Paul Rivas Galloso

Security Specialist

Conceptos Fundamentales de Seguridad

1. El objetivo general de la gestin de riesgos es: A. Eliminar todas las vulnerabilidades, de ser posible B. Determinar la mejor manera de transferir el riesgo. C. Gestionar el riesgo a un nivel aceptable. D. Implementar medidas eficaces. 2. El enunciado riesgo = Valor X * Vulnerabilidad X * Amenaza indica que A. El riesgo se puede cuantificar utilizando la Expectativa de Perdida Anual (ALE) B. El riesgo se puede determinar, siempre que se calculen la magnitud y la frecuencia C. El nivel de riesgo es mayor cuando un mayor nmero de amenazas explotan ms vulnerabilidades D. El riesgo no se puede calcular si no se conoce el valor. 3. Para tratar los cambios en el riesgo, un programa eficaz de gestin de riesgo debe: A. Garantizar que se cuentan con los procesos de monitoreo continuo B. Establecer niveles mnimos (baselines) de seguridad adecuados para todos los recursos de informacin. C. Implementar un proceso completo de clasificacin de datos. D. Cambiar las polticas de seguridad de forma oportuna para tratar los riesgos cambiantes. 4. La clasificacin de informacin es importante para administrar el riesgo de forma apropiada PRINCIPALMENTE porque: A. Garantiza la responsabilidad sobre los recursos de informacin segn se requiera mediante roles y responsabilidades. B. Es un requerimiento legal de conformidad con diversas regulaciones. C. No existe otra forma de cumplir con los requerimientos de disponibilidad, integridad y auditabilidad. D. Se utiliza para identificar la sensibilidad y la criticidad de la informacin para la organizacin. 5. Las vulnerabilidades identificadas durante una evaluacin deben: A. Manejarse como un riesgo, aun cuando no exista una amenaza B. Priorizarse para su solucin solo con base en el impacto. C. Ser una base para analizar la eficacia de los controles. D. Evaluarse para determinar las amenazas, el impacto y el costo de mitigacin. 6. Los acuerdos de indemnizacin se pueden utilizar para: A. Garantizar el nivel de servicio acordado. B. Reducir el impacto sobre los recursos crticos. C. Transferir la responsabilidad a un tercero. D. Proporcionar una contramedida eficaz ante amenazas.

Pag 1

Paul Rivas Galloso

Security Specialist

7. El riesgo residual se puede determinar mediante: A. La determinacin de las vulnerabilidades que permanecen an despus de implementadas las contramedidas. B. Un anlisis de amenazas. C. Una evaluacin de riesgos. D. La transferencia de todo el riesgo. 8. Para tratar cul de las principales reas, los dueos de los datos son los PRINCIPALES responsables de desarrollar estrategias de mitigacin de riesgos A. La seguridad de la plataforma. B. Cambios en privilegios. C. Deteccin de intrusos. D. Controles antivirus. 9. Una anlisis de riesgos debe: A. Limitar el alcance a un estudio comparativo de compaas similares. B. Asumir un grado igual de protecciones para todos los activos. C. Trata la posible magnitud y probabilidad de perdida. D. Dar mayor peso a la probabilidad en comparacin con la magnitud de la perdida. 10. Cul de las opciones siguientes es el PRIMER paso para seleccionar los controles apropiados que se implementaran en una nueva aplicacin de negocios. A. Un anlisis del impacto del negocio (BIA). B. Anlisis costo-beneficio. C. Anlisis del retorno de inversin (ROI). D. Evaluacin de riesgos. 11. Cul de los siguientes es una amenaza A. Huracanes B. Tornados C. Empleados descontentos D. Fugas de agua en la sala de servidores 12. La clasificacin de la informacin est determinada por A. Custodio B. User C. Coordinador D. Propietario 13. Cuando un riesgo es mitigado, esto es A. Eliminado con una certeza del 100% B. Reducido, a menudo a un nivel aceptable C. Estimado, pero no removido D. No cambia de ninguna manera

Pag 2

Paul Rivas Galloso 14. Cules son las dos formas primarias de esquemas de clasificacin A. Comercial B. Privado C. Militar D. Confidencial 15. Cul es la descripcin apropiada para cada nivel de clasificacin militar

Security Specialist

_D__ Secret

A. Informacin cuya divulgacin a personas no autorizadas, presentar el riesgo de un grave dao a la seguridad nacional.

_B__ Confidencial

B. Informacin cuya divulgacin a personas no autorizadas, presentar el riesgo de dao a la seguridad nacional

_A__ Top Secret

C. Informacin cuya divulgacin a personas no autorizadas, no presentar el riesgo de dao a la seguridad nacional

_C__ No Clasificado

D. Informacin cuya divulgacin a personas no autorizadas, presentar el riesgo de serios dao a la seguridad nacional

16. Cul es la descripcin apropiada para cada nivel de clasificacin Comercial

Pag 3

Paul Rivas Galloso

Security Specialist

_E__ Secreto Comercial

A. Informacin de una persona natural que debera ser protegida. B. Informacin que no debera ser proporcionada a individuos externos a la empresa. C. Correspondencia de carcter privado entre dos personas que deberan ser protegidas. D. Informacin personal del cliente, que si se filtra puede resultar un robo de identidad individual. E. Propiedad intelectual de la corporacin que si se filtra representara serios daos en la capacidad de la compaa para la proteccin de patentes y procesos.

