PREGUNTAS CON RESPUESTAS

PREGUNTAS DE OPCIN MLTIPLE

GESTIN DE COMUNICACIONES
1. La proteccin contra cdigos maliciosos se debiera basar en la:
a) deteccin de cdigos maliciosos
b) reparacin de software
c) deteccin de cdigos maliciosos y la reparacin de software
d) ninguna de las anteriores

2. Los servicios, reportes y registros provistos por terceros deben ser ____________ y
revisados regularmente.
a) monitoreados
b) ejecutados
c) planificados
d) accedidos

3. En los procedimientos y responsabilidades de Operacin se debe __________ y garantizar

el funcionamiento de la operacin.
a) evaluar
b) asegurar
c) permitir
d) acceder

4. Verdadero o Falso: Para el intercambio de informacin y software, se deben establecer

polticas, procedimientos y controles de intercambio formales, para el intercambio de
informacin por los medios de comunicacin.
a) Verdadero
b) Falso

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

1. Se deberan establecer programas de prueba y criterios relacionados para la aceptacin
de nuevos sistemas de informacin, actualizaciones y/o nuevas versiones. Corresponde a:
a) Pruebas de aceptacin
b) Pruebas funcionales
c) Pruebas unitarias
d) Ninguna de las anteriores

2. Se deberan eliminar los datos de prueba despus de ser utilizados?

a) Verdadero
b) Falso
3. El objetivo del dominio es asegurar la inclusin de controles de seguridad y validacin de
datos en la adquisicin y el desarrollo de los sistemas de informacin?
a) Verdadero
b) Falso
4. El objetivo del control 14.2.1 Poltica de desarrollo seguro de software es: Establecer y
aplicar reglas para el desarrollo de software y sistemas dentro de la organizacin?
a) Verdadero
b) Falso

GESTIN DE RIESGOS, VULNERABILIDADES Y AMENAZAS EN LA EMPRESA

1. Cul de las siguientes afirmaciones es correcta?

a) Una amenaza genera una vulnerabilidad esta a su vez genera un riesgo

b) Un riesgo genera una vulnerabilidad esta a su vez genera una amenaza
c) Una vulnerabilidad genera un riesgo esta a su vez genera una amenaza
d) Una amenaza genera un riesgo esta a su vez genera una vulnerabilidad

2. Dentro de los sistemas informticos las vulnerabilidades, amenazas y riesgos atentan

contra la:
e) Integridad, Eficiencia, Confidencialidad
f) Confidencialidad, Usabilidad, Integridad
g) Confidencialidad, Integridad, Disponibilidad
h) Seguridad, Integridad, Eficiencia

3. Qu debe hacer un empleado de TI, si los sistemas de la red estn infectados con virus?
1. Apagar todos los dispositivos de la empresa.
2. Asegurarse de que el firewall funciona. Obtener un control positivo sobre el trfico
entrante y saliente de los sistemas de la red.
3. Ejecutar el antivirus en la mquina infectada, conectada a la red para en caso de
propagacin se limpie tambin los dems equipos.
4. Tratar primero los ms sospechosos. Limpiar las amenazas de malware ms
comunes y, a continuacin, comprobar si hay amenazas desconocidas.
5. Aislar el sistema infectado. Dejarlo fuera de la red y de Internet. Impedir que la
infeccin se propague a otros sistemas de la red durante el proceso de limpieza.
6. Investigar tcnicas de limpieza y control de brotes.
7. Informar al administrador de la red que un virus ha ingresado en el sistema.
8. Restaurar los datos daados o perdidos.
9. Eliminar o limpiar los archivos infectados.
 Opciones
a) 1,4,5,6,8,9
b) 2,1,4,5,9,8
c) 1,2,3,4,5,6
d) 1,2,6,7,8,9

4. Cul es la definicin correcta para el malware MRAT?

a) Es un programa o software que se autoejecuta y se propaga insertando copias de s
mismo en otro programa o documento.
b) Es un malware que tiene la propiedad de duplicarse a s mismo.
c) Un tipo de troyano que brinda acceso a un dispositivo mvil por parte de un
tercero.
d) Es una clase de virus que se caracteriza por engaar a los usuarios y hacer que los
mismos los ejecuten como otro programa.

