Sistemas de Gestión de la Seguridad de la Información

1. Indica cuáles de las siguientes afirmaciones son correctas con respecto a

la seguridad de la información.
A. Los procedimientos detallan los pasos que deben seguirse para implementar
las políticas.
B. Las directrices establecen normas de obligado cumplimiento sobre la
configuración de distintos elementos del sistema.
C. Una línea base puede servir para complementar un estándar con información
adicional.
D. Las políticas detallan los elementos software que la organización debería utilizar
para cubrir objetivos de control de seguridad de la información.

-Explica con tus propias palabras, que es la clasificación de

la informacion?

2. ¿Cuál de las siguientes afirmaciones describen mejor la diferencia entre los

roles del responsable y el propietario de la información?
A. El responsable implementa el esquema de clasificación por órdenes del
propietario.
B. El propietario implementa el esquema de clasificación por órdenes del
responsable.
C. El responsable define la clasificación y los usuarios la implementan valorando
el tipo de información que manejan.
D. El responsable es el rol que decide sobre el esquema de clasificación de acuerdo
a las directrices de los procedimientos establecidos por la dirección.

3. Indica cuáles de las siguientes afirmaciones son verdaderas:

A. Las intrusiones en los sistemas informáticos afectan a la confidencialidad de la
información exclusivamente.
B. Las prácticas de ingeniería social tratan de explotar el factor humano para
obtener datos confidenciales.
C. La privacidad de los datos personales sensibles es el objetivo de mantener la
confidencialidad.
D. La clasificación de la información tiene como objeto establecer niveles de
disponibilidad de la información.

4. Indica cuáles de las siguientes son posibles vías para gestionar un riesgo
de seguridad de la información:
A. Contratar un seguro con una aseguradora que cubra la eventualidad de una
pérdida de datos.
B. Establecer controles sobre la forma en que los usuarios gestionan sus claves,
por ejemplo, obligándoles a cambiarlas cada cierto tiempo.
C. Iniciando medidas de contra-ataque cuando se detecta una intrusión por parte
de hackers.
D. Ignorando el riesgo cuando los costes de asumirlo son pequeños.

5. Indica cuáles de las afirmaciones siguientes son ciertas:

A. El coste de ruptura hace referencia al coste que la empresa asume cuando se
produce una intrusión.
B. En general, los costes de construcción de mecanismos de defensa son siempre
inferiores a las pérdidas de beneficio ante cualquier tipo de intrusión.
C. Los costes post-incidente que asumen las empresas ante un incidente de
seguridad de la información incluyen como elemento fundamental los costes de
reparación de vulnerabilidades en el software estándar como los sistemas
operativos.
D. Ninguna de las anteriores.

6. Indica cuáles de las siguientes afirmaciones son ciertas.

A. Una política de revisión del DNI mediante un guardia de seguridad para
visitantes de un centro de cálculo es un ejemplo de medida física de seguridad de
la información.
B. La disponibilidad de la información puede verse comprometida por un problema
de ventilación.
C. La seguridad física de un sistema de información tiene como ámbito de
aplicación a todos los ordenadores propiedad de la empresa.
D. Ninguna de las anteriores.

7. Indica cuáles de los siguientes son ejemplos de controles de seguridad:

A. No permitir que los usuarios de ordenadores portátiles los saquen de la
empresa.
B. Obligar a que las contraseñas sean seguras.
C. Analizar el uso de los ficheros en disco de los usuarios para buscar contenido
ilegal.
D. Ninguna de las anteriores.

8. Indica cuáles de las siguientes afirmaciones son ciertas:

A. La identificación de los usuarios es la autentificación de los mismos en el
sistema.
B. La criptografía permite establecer almacenamiento seguro pero no transferencia
de datos segura.
C. El desarrollo de software seguro es más barato para los fabricantes de paquetes
de software, dado que reduce el impacto económico de su responsabilidad legal.
D. Ninguna de las anteriores.
9. Indica cuáles de las siguientes afirmaciones son ciertas:
A. La clasificación de la información tiene como objetivo cumplir con los requisitos
legales de su difusión.
B. Una información clasificada como de difusión restringida podría más adelante
ser reclasificada como información de uso interno general.
C. La clasificación de los recursos de información no pueden tener excepciones.
D. Ninguna de las anteriores.

10. Indica cuál de las siguientes afirmaciones es cierta:

A. La adopción de las tecnologías de seguridad por parte de las empresas depende
exclusivamente del riesgo asociado con no implantar esa medida de seguridad.
B. La probabilidad de un ataque depende de la motivación económica de los
atacantes.
C. El coste de no implantar una medida de seguridad puede depender de la
práctica de la auditoría.
D. Ninguna de las anteriores.

Tema 2

1. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las certificaciones como el CISSP determinan el acceso al ejercicio de la
profesión dentro del área de la seguridad de la información.
B. La profesión de la seguridad de la información cuenta con cuerpos de
conocimientos definidos y una cultura profesional como otras profesiones
diferenciadas.
C. El código ético del profesional de la información es el definido en las normas de
auditoría ISO 27001.
D. Ninguna de las anteriores.

2. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las revistas académicas del área de la seguridad de la información son el
principal medio de formación básica para los profesionales de la seguridad de la
información.
B. Se llama hacker ético a cualquier profesional de la seguridad de la información.
C. Un hacker ético puede realizar acciones de penetration testing contra una
empresa siempre que no perciba beneficios económicos por ello.
D. Ninguna de las anteriores.

3. Indica cuáles de las áreas o conocimientos están incluidas de forma

explícita en la certificación CISSP:
A. La seguridad física de los sistemas.
B. La regulación sobre la protección de datos.
C. El desarrollo de software seguro.
D. La psicología de los delincuentes informáticos.

4. Indica cuáles de las siguientes afirmaciones son ciertas sobre las

certificaciones de seguridad de la información.
A. La certificación CAP tiene un contenido técnico equivalente a la certificación
CISSP.
B. Las certificaciones son títulos como las titulaciones, que se obtienen y no
necesitan renovarse.
C. La certificación CISSP sólo puede obtenerse cuando se tiene experiencia
profesional en el área.
D. Ninguna de las anteriores.

5. Indica cuáles de las siguientes afirmaciones son ciertas sobre el estándar

27001.
A. ISO 27001 define en detalle el proceso de gestión del riesgo de un Sistema de
Gestión de la Seguridad de la Información.
B. ISO 27001 define la base y los conceptos para la auditoría y certificación de los
Sistemas de Gestión de la Seguridad de la Información.
C. ISO 27001 considera como uno de los elementos fundamentales el compromiso
de la dirección, requisito imprescindible para el establecimiento de un Sistema de
Gestión de la Seguridad de la Información.
D. Ninguna de las anteriores.

6. Indica cuáles de las siguientes afirmaciones son ciertas.

A. ISO 27001 se basa en un modelo de mejora continua donde la fase de
planificación implica el diseño de mecanismos de gestión del Sistema de Gestión
de la Seguridad de la Información.
B. Según ISO 27001, la adopción de un Sistema de Gestión de la Seguridad de la
Información debe estar motivada por decisiones tácticas referentes a la mejora de
los costes asociados con la seguridad.
C. Según ISO 27001, el Sistema de Gestión de la Seguridad de la Información
debe comprender a toda la organización, para garantizar que no existe ninguna
posibilidad de intrusión en ninguno de sus niveles.
D. Ninguna de las anteriores.