_C__ Privado

_B__ Corporativa Confidencial

_A__ Personal y Confidencial

_D__ Cliente Confidencial

17. Cul de los siguientes niveles de clasificacin indica que su divulgacin fuera de la compaa no afecta negativamente al negocio, empleados, proveedores o clientes. A. Confidencial B. Sensible C. Publica D. Privada 18. Cul de los siguientes tems describe mejor la diferencia entre usuarios finales y propietario de la data A. Los usuarios finales son los propietarios de la data y pueden decidir que sujetos pueden acceder a los recursos. B. Los usuarios finales usan recursos e informacin de la compaa para llevar a cabo sus tareas y los dueos de la data deciden que sujetos pueden acceder a estos recursos e informacin. C. Los dueos usan recursos e informacin de la compaa para llevar a cabo sus tareas y los usuarios finales de la data deciden que sujetos pueden acceder a estos recursos e informacin.

Pag 4

Paul Rivas Galloso

Security Specialist

D. El Senior Management siempre es el propietario de la data y los usuarios finales nunca sern los dueos. 19. Una debilidad en el software hardware o procedimiento que puede hacer que un atacante abra una puerta trasera es llamada A. Vulnerabilidad B. Capacidad C. Activo D. Contramedida 20. Un anlisis de riesgo ha determinado que un servidor de base de datos tiene un valor de 138,000 dlares y un factor de exposicin de 45%. El Ratio de ocurrencia anual es de diez aos. Basado en la informacin cual es el valor del ALE A. 1,800 Dlares B. 62,100 Dlares C. 140,000 Dlares D. 6,210 Dlares 21. Aunque las palabras amenaza, vulnerabilidad, riesgo y exposicin suenen similares, cul de los siguientes tems describe la probabilidad de que una amenaza se materialice A. Vulnerabilidad B. Riesgo C. Agente de amenaza D. Exposicin 22. Cul de los siguientes tems usa correctamente el termino vulnerabilidad, amenaza, riesgo y salvaguarda A. No puede haber una amenaza, a menos que su empresa tenga una vulnerabilidad que no haya sido expuesta o no sea una vulnerabilidad. Si la vulnerabilidad reside en el compaa, una contramedida se debe de aplicar para reducir el riesgo. B. No puede haber una vulnerabilidad, a menos que su empresa tenga un riesgo que no haya sido expuesto o no sea una vulnerabilidad. Si la vulnerabilidad reside en el compaa, una contramedida se debe de aplicar para reducir el riesgo. C. No puede haber un riesgo, a menos que su empresa tenga una amenaza que no haya sido expuesto o no sea una vulnerabilidad. Si la vulnerabilidad reside en el compaa, una contramedida se debe de aplicar para reducir el riesgo. D. No puede haber una amenaza, a menos que su empresa tenga una vulnerabilidad que no haya sido expuesto o no sea una vulnerabilidad. Si la vulnerabilidad reside en el compaa, una contramedida se debe de aplicar para reducir el riesgo. 23. La responsabilidad ltima para el xito de la empresa de seguridad recae en A. Profesional en Seguridad B. Todos en la compaa C. Organizacin en TI D. Senior Management Pag 5

Paul Rivas Galloso

Security Specialist

24. Los siguientes trminos se refieren a clasificacin Militar excepto: A. Secreto B. Publico C. Confidencial D. Ultra secreto 25. Quin es el responsable de mantener los registros de acceso a la informacin clasificada? A. El propietario de los datos B. El clasificador de los datos C. El custodio de los datos D. El destructor de los datos 25.1. Quin es el responsable de la poltica general de seguridad de la organizacin? A. CEO ejecutivo officer B. CSO C. CIO oficial de informacion D. COO 26. Cul de los tipos de documentos es usado para documentar las medidas que se han tomado en un proceso? A. Poltica B. Procedimiento C. Pautas o guideline D. Lnea base 27. Cul de los tipos de documentos es usado para documentar las implementaciones requeridas o usos de una herramienta? A. Poltica B. Procedimiento C. Lnea base D. Standard 28. Quin es el responsable de implementar el programa de seguridad de una organizacin? A. Todos B. Departamento de seguridad C. Gerentes D. Departamento de IT 29. Quin es responsable de la destruccin adecuada de los medios de comunicacin clasificados? A. Usuarios individuales B. CFO Pag 6

Paul Rivas Galloso C. El custodio de los datos D. Bibliotecario IT

Security Specialist

Pag 7