Test 01

TEST 01
1. La seguridad informática se basa en los aspectos estratégicos, dejando los aspectos técnicos
al campo de la seguridad de la información.
a. Verdadero
b. Falso
Explicación: La seguridad informática se ocupa de los aspectos TÉCNICOS, mientras que

la seguridad de la información abarca aspectos de GESTIÓN.
2. Los frameworks o marcos de referencia para aspectos netamente de gestión de seguridad de

la información se pueden considerar a: (Seleccione las correctas)
a. COBIT de ISACA
b. Benchmarks de CIS
c. ISO/IEC 27001
d. OWASP (Desarrollo seguro)
e. OSSTