de los servidores

Un ordenador portátil

Las cintas de Backup.

Un grupo de servidores

Resto de Equipamiento (routers,

firewall, ...)

Cadenas para fijar equipos al mobiliario Información contenida en las Bases de

datos de los servidores

Un ordenador portátil

Las cintas de Backup.

Un grupo de servidores

Resto de Equipamiento (routers,

firewall, ...)

Armario cerrado con cerradura de seguridad Información contenida en las Bases de

datos de los servidores

Un ordenador portátil

Las cintas de Backup.

Un grupo de servidores

Resto de Equipamiento (routers,

 firewall, ...)

Autenticación a los sistema mediante Información contenida en las Bases de

contraseñas complejas o si fuera posible datos de los servidores
mediante tarjetas criptográficas o biometría.
Un ordenador portátil

Las cintas de Backup.

Un grupo de servidores

Resto de Equipamiento (routers,

firewall, ...)

19. ¿Qué tipo de personas tienen que acceder a unas instalaciones bajo los siguientes
niveles de seguridad?

NIVEL DE SEGURIDAD TIPO DE PERSONAS

Con tarjeta específica temporal, en la cual se Trabajador interno
refleja su identidad y donde puede ir o quien
tiene que acompañarle Visita

Trabajador externo con acceso

temporal

Tarjeta específica solamente en horario laboral, Trabajador interno

acceso permitido a todas las ubicaciones
necesarias para trabajo Visita

Trabajador externo con acceso

temporal

Tarjeta específica solamente en horario laboral Trabajador interno

y por tiempo (días y horas) definido, acceso
permitido a todas las ubicaciones necesarias Visita
para su trabajo. Trabajador externo con acceso
temporal

20. Un sistema de indicadores de seguridad permite ...

Saber si somos objeto de ataques

Saber si las salvaguardas desplegadas cumplen su misión

Reaccionar eficazmente a situaciones de emergencia.

Saber si los documentos cifrados han podido ser revelados.

21. A continuación mostramos tres columnas con posibles respuestas a los controles
perimetrales más habituales. Seleccionar por cada fila la medida (columna) que
consideres más segura

TABLAS DE CONTROLES
CONTROLES A B C
Muro de
Perímetro de
Muros de Hormigón Valla de hierro hormigón con
seguridad
videovigilancia

Identificación
Control con
visual por personal
Control físico de Puerta con clave de tarjeta de acceso
de seguridad y
entrada acceso de 4 dígitos a través de un
detector de
turno
metales

Cámaras de
Guardias de
vídeo de
Controles de seguridad 24 h con Guardias de
seguridad
vigilancia sistema de seguridad
automáticas
videovigilancia.
(desatendidas)

Planes contra Edificios elevados

Instalación de un Instalación de un
desastres contra
sismógrafo pararrayos
naturales inundaciones

Alarmas de
Sistemas de Alarma detección Alarmas anti
exceso de carga
alarma escape de gas humos/incendios
en ascensores

Instalación de
Acceso restringido cámaras de
Securización de Equipos
mediante tarjeta o videovigilancia y
oficinas fuera del protegidos con
clave de seguridad alarmas de
horario laboral candados
especial detección de
intrusos

22. Señalar aquellas medidas que consideres adecuadas para la seguridad de

soportes de almacenamiento externo.

Guardar los pendrive (memorias USB) en la maleta del portátil

Utilizar dispositivos de almacenamiento externo que incluyan la posibilidad de

cifrar su contenido

Guardar información cifrada en dispositivos externos

Utilizar un teléfono móvil o PDA sin contraseña o PIN de acceso

No traer nunca información confidencial en un soporte externo cuando estamos

fuera de la oficina, a no ser que esté Cifrado

23. Señalar las actuaciones que consideras correctas en el supuesto de que

sospeches que tu equipo ha sido infectado por un virus o programa malicioso

Desconectar el equipo de la red local

Enviar inmediatamente un correo electrónico a la gente de mi departamento para

saber si a ellos les ocurre algo parecido

Buscar en Google algún programa o utilidad gratuito para eliminar virus,

descargarlo y ejecutarlo

Apagar el equipo y comunicarlo inmediatamente al responsable informático o de

seguridad

Hacer una copia de los datos y programas que necesito del ordenador, instalarlos
en otro equipo y seguir trabajando

Iniciar el ordenador con un S.O. “limpio” y ejecutar un Antivirus “actualizado”