PLAN DE METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGO MATRIZ

DE EVALUACIN Y TRATAMIENTO DEL RIESGO

1. Una evaluacin de riesgos se la debe realizar de la siguiente forma:

a. Cualitativa y Probabilidad de Riesgo

b. Cuantitativa y Cualitativa
c. Econmica e Impacto
d. Riesgos e Impactos

2. Seleccione las acciones que se realizan para el tratamiento del Riego

a. Transferir, Reducir, Aceptar y Evitar

b. Escalar, Reducir, Aceptar y Evitar
c. Transferir, Aumentar, Aceptar y Evitar
d. Transferir, Reducir, Supervisar y Evitar

3. Cmo se calcular el riesgo:

a. Vulnerabilidad Impacto
b. Amenaza + Probabilidad Impacto
c. Impacto Probabilidad
d. Vulnerabilidad + Impacto + Amenaza

4. Cules son los niveles de aceptacin del riesgo

a. Insignificante, Considerable, Importante

b. Insignificante, Moderado, Importante
c. Insignificante, Medio, Imprescindible
d. Intrascendente, Formidable, Significativo

PHISHING
1. Indique el orden el circuito de un ataque phishing
Envi de mensajes por algn medio de propagacin 2
Falsificacin de un ente de confianza 1
El atacante obtiene los datos del usuario 4
Los usuarios ingresan a un sitio web falso e ingresan sus datos personales 3

2. Qu tipo de informacin roba en el phishing?

a. Datos Personales: Direcciones de correo electrnico, nmero de documento de

identidad, datos de localizacin y contacto.
b. Informacin Financiera: Numero de tarjetas de crdito, nmeros de cuentas,
informacin de e-commerce.
c. Credenciales de acceso: redes sociales, cuentas de correo, claves de tarjetas de crdito.

Elija la respuesta correcta:

1. a y b
2. b y c
3. a y c

3. Escoja las caractersticas ms comunes que presentan los mensajes de correo electrnico
cuando se est realizando phishing:
Uso de nombres de compaas ya existentes. x
Cualquier contenido sin relevancia
Utilizar el nombre de un empleado real de una empresa como remitente del correo falso. x
Direcciones web con cualquier apariencia
Direcciones web con la apariencia correcta x
El mensaje insta al usuario a pulsar sobre un enlace, que le llevar a una pgina en la que x
deber introducir sus datos confidenciales, con la excusa de confirmarlos, reactivar su
cuenta, etc.

4. Elija el concepto correspondiente al tipo de phishing Web Trojans:

a. Son programas que aparecen en forma de ventanas emergentes sobre las

pantallas de validacin de pginas web legtimas. El usuario cree que est
introduciendo sus datos en la web real, mientras que lo est haciendo en el
software malicioso.
b. Describe el ataque que se produce una vez que el usuario ha accedido a alguna web
registrada por el software. Estos programas suelen ir disfrazados como un
componente del propio navegador.
c. Se trata de cdigos maliciosos que recaban informacin confidencial almacenada
dentro la mquina en la que se instalan.
 d. En este caso la transformacin se lleva a cabo mediante el fichero hosts albergado
en los servidores DNS.

ETHICAL HACKING
1. Las herramientas o tcnicas hydra-gtk, John the ripper, network spoofing, network
snnifers corresponden a la fase:
a) Reconocimiento
b) Borrado de huellas
c) Mantener el acceso
d) Obtener el acceso
e) Escaneo

2. Qu herramientas se pueden utilizar para la Fase de escaneo de un ataque tico?

a) Openvas, lynis, nmap, arpspoof

b) Google hacking, openvas, Hydra
c) Hydra-gtk, John the ripper, arpspoof, dsniff
d) Nmap, maltego

3. Indique tres herramientas para realizar SQL injection.

a) Aircrack, John the ripper, Cain y Abel.
b) SQL power injector, SQL Map, SQL Ninja.
c) Backdoors, Rootkits, Sniffers.
d) Todas la anteriores.

4. Cules son las fases de un ataque tico.

a) Reconocimiento, escaneo, ganar acceso, mantener acceso, borrar huellas.
b) Alcance, Descubrimiento, Anlisis de vulnerabilidades, Intrusin, Informe,
Remediaciones
c) Reconocimiento, Descubrimiento, Intrusin, borrar huellas.
d) Todas las anteriores.