7. Indica cuáles de las siguientes afirmaciones son ciertas.

A. Según ISO 27001, los registros son evidencia objetiva sobre el cumplimiento de
los requisitos del Sistema de Gestión de la Seguridad de la Información.
B. Según ISO 27001, la revisión de la dirección es el paso previo a la visita de los
auditores, que se realiza con el objeto de ser una comprobación para evitar no
conformidades.
C. La política de seguridad de la información es el documento que debe
comunicarse a toda la empresa y a partir del cual se deriva el resto de los requisitos
del sistema.
D. Ninguna de las anteriores.
8. Indica cuáles de las siguientes afirmaciones son ciertas:
A. Los servicios de TI se definen mediante SLAs, que determinan el nivel de
calidad de los servicios en diferentes dimensiones.
B. El proceso de gestión de la seguridad de ITIL prescribe los requisitos de un
sistema de seguridad si quiere ser compatible con ITIL.
C. ITIL describe como buena práctica la prueba de los mecanismos de seguridad
diseñados dentro del SGSI.
D. Ninguna de las anteriores.

9. Indica cuáles de las siguientes afirmaciones son ciertas:

A. El modelo OISM3 tiene como objeto proporcionar las especificaciones para un
SGSI que sea certificable.
B. El concepto de madurez en OISM3 hace referencia al grado de capacidad del
staff de la empresa que se dedica a la seguridad de la información.
C. En un nivel de madurez controlado, se evalúa de manera continua desde la
gestión la calidad y efectividad de los diferentes aspectos de la seguridad.
D. Ninguna de las anteriores.

10. Indica cuáles de las siguientes afirmaciones son ciertas:

A. El modelo OISM3 e ITIL son dos opciones alternativas para la gestión de la
seguridad.
B. El concepto de KPI en ITIL tiene en común con el de métrica en OISM3 el que
hacen referencia a la medición de los diferentes procesos.
C. Tanto OISM3 como ITIL se basan en modelos de mejora continua, por lo que
tienen una base común con ISO 27001.
D. Ninguna de las anteriores.

tema 3
1. Indica cuáles de las siguientes afirmaciones son correctas.
A. Las tecnologías triple A integran mecanismos de autenticación, autorización y
contabilidad.
B. El control de accesos debe regirse por el principio del mínimo privilegio.
C. El control de accesos se debe implementar teniendo en cuenta los aspectos
físicos y lógicos.
D. Ninguna de las anteriores.
2. Indica cuáles de las siguientes afirmaciones son correctas.
A. La separación de responsabilidades es un principio por el cual se deberían
separar los pasos de las tareas para ser realizados por diferentes personas.
B. Las autorizaciones depende de las tareas pero también de la clasificación de la
información.
C. El control de accesos se hace necesario cuando se tienen usuario externos que
trabajan fuera de la organización y acceden de manera remota.
D. Ninguna de las anteriores.

3. Indica cuáles de las siguientes afirmaciones son correctas.

A. La autenticación consiste en proporcionar una prueba de la identidad del
usuario.
B. La autenticación biométrica permite utilizar características biológicas de las
personas como prueba de autenticación, permitiendo un modo más barato de
realizar este proceso.
C. La aceptabilidad de un método de autenticación puede ser un determinante de
su adopción.
D. Ninguna de las anteriores

4. Indica cuáles de las siguientes afirmaciones son correctas.

A. En un sistema que ha implementado el Single Sign On, las claves de los
usuarios se almacenan en un solo servidor en la red.
B. El Single Sign On proporciona una seguridad mayor porque el usuario solo tiene
que recordar una clave.
C. El Single Sign On puede implementarse con diferentes combinaciones de
técnicas criptográficas.
D. Ninguna de las anteriores.

5. Indica cuáles de las siguientes afirmaciones son correctas.

A. En el protocolo Kerberos, los servicios con las aplicaciones nunca almacenan
claves ni información de autenticación de los usuarios.
B. El carácter distribuido de Kerberos implica que los usuarios tienen diferentes
autenticaciones para cada aplicación que utilizan, aunque éstas se asocian a una
cuenta única.
C. El segundo de los intermediarios del protocolo Kerberos puede eliminarse de la
arquitectura en caso de que no se requiera un nivel de seguridad muy elevado.
D. Ninguna de las anteriores.

6. Indica cuáles de las siguientes afirmaciones son correctas.

A. SESAME permite un acceso basado en roles sobre las aplicaciones.
B. En los sistemas de SSO se necesita un sistema de claves asimétricas para
implantar la seguridad en el acceso.
C. Los sistemas de SSO implícitamente permiten controlar las sesiones de los
usuarios y su actividad.
D. Ninguna de las anteriores.
7. Indica cuáles de las siguientes afirmaciones son correctas.
A. En el control de acceso discrecional se restringe el acceso a los objetos,
permitiendo a los usuarios controlar esa autorización.
B. En el control de accesos obligatorio, hay políticas generales impuestas por un
administrador que los usuarios no pueden violar.
C. El control de acceso basado en roles se basa en que los permisos se gestionan
a través de roles genéricos y no de usuarios.
D. Ninguna de las anteriores.

8. Indica cuáles de las siguientes afirmaciones son correctas.

A. En el protocolo RADIUS, un nodo de acceso controla una serie de nodos de
acceso autorizados.
B. Los servidores NAS en RADIUS son los únicos que controlan la información de
contabilidad.
C. DIAMETER es un protocolo AAA extensible, sobre un protocolo básico.
D. Ninguna de las anteriores.

9. Indica cuáles de las siguientes afirmaciones son correctas.

A. En el control de acceso basado en roles es posible establecer condiciones de
activación de roles.
B. Las listas de comprobación de acceso que se utilizan en el acceso basado en
roles y en el acceso discrecional se aplican sobre objetos del sistema operativo
como los ficheros.
C. La posibilidad de acceder a objetos con privilegios en el acceso discrecional es
mayor que en el caso de que se use un acceso obligatorio con políticas estrictas.
D. Ninguna de las anteriores.

10. Indica cuáles de las siguientes afirmaciones son correctas.

A. La contabilidad (accountability) tiene como interés principal el poder analizar los
accesos a posteriori.
B. La autentificación biométrica tiene una fiabilidad perfecta en el caso de algunas
técnicas, como el reconocimiento facial.
C. En un sistema con Single Sign On, el acceso a las credenciales de un usuario,
por ejemplo, mediante pishing, tiene potencialmente un riesgo de daño mayor que
en un sistema que no lo tenga.
D. Ninguna de las anteriores.
 tema 4

1. Indica cuáles de las siguientes afirmaciones son correctas.

A. Los programas de gestión de la seguridad incluyen la gestión del riesgo.
B. La gestión del riesgo incluye el desarrollo de programas de gestión de la
seguridad para las áreas en las que se encuentran debilidades.
C. Los programas de gestión de la seguridad se deben evaluar periódicamente
para analizar su efectividad.
D. Ninguna de las anteriores.

2. Indica cuáles de las siguientes afirmaciones son correctas.

A. En la gestión de riesgos de seguridad se debe considerar como prioritario
aquellas vulnerabilidades que pueden tener un impacto mayor en términos
económicos.
B. Todos los riesgos deben llevar a la implantación de controles para su mitigación.
C. La fuente de la amenaza en la gestión de riesgos es cada una de las
vulnerabilidades.
D. Ninguna de las anteriores.

3. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las contramedidas se implementan mediante controles.
B. La gestión del riesgo se basa en el análisis de los indicadores relativos al
número de intrusiones que se han detectado en cada período.
C. La gestión de riesgos puede ser basada en escenarios, cuantitativa o una
mezcla de ambas.
D. Ninguna de las anteriores.

4. Indica cuáles de las siguientes afirmaciones son correctas sobre el factor

de exposición.
A. Depende del valor del recurso en sí.
B. Depende del impacto de la pérdida en el recurso.
C. Depende de la probabilidad de la amenaza.
D. Ninguna de las anteriores.

5. Indica cuáles de las siguientes afirmaciones son correctas sobre la expectativa

de pérdida.
A. Depende del valor del recurso en sí.
B. Depende del impacto de la pérdida en el recurso.
C. Depende de la probabilidad de la amenaza.
D. Ninguna de las anteriores.
6. Indica cuáles de las siguientes afirmaciones son correctas sobre la tasa de
ocurrencia.
A. Determina el impacto final dado que representa la probabilidad de ocurrencia.
B. En caso de que haya información, puede estimarse mediante frecuencias
registradas en el pasado.
C. Suele presentarse en forma de tasa anual.
D. Ninguna de las anteriores.

7. Indica cuáles de las siguientes afirmaciones son correctas.

A. El valor de los recursos en el análisis de riesgo se debe hacer a partir de su
valor de mercado, y es sólo aplicable a los que lo tienen.
B. El valor de los recursos puede estimarse por el lado de los costes, en caso de
que sean medibles.
C. Algunos recursos tienen un valor estratégico para el mantenimiento del negocio,
que son superiores a los costes invertidos en obtenerlos.
D. Ninguna de las anteriores.

8. Indica cuáles de las siguientes afirmaciones son correctas respecto a las

políticas de seguridad.
A. Indican los objetivos de la seguridad pero no la manera concreta de obtenerlos.
B. Pueden ser específicas de una aplicación o servicio, como puede ser el uso del
correo electrónico.
C. Pueden utilizarse para resolver conflictos de responsabilidad ante incidentes de
seguridad.
D. Ninguna de las anteriores.

9. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las políticas de seguridad deben definir los responsables de su cumplimiento,
en términos de roles.
B. Las políticas de seguridad deben definir el software que se debe utilizar en cada
ámbito de aplicación.
C. Las políticas de seguridad pueden basarse en estándares externos.
D. Ninguna de las anteriores.

10. Indica cuáles de las siguientes afirmaciones son correctas.

A. Las políticas de seguridad funcionales han de ser coherentes con las políticas
funcionales.
B. Las políticas son uno de los elementos que se pueden utilizar dentro de una
auditoría de seguridad de la información.
C. Las políticas deben describirse para aquellos procesos o tareas dentro de la
empresa en la que se tiene contacto con el exterior, y por tanto hay una posibilidad
de intrusión o pérdida de confidencialidad.
D. Ninguna de las anteriores.
Explica con tus propias palabras que es el profesional CISSP?

Un CISSP está certificado como profesional para “definir la arquitectura, diseño,

gestión y controles de los sistemas empresariales”.

-Explica con tus propias palabras, que es O-ISM3?

Permite el diseño de sistemas de gestión de la seguridad alineados con la misión

de la organización empresarial y el cumplimiento de las necesidades»

-Explica con tus propias palabras, que es el Control de Accesos en las

organizaciones?

Es el conjunto de mecanismos que especifican qué pueden hacer los usuarios

en el sistema: los recursos que pueden acceder y qué operaciones pueden realizar.

-Describe con tus propias palabras el Mecanismo de autenticación del control

de accesos?

La autenticación es el proceso de proporcionar alguna prueba o pruebas de que esa

afirmación es verdadera

-Menciona los 3 principales protocolos de autenticación AAA y describelos

con tus propias palabras

PPP (Point-to-Point Protocol),

PAP (Password Authentication Protocol)
el login de los sistemas Unix.

-Cuales son los metodos de autorizacion principales y describelos

discrecional (DAC) Controlado por el usuario, es un medio para restringir el acceso

a los objetos en función de la identidad de los sujetos y/o grupos a los que
pertenecen
Obligatorio (MAC) controlado por el sistema, la política de seguridad está
controlada por un administrador y los usuarios no tienen la capacidad de anular la
política
Basado en roles (RBAC) hibrido, se basan en la idea de dar los permisos a roles
predefinidos y nunca a los usuarios directamente.
-Menciona una de las tecnicas de autenticación que existen en el control de
accesos y describela

biometrica, reconocimiento facial, patron de voz, escaner de retina

Menciona 3 ventajas y 3 beneficios que tiene una organizacion que

implementa un SGSI contra las demas

reducción de la incomodidad para los usuarios, reducción

del tiempo de acceso a los sistemas y también una
reducción del esfuerzo