24. El alcance de un SGSI…

a) Es el grado de agrupamiento de los activos de la empresa

b) Determina claramente qué áreas o servicios de la empresa aplican al SGSI

c) Indica a partir de qué punto se considera que un riesgo es alto

d) Es el conjunto de departamentos afectados por el SGSI

25. Indicar cuales de las siguientes acciones relacionadas con las copias de seguridad
son las correctas.

Se realizan 4 copias de seguridad semanales que se guardan juntas en un armario

en la oficina

Las copias de seguridad son comprobadas periódica y aleatoriamente para validar

su correcto funcionamiento y capacidad de recuperación

Una de las copias de seguridad se almacena en la oficina en un armario ignífugo y

la otra copia se almacena en otro local externo a la oficina.

Las copias de seguridad son realizadas y guardadas en un segundo disco que

lleva instalado el mismo equipo
Todos los días se realiza una copia de seguridad con los cambios diarios y una
vez por semana se realiza una copia de seguridad incremental

26. Señalar de las contraseñas siguientes las que consideras que tendrían que ser
utilizadas

CONTRASEÑA RESPUESTA

admin

asterix

MvvdP9$mdr

a1bcx

Una frase difícil de adivinar

27. La declaración de aplicabilidad…

Es el documento donde una empresa justifica qué controles aplica y no aplica en

su sistema de gestión

Es un documento confidencial donde se seleccionan los controles

Es un documento donde se analiza si el SGSI es aplicable en la compañía

Es un documento donde se analiza qué norma de certificación es aplicable en la

compañía

28. Asociar a cada una de las acciones enumeradas a la izquierda, la ventaja que le
corresponde.
 Testejar software y aplicaciones

Garantizar el control de acceso y disponibilidad

de áreas restringidas

Continuidad de las comunicaciones y el acceso

Utilizar ordenadores portátiles a Internet

Continuidad ante cortes temporales de

suministro eléctrico

Continuidad en el funcionamiento de
aplicaciones críticas

Testejar software y aplicaciones

Garantizar el control de acceso y disponibilidad

de áreas restringidas
Contratar el acceso a Internet con dos
Continuidad de las comunicaciones y el acceso
proveedores diferentes a Internet
Cortes temporales de suministro eléctrico

Continuidad en el funcionamiento de
aplicaciones críticas

Testejar software y aplicaciones

Garantizar el control de acceso y disponibilidad

de áreas restringidas
Disponer de sistemas de alimentación
ininterrumpida en los servidores Continuidad de las comunicaciones y el acceso
centrales a Internet

Cortes temporales de suministro eléctrico

Continuidad en el funcionamiento de
aplicaciones críticas
Testear software y aplicaciones

Garantizar el control de acceso y disponibilidad

de áreas restringidas
Disponer de una copia de todas las Continuidad de las comunicaciones y el acceso
claves guardada en un lugar seguro y a Internet
protegido
Cortes temporales de suministro eléctrico

Continuidad en el funcionamiento de
aplicaciones críticas
 Testejar software y aplicaciones
Garantizar el control de acceso y disponibilidad
de áreas restringidas

Instalar antes en un sistema de Continuidad de las comunicaciones y el acceso

pruebas nuevos programas, a Internet
aplicaciones, actualizaciones, etc.
Cortes temporales de suministro eléctrico

Continuidad en el funcionamiento de
aplicaciones críticas

29. Marcar los controles de seguridad necesarios para evitar los riesgos siguientes.

Ubicación del sistema en zonas vigiladas

Ubicación del sistema en área con sistema

Acceso no autorizado a la consola de antiincendios
administración de servidor
Ubicación del servidor en área de acceso
restringido

Normativa interna de uso de los sistemas

informáticos

Ubicación del sistema en zonas vigiladas

Ubicación del sistema en área con sistema

Peligro de incendio del sistema de antiincendios
alimentación de salvaguarda
Ubicación del servidor en área de acceso
restringido

Normativa interna de uso de los sistemas

informáticos

Ubicación del sistema en zonas vigilades

Ubicación del sistema en área con sistema

antiincendios
Peligro de robo
Ubicación del servidor en área de acceso
restringido

Normativa interna de uso de los sistemas

informáticos
 Ubicación del sistema en zonas vigiladas

Ubicación del sistema en área con sistema

Deterioro del material por mal uso de
antiincendios
las instalaciones
Ubicación del servidor en área de acceso
restringido

Normativa interna de uso de los sistemas

informáticos