¿Qué Ley ha asumido la mayoría de las funciones de la antigua LORTAD?
Ley de Firma Electrónica
LOPD
Ninguna de las respuestas es correcta
LSSI-CE
Uno de los factores clave para el éxito de un Plan Director de Seguridad es:
Compromiso con los empleados
Compromiso con los proveedores
Compromiso de la dirección
¿Qué opciones existen para tratar los riesgos?
Mitigar, asumir, transferir o eliminar el riesgo
Mitigar, asumir y eliminar el riesgo
Transferir a un tercero y eliminar el riesgo
¿Qué resultados obtenemos tras la realización de una auditoría informática?
Identificación de las salvaguardas que minimizan los riesgos detectados
Evidencias de los riesgos asociados a los sistemas que dan soporte a la información de la organización
Posibles adquisiciones a realizar para mejorar la infraestructura informática
¿En qué consiste un ANÁLISIS DE RIESGOS?
En identificar los riesgos a los que están expuestos los activos de la organización
En identificar los problemas de seguridad que evidencian vulnerabilidades
Las dos respuestas indicadas son correctas
Ninguna de las dos respuestas indicadas es correcta
¿Qué cuatro etapas de trabajo plantea el Ciclo PDCA o Ciclo de Deming?
Pensar, Hacer, Recordar y Analizar
Pensar, Hacer, Revisar y Actuar
Planificar, Hacer, Revisar y Actuar
Planificar, Hacer, Revisar y Analizar
El Esquema Nacional de Seguridad es de obligado cumplimiento para:
Las Administraciones de las Comunidades Autónomas
Las entidades de Derecho público con personalidad jurídica propia vinculadas o dependientes de las Administraciones Públicas
Todas las respuestas son correctas
Las Entidades que integran la Administración Local
¿En qué consiste la Gestión del Riesgo?
En identificar y desplegar las medidas técnicas y organizativas requeridas para eliminar los riesgos identificados, de forma que se evite totalmente el daño que pueden ocasionar
En subcontratar a una empresa externa la seguridad de la organización
En aplicar determinadas medidas destinadas a mitigar los riesgos detectados
En identificar y desplegar las medidas trécnicas y organizativas requeridas para evitar, minimizar o controlar los riesgos identificados, de forma que se elimine o reduzca el daño que pueden ocasionar
El IMPACTO es:
Un medible del grado de daño que se ha producido sobre un activo
Un medible de la importancia de una vulnerabilidad
Un medible sobre el número de activos de una organización
El objetivo de ITIL v3 es:
Mejorar las comunicaciones de la organización
Alinear las Tecnologías dela Información con el negocio
Separar las funciones de las Tecnologías de la Información
Integrar las Tecnologías de la Información en el negocio
Algunas características que debe tener una Política de Seguridad son:
Mejorable e Inteligible
Abarcable y de obligado cumplimiento
Asequible
Uno de los objetivos de un Plan Director de Seguridad es:
Aportar confianza sobre los servicios ofrecidos
Realizar un análisis de riesgos en la organización
Cumplir los requisitos de la LSSIE
Dentro de las etapas para el establecimiento de un SGSI, ¿Qué elementos de los siguientes es necesario definir?
La Política de negocio de la organización
La Política de Seguridad
La Estrategia de negocio
La Política de buen gobierno
La auditoría informática consiste en:
Recoger, agrupar y evaluar las evidencias para determinar si un sistema de información realiza de forma eficaz los fines de la organización y utiliza eficientemente los recursos
Recoger, agrupar y evaluar las evidencias para determinar si un sistema de información mantiene la integridad de los datos
Recoger, agrupar y evaluar las evidencias para determinar si un sistema de información protege el activo empresarial
Todas las respuestas son correctas Retroalimentación
¿Qué tipos de riesgo existen?
Conocidos y desconocidos
Mitigables y gestionables
Previstos, imprevistos y mitigables
¿Qué dos requisitos son fundamentales para establecer un SGSI?
Disponer de recursos económicos y de personal
Disponer de recursos tecnológicos y financieros
Compromiso por la dirección y planteamientos realistas
Acotar el trabajo y definir bien las funciones
¿Qué es ITIL?