5. Cules son las partes ms recomendadas de un informe de hacking tico:

a. Resumen Ejecutivo, Diagramas, Anlisis de Ip, Captura de Pantallas
b. Resumen Financiero, ndice, Anlisis de Resultados, Enlaces, Apndice
c. Resumen Tecnolgico, Anexos, Anlisis de Red, Capturas, Conclusiones
d. Resumen Ejecutivo, mbito del Proyecto, Anlisis de Resultados, Resumen,
Apndice

POLTICA DE RECOLECCIN Y RETENCIN DE DATOS

1. Reunir informacin es uno de los objetivos de la Recoleccin de datos
a) Verdadero
b) Falso
2. Para escribir una poltica de retencin de datos es necesario:
a) Tener toda la informacin, aunque sta ya no se necesite.
b) Organizar la informacin para que pueda ser buscada y accedida en una fecha
posterior.
c) No utilizar plantillas como marcos a seguir.
d) Tener informacin necesaria, aunque esta no est organizada.

3. Seleccione las polticas correctas de respaldo de datos

a) Frecuencia y tipo de respaldo
b) Resumen ejecutivo
c) Vigencia y retencin de los respaldos
d) Polticas de control de acceso

4. Dentro del volumen de informacin a copiar, la Copia incremental consiste en que

solamente se almacena las modificaciones realizadas desde la ltima copia de seguridad. Esto
es:
a) Verdadero
b) Falso

DOCUMENTOS DEL SGSI

1. Escoja la fase de implementacin del SGSI donde se realiza el documento objetivos y metas
del negocio respecto al SGSI
a) Comprobar
b) Actuar
c) Planear
d) Hacer
e) En todas las fases

2. Dentro de la estructura de la gestin de riesgos, en el apartado de identificacin de

controles se define como riesgo residual a:
a) aquel que permanece despus de haber aplicado un control, o aquel la empresa est
dispuesta a asumir.
b) La accin o actividad comercial si la ganancia que se puede obtener de la ejecucin del mismo
va a ser menor a la posible ganancia de transferir ese activo a terceros o de ejecutarlo.
c) establecer las obligaciones y los derechos de las partes involucradas
d) La garanta que cada riesgo que se ha identificado, queda cubierto y puede ser auditable.
e) Ninguna de las anteriores.

POLTICA DE CONTROL DE DIVULGACIN DE INFORMACIN POLTICA DE

RESPALDO DE INFORMACIN
1. Qu condiciones se definen en la poltica de dispositivos de un respaldo?
a) Fecha para realizar el backup, ambiente, medio de almacenamiento
b) Acceso, cantidad de pruebas, identificacin del respaldo
c) Humedad, ambiente, medio de almacenamiento
d) Destruccin del respaldo, acceso, ambiente

2. Dentro de las consideraciones que se tiene en la poltica de respaldos esta:

a) Periodicidad, mtodo empleado, algoritmos a usar
b) Dispositivos, aplicacin del respaldo, periodicidad
c) Mtodos de acceso, reconocimiento de activos, evaluacin de riesgo
d) Proteccin, seguridad fsica y de entorno, reconocimiento de activos

3. Como se clasifica la informacin por el tipo de control de divulgacin.

a) Informacion Sensitiva, Informacion Restringida, Informacion Confidencial
b) Informacin Secreta, Informacion Prohibida, Informacion Accesible
c) Informacin Inadecuada, Informacin Adecuada, Informacin Confidencial
d) Informacin Potencial, Informacin Desestimable, Informacin Valiosa

PREGUNTAS DESARROLLADAS
GESTIN DE COMUNICACIONES
1. Describa las actividades que se realizan en la Planificacin de capacidades.
Se debe monitorear, afinar el uso de recursos y realizar proyecciones de requerimientos de una
capacidad futura.
2. Describa las actividades que se realiza en la Seguridad en transacciones en lnea
Se debe proteger la informacin en las transacciones en lnea, para evitar una transmisin
incompleta, alterada, divulgacin o duplicacin.

ADQUISICIN, DESARROLLO Y MANTENIMIENTO DE SISTEMAS

1. Indique el procedimiento que se debera seguir al trabajar con datos para hacer pruebas.
1. Se realiza una solicitud de autorizacin formal para realizar copias de la base
operativa como base de prueba.
2. Se obtiene la base de datos de prueba.
3. Se realizan las pruebas con la informacin operativa utilizada.
4. Se eliminan inmediatamente despus de que se hayan completado las pruebas.

2. Qu se debe hacer en cuanto a la externalizacin del desarrollo de software?

 La organizacin debera supervisar y monitorear las actividades de desarrollo del sistema
que se hayan externalizado.

GESTIN DE RIESGOS, VULNERABILIDADES Y AMENAZAS EN LA EMPRESA

1. En los sistemas informticos se presentan vulnerabilidades, amenazas y riesgos. Defina
cada uno de estos conceptos.
Vulnerabilidad: Debilidad o grado de exposicin de un sujeto, objeto o sistema. Tambin son
aquellas fallas, omisiones o deficiencias de seguridad que puedan ser aprovechadas por los
delincuentes.

Amenaza: Potencial ocurrencia de un hecho que pueda manifestarse en un lugar especfico, con una
duracin e intensidad determinadas. Cuando el Agente de riesgo selecciona una vctima contra la
cual pretende cometer un acto delictivo, automticamente se convierte en una amenaza para ella.

Riesgo: Probabilidad de que una amenaza se materialice utilizando una vulnerabilidad, generando
un impacto con prdidas o daos.

2. Escriba 3 ejemplos de vulnerabilidades con sus respectivas amenazas y riesgos.

VULNERABILIDAD AMENAZA RIESGO

Mala ubicacin del Acceso sin autorizacin a Destruccin de informacin
centro de computo los sistemas de confidencial
informacin

Software desactualizado Falla de equipos de Daos en hardware, prdidas

cmputo, contraccin de econmicas
virus

Ausencia de copias de Se presenta interrupciones Cada de la red, servidor fuera

seguridad en el servicio de servicio

PLAN DE METODOLOGA DE EVALUACIN Y TRATAMIENTO DE RIESGO MATRIZ

DE EVALUACIN Y TRATAMIENTO DEL RIESGO

1. Describa 4 categoras de activos de informacin de acuerdo al estndar Margerit

1. Software / Aplicaciones
a. Aplicaciones, sistemas operativos, herramientas de desarrollo y utilitarios
2. Hardware / equipos
a. Servidores, PCs, routers, hubs, firewalls, medio magntico, gabinetes, cajas
fuertes, salas, mobiliario, sistemas de alarmas, etc.
3. Soportes de informacin
 a. SAN, discos, cintas, USB, CD, DVD
4. Redes de comunicaciones
a. Medios de transporte que llevan datos de un sitio a otro

2. En base a los siguientes activos de informacin realice la matriz de riesgos

Aplicaciones:
o Aplicacin Venta de libros (APP_Venta)
o Mail corporativo (App_Mail)
Bases de datos:
o Base de datos de clientes (BD_clientes) (SQL Server)
o Base de datos con maestro de libros (BD_Maestro)(SQL Server)

Sistemas:
o Sistema A (Linux + Apache)
o Sistema C (Windows 2008 Server)
Hardware:
o Servidor A
o Servidor B
Personas
o Director de Sistemas
o Lder de Proyectos
o DBA
o Programador

PHISHING
1. Qu es el phishing?

El phishing en una forma de estafa en la que alguien intenta descubrir informacin personal sobre
otro, como su nombre de usuario o contrasea, hacindose pasar por una persona o entidad de
confianza en un medio de comunicacin electrnico, como un mensaje de correo electrnico o una
pgina web.

2. Menciones 4 consejos para evitar ser vctima de Phishing

No atienda a correos enviados por entidades de las que no es cliente en los que le pidan datos
ntimos o que afecten a su seguridad.
No atienda a sorteos u ofertas econmicas de forma inmediata e impulsiva
No atienda a correos que le avisen del cese de actividades financieras recibidos por primera
vez y de forma sorpresiva.
No atienda a correos de los que sospeche sin confirmarlos telefnica o personalmente con la
entidad firmante

ETHICAL HACKING
1. En qu consiste la fase de reconocimiento dentro de las fases del ataque?
Esta etapa involucra la obtencin de informacin con respecto a una potencial vctima que puede ser
una persona u organizacin. Por lo general, durante esta fase se recurre a diferentes recursos de
Internet como Google, entre tantos otros, para recolectar datos del objetivo.

2. En qu consiste la fase de acceso dentro de las fases del ataque?

En esta etapa se utiliza toda la informacin recolectada y generada para comprometer un equipo
aprovechando vulnerabilidades detectadas o encontradas, pueden ser ataques a aplicaciones, al S.O,
configuraciones por defecto. Se detalla el vector de ataque a utilizar y el tipo que ser implementado.

3. En qu consiste la fase de reconocimiento de un ataque informtico.

Se refiere a la fase preparatoria donde el hacker utiliza varias tcnicas para investigar y recolectar
toda la informacin necesaria de su objetivo antes de lanzar el ataque. Esta fase le permite al atacante
crear una estrategia para su ataque.
4. En qu consisten las pruebas de Caja Blanca:
En estas pruebas se tiene un conocimiento total de la red interna. Puede contarse con diagramas de
la red, listas de aplicaciones y de sistemas operativos, etc. A pesar de que no es una simulacin
realista de un ataque externo, es el ms exacto en relacin con el peor escenario, aquel en el que el
atacante tambin cuenta con total conocimiento de la red objetivo.
5. Que es el resumen ejecutivo de un informe de hacking tico
Es una descripcin general corta de la prueba, escrito para ejecutivos clave que quieren saber cmo
afectan los resultados a su compaa y que probablemente no le darn mucha importancia a los
detalles tcnicos. Incluye adems, un caso de negocio detallando el impacto de los resultados y los
costos asociados a la reparacin de las vulnerabilidades descubiertas.

POLTICA DE RECOLECCIN Y RETENCIN DE DATOS

1. Qu es la poltica de retencin de datos?
Es un protocolo establecido en una organizacin para retener informacin para las necesidades
operativas o de cumplimiento regulatorio.
2. Qu tipos de informacin se puede retener?

Lgicos y fsicos
Documentos
Logs del sistema
Registros
Datos del sistema
Datos personales

DOCUMENTOS DEL SGSI

1. Describa el propsito del documento metodologa para evaluar el riesgo
Se trata de definir de qu manera se va a evaluar el riesgo (evaluacin de amenazas, vulnerabilidad
y probabilidad de ocurrencia, impactos que generan en nuestros activos, definicin de criterios de
aceptacin de riesgo, etc.)
La evaluacin de riesgos debe identificar, cuantificar y priorizar los riesgos de seguridad de la
informacin contra los criterios definidos para la aceptacin del riesgo y los objetivos relevantes
para la organizacin.

2. Describa el documento declaracin de aplicabilidad

Es un documento en el que se listan los objetivos y controles que se van a implementar en la
organizacin, as como la justificacin de aquellos controles que no van a ser implementados.?
La Declaracin de Aplicabilidad es un documento clave del SGSI que enumera los objetivos de
control de seguridad de la informacin de la organizacin.
La declaracin de aplicabilidad se deriva de los resultados de la evaluacin de riesgos, donde:
- Se han seleccionado tratamientos de riesgo;
- Se han identificado todos los requisitos legales y reglamentarios pertinentes;
- Se entienden plenamente las obligaciones contractuales;
- Se ha realizado una revisin de las propias necesidades y requerimientos de la organizacin.
3. Liste 3 partes que debe tener el documento de poltica del SGSI.
Definicin de la seguridad de la informacin, objetivos globales, alcance e importancia
Objetivo de la gerencia como soporte de los objetivos y principios de la seguridad de la
informacin
Estructura para el establecimiento de los objetivos de control y controles, incluida, la
estructura de la valoracin del riesgo y el manejo de los riesgos
4. Defina el objetivo del documento de alcance y lmites del SGSI
El objetivo de este documento es el de definir el alcance y los lmites del SGSI desde el punto de
vista organizacional, tecnolgico, de informacin y comunicacin y fsico y de comunicacin.
Este documento se aplica a todo el proceso de planeacin del SGSI, puesto que contiene el alcance y
las limitaciones sobre las que se debe disear el SGSI para su posterior implementacin.

POLTICA DE CONTROL DE DIVULGACIN DE INFORMACIN POLTICA DE

RESPALDO DE INFORMACIN
1. Que es el contrato o acuerdo de confidencialidad
El contrato o acuerdo de confidencialidad es aquel que se firma cuando se va a tratar un tema que
requiere discrecin y se trata de evitar que las partes implicadas puedan utilizar la informacin para
sus propios fines.
2. Qu mtodos pueden emplearse para realizar un backup?
Respaldo Completo ("Full"):
Guarda todos los archivos que sean especificados al tiempo de ejecutarse el respaldo.
Respaldo Diferencial ("Differential"):
nicamente respalda los archivos y directorios que han sido creados y/o modificados desde la ltima
copia completa.
Respaldo de Incremento ("Incremental"):
Copia los ficheros creados o modificados desde el ltimo backup realizado, ya sea de una copia
completa o incremental, reduciendo de este modo los archivos a copiar y el tiempo empleado en el
proceso de backup.

3. Qu se define en el alcance de la poltica de respaldos?

Define en concreto a qu dispositivo electrnico se aplicar la poltica de respaldos y quienes sern
los responsables de cumplirla.