Una norma europea de obligado cumplimiento en Tecnologías de la Información
Un conjunto de estándares en Tecnologías de la Información
Una biblioteca de buenas prácticas en la gestión de las Tecnologías de la Información
Denominamos RIESGO a:
La probabilidad de que ocurra un fallo de hardware
La probabilidad de que ocurra un evento adverso
Un medible de las posibles amenazas detectadas en una organización
La probabilidad de que ocurra un fallo en el sistema
Se consideran tipos de auditoría desde el punto de vista informático:
La auditoría de datos
La auditoría de las comunicaciones
La auditoría legal de la LOPD
Un Plan de Respuesta ante Incidentes implica:
Documentar una relación de actividades y tareas destinadas a dar respuesta a cualquier incidente genérico que afecte a la seguridad de la información
Documentar la seguridad de la organización
Cumplir un requisito legal
Documentar una relación de actividades y tareas destinadas a dar respuesta a cualquier incidente de la organización
¿Qué define un Plan Director de Seguridad?
La seguridad de la organización
La estrategia en seguridad física y lógica de la organización
La estrategia de negocio de la organización
La estrategia en seguridad TIC de la organización
En el ámbito del análisis de riesgos, se denomina incidente a:
Los hechos que deben evitarse en la organización pues causan un impacto en el negocio
Las averías de los sistemas de Información
Un fallo en el sistema eléctrico
Loe hechos que no deben evitarse en la organización pues aportan beneficio al negocio
¿Qué es MAGERIT?
Una metodología de análisis de intrusiones
Una metodología de análisis y gestión de riesgos enfocada a las Administraciones Públicas
Una metodología de análisis forense desarrollada por las administraciones públicas
Una metodología de análisis de la seguridad propuesta por el CNI
¿Es necesario realizar un análisis de riesgos para implementar un SGSI?
No, nunca
Si, siempre
No, salvo que la organización lo decida así
Si, pero sólo en la Administración Pública
La LOPD afecta a los siguientes tipos de ficheros:
Ficheros digitales y en papel
Sólo ficheros en papel
Sólo ficheros digitales
¿Qué preguntas se deben considerar en una de las técnicas más habituales para analizar la seguridad de una organización?
Qué proteger, contra quien, cómo y hasta dónde
Qué, cómo, cuándo y dónde proteger
Qué, cómo y contra quien proteger
Qué, cómo, y hasta dónde proteger
Dentro de los estándares ISO/IEC, ¿A qué ámbito se ha asignado el rango 27.000?
A la gestión de las tecnologías de la información
A la privacidad de la información
A la seguridad de la información
A las metodologías de gestión de riesgos
Algunos de los objetivos de la auditoría informática son:
Eliminar o minimizar la probabilidad de pérdida de información
Verificar el control interno de la función informática
Uno de los objetivos principales del Esquema Nacional de Seguridad es:
Establecer la política de seguridad en la utilización de medios electrónicos en el ámbito de la Ley 11/2007
Crear un marco comun para la actuación de las Administraciones Públicas en materia de seguridad de las tecnolog
Aportar confianza a los ciudadanos en el ejercicio de sus derechos y deberes con la Administración Pública por medios telemáticos
¿Qué establece el Esquema Nacional de Seguridad?
Las condiciones de seguridad requeridas en el uso de los medios electrónicos en el ámbito de la Administración Pública
Las condiciones de seguridad requeridas en el uso de los medios electrónicos en el ámbito de las organizaciones privadas
El reglamento de requisitos técnicos de la LOPD
Una relación de normas para la gestión de la seguridad en las empresas públicas
Ninguna de las anteriores
La característica de la información asociada a la FIABILIDAD es la:
Autenticación
No Repudio
Confidencialidad
Integridad
¿Cuáles son las principales medidas a considerar con el personal de una organización en relación a la seguridad?
Formación, Fiabilidad y Seguimiento
Concienciación, Fiabilidad y Seguimiento
Formación, Acuerdos de confidencialidad y Seguimiento
Formación, Vigilancia y Aplicación de políticas de restricción de accesos
¿Cómo se denomina a los centros con la capacidad técnica y la estructura más adecuada para la lucha contra las ciberamenazas?
Centro de Respuesta al Usuario (CRU)
Centro de Atención a Usuarios (CAU)
Centro de Atención a la Seguridad (CAS)
Centro de Respuesta ante Incidentes (CERT)
¿Qué se considera el activo más importante de las organizaciones?
Sus beneficios
Su seguridad
Sus empleados
La información
Entre las posibles metodologías que se pueden utilizar para realizar un análisis de riesgos están:
ITIL, ISO 27.001 y MAGERIT II
CRAMM, EBIOS y MAGERIT II
ITIL v3, CRAMM y MAGERIT II
La seguridad se considera un:
Producto
Proceso
Activo
Elemento prescindible de la organización
¿Qué aspectos trata de garantizar la Seguridad de la Información?
La Disponibilidad, Integridad, Confidencialidad y No repudio de la información
La disponibilidad, Integridad, confidencialidad, No repudio y Autenticación de la información almacenada en los ordenadores
La disponibilidad, Integridad, confidencialidad, No repudio y Autenticación de la información con independencia del medio física donde se almacene
La disponibilidad, Integridad, confidencialidad, No repudio y Clasificación de la información con independencia del medio física donde se almacene.
Los hechos que deben evitarse en la organización pues causan un impacto en el negocio ¿Creo ya que es todo lo malo?
Los hechos que no deben evitarse en la organización pues aportan beneficio al negocio
¿Cuáles son las tres dimensiones más importantes de la seguridad que configuran la privacidad?
Integridad, Confidencialidad y Autenticación
Integridad, Confidencialidad y No repudio
Autenticación, Trazabilidad y No repudio
Confidencialidad, Temporalidad y No repudio
Algunos de los efectos más habituales de un ataque son:
Destrucción de la información
Pérdida de disponibilidad de los servicios
Daños de la propiedad
Todos las respuestas son correctas
¿De qué forma podemos desarrollar una auditoría?
Auditoría alrededor del ordenador, a través del ordenador y con el ordenador
Auditoría a través de la informática, a través de la seguridad y con el ordenador
Auditoría a través de la seguridad
Ninguna de las anteriores es correcta
La Disponibilidad supone…
que la información sólo debe ser accesible por las personas autorizadas
evitar que la información sea alterada o modificada sin autorización
que la información esté disponible cuando sea necesario y por quien esté autorizado a ello
disponer de la información siempre que sea posible
La diferencia entre datos e información radica en..
No hay diferencias
Los datos son la materia prima de la información mientras que ésta es el resultado de procesar los datos
Los datos son un tipo específico de información
Los datos son la materia prima de la información mientras que ésta es un repositorio de datos global
A la hora de analizar la seguridad de la información debemos plantearnos las siguientes preguntas básicas:
qué proteger, contra quien, cómo y hasta donde
qué proteger, de qué manera y hasta cuando
qué proteger, contra quién y cómo
cuando, cómo y donde
La principal normativa que regula el acceso y tratamiento de datos de carácter personal es:
La Ley de Firma Electrónica
La Ley General de Telecomunicación
La Ley de Servicio de la Sociedad de la Información y Comercio Electrónico
La LOPD
¿Qué requisito básico de seguridad es necesario para garantizar la privacidad en los medios digitales?
enviar los mensajes a través de correo electrónico
el cifrado de la información
la securización de las redes digitales
no enviar mensajes a través de Internet
Los sistemas de clave simétrica
Aseguran la integridad.
Aseguran la disponibilidad.
Aseguran la confidencialidad.
Aseguran el No repudio
El mecanismo de firma digital
Se realiza mediante el cifrado simétrico de resúmenes
Se realiza mediante el cifrado asimétrico de resúmenes
Se realiza mediante el cifrado de claves
El software PGP
Se basa en un modelo horizontal
Se basa en un modelo vertical
Se basa en el empleo de certificados digitales
Todas las anteriores
Un certificado digital
Contiene la firma de la clave pública del usuario
Contiene la firma de la clave privada del usuario
Contiene la clave privada de la Autoridad Certificadora
Ninguna de las anteriores es cierta
El protocolo https de Web segura
Emplea el sistema PGP
Requiere el intercambio de contraseñas
No precisa el empleo de certificados digitales
Una vulnerabilidad es un tipo de
amenaza
incidente
riesgo
debilidad
La persona que compromete la seguridad de un sistema informática haciendo uso de sus conocimientos técnicos, pero sin la intención de cometer daños, se llama:
hacker
cracker
lacker
tracker
Un ataque de denegación de servicio distribuido se caracteriza porque:
el intruso deniega el servicio distribuyendo contraseñas por la Red
se emplea a un conjunto de máquinas para saturar al sistema víctima
se distribuye el trabajo entre varios hackers
todas las anteriores son ciertas
Una diferencia entre un gusano y un virus es que
el virus es un software malicioso y el gusano no lo es
son términos sinónimos, se refieren al mismo tipo de software
el gusano se propaga automáticamente, mientras que el virus necesita intervención humana
el gusano puede ser un troyano y el virus no
La inoxicación del DNS a fin de dirigir un equipo a una web maliciosa se denomina
spoofing
phising
pharming
rootkit
la letra A en las siglas ADSL representa en castellano la palabra
Automatica
Avanzada
Autónoma
Asíncrona
Para cifrar las comunicaciones en una red Wifi, se puede usar el protocolo
WPE
WAP
WPA
ninguno de los anteriores
Una buena práctica en la configuración de un router ADSL doméstico es:
permitir el acceso remoto a la pantalla de configuración
desactivar la utilización de comunicaciones cifradas
entregar todas las conexiones entrantes a una “default workstation” o DMZ
ninguna de las anteriores
Para garantizar la integridad de un mensaje de correo electrónico necesitaremos
cifrarlo
firmarlo
cifrarlo y firmarlo
una red privada virtual (VPN)
es un mecanismo de virtualización de redes
es un sistema de comunicaciones virtuales
es un sistema de interconexión o de acceso a redes privadas
Un activo es…
el hardware asociado a los servicios que estamos considerando
una debilidad del sistema que puede ser utilizada de forma accidental o intencionada
un recurso software, hardware, de personal, administrativo, o funcional que es necesario para el funcionamiento del servicio
Definimos el riesgo como:
la probabilidad de que ocurra un evento que puede tener un impacto positivo o negativo en la organización
la probabilidad de que ocurra un evento adverso que supone un impacto negativo en caso de ocurrir
la probabilidad de que una amenaza nunca ocurra
la posibilidad de que un evento adverso no se produzca
¿Cuáles de las siguientes respuestas son metodologías reconocidas de análisis de riesgos?
Magerit II
Ebios
CRAMM
todas las anteriores
¿Cuál de las siguientes tareas no corresponde a la realización de una auditoría informática?
recoger, agrupar y evaluar evidencias para determinar si un sistema de información protege el activo empresarial
verificar que se mantiene la integridad de los datos
verificar que un sistema realiza de forma eficaz los fines de la organización y utiliza eficientemente los recursos
identificar las amenazas y proponer salvaguardas para proteger a la organización
¿Cuál de los siguientes eventos se puede considerar un “incidente de seguridad”?
la pérdida de suministro eléctrico
el robo de información confidencial
el fallo en un disco de datos
todos los anteriores
ITIL es…
una metodología de trabajo
una recopilación de buenas prácticas en la gestión de servicios
un manual de acciones a realizar para hacer un análisis de riesgos
una norma ISO de la familia ISO 27.000
¿Qué etapas conforman el Ciclo de Vida del Servicio?
Transición del servicio, Publicación, Difusión y Mejora continua
Estrategia del Servicio, Diseño del Servicio, Transición del Servicio, Operación del Servicio y Mejora Continua
Plan, Do, Check, Act
Estrategia del Servicio, Implantación del Servicio y Mantenimiento del Servicio
¿Qué es un SGSI?
Un sistema de monitorización de redes
Un plan Director de Seguridad
Un sistema de gestión de seguridad de la información
Un sistema general de seguridad interna
El Esquema Nacional de Seguridad está regulado por …
La Constitución Española
La Ley Orgánica de Protección de Datos
El real Decreto 3/2010 de 8 de enero
Existen cuatro opciones para tratar los riesgos:
Mitigar, asumir, Transferir o Eliminar el riesgo
Mitigar, Asumir, Eliminar el riesgo
Transferirlas a un tercero, eliminarlas, asumir el cambio o hacer un outsourcing
Esquema Nacional de Seguridad (ENS)
¿Cuáles de estos tipos de ficheros requieren medidas de seguridad de nivel ALTO en la LOPD?
Los que contengan o se reflejan a datos recabados para fines policiales sin consentimiento de las personas o afectadas.
Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros.
Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias.
Los relativos a la comisión de infracciones administrativas o penales
Una biblioteca de estándares en Seguridad de la Información
Una normativa europea de obligado cumplimiento en Seguridad de la Información
Una biblioteca de estándares en Tecnologías de la Información
Ninguna de las respuestas indicadas es correcta
Definir la estrategia de seguridad de la organización
Un medible de la eficacia de una salvaguarda
Un medible del daño producido por una vulnerabilidad sobre un activo
Un medible de la eficacia de todas las salvaguardas dispuestas sobre un activo
¿En cuál de los siguientes tipos de ficheros y tratamientos SI es de aplicación lo indicado en la LOPD?
Los realizados o mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas.
Los que contengan o se refieran a datos recabados para fines policiales.
Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada.
Los sometidos a la normativa sobre protección de materias clasificadas.
Asequible y de obligado cumplimiento
Todas las respuestas indicadas son correctas
Mejorable, inteligible y abarcable
Realización de un análisis de riesgos
Compromiso con los proveedores y clientes
Según la LOPD, las medidas de seguridad a aplicar a los ficheros de videovigilancia serán:
De nivel MEDIO
De nivel BÁSICO, salvo que recojan imágenes de la vía pública, en cuyo caso serán de nivel MEDIO
De nivel BÁSICO
De nivel ALTO, salvo que sólo recojan imágenes dentro de un recinto privado, en cuyo caso serán de nivel MEDIO
Asumir, transferir, eliminar o financiar el riesgo
Mitigar, asumir, transferir o financiar el riesgo
Disponibilidad financiera y definición de funciones
Compromiso por la dirección y definición de funciones
Disponibilidad financiera y compromiso por la dirección
Documentar una relación de actividades y tareas destinadas a dar respuesta a cualquier incidente genérico que afecta la seguridad de la información
Realizar un análisis de riesgos
Documentar la política de seguridad de la organización
Los ataques a los sistemas de Información
Las negligencias en el uso de los sistemas de Información
Preparar, Hacer, Revisar y Actuar
Las buenas prácticas en seguridad de la organización
La política de seguridad de la organización
Las condiciones de seguridad requeridas en el uso de los medios electrónicos en el ámbito de la administración pública
Una relación de normas para la gestión de la seguridad en todo tipo de organizaciones
Una relación de normas para la gestión de la seguridad en el ámbito de la administración pública
Integrar la Seguridad de la Información en el negocio
Alinear la Seguridad de la Información con el negocio
Alinear las Tecnologías de la Información con el negocio
Crear un marco común para la actuación de las Administraciones Públicas en materia de seguridad de las tecnologías
La auditoría de protección de datos se debe realizar:
A partir del nivel ALTO, al menos cada DOS años
A partir del nivel BÁSICO, al menos cada DOS años
A partir del nivel MEDIO, al menos cada DOS años
A partir del nivel ALTO, al menos cada TRES años
En aplicar determinadas salvaguardas destinadas a mitigar los riesgos detectados, de forma que se reduzca el daño que pueden ocasionar
En identificar y desplegar las medidas técnicas y organizativas requeridas para evitar, minimizar o controlar los riesgos identificados, de forma que se elimine o reduzca el daño que pueden ocasionar
A la seguridad en las tecnologías de información
Una metodología de gestión de la seguridad de la información enfocada a todo tipo de organizaciones
Una metodología de gestión de la seguridad de la información enfocada a las Administraciones Públicas
Una metodología de análisis y gestión de riesgos enfocada a todo tipo de organizaciones
Identificación de las amenazas que afectan a los activos de la organización
La probabilidad de que se active una determinada vulnerabilidad
La ineficacia de todas las salvaguardas dispuestas sobre un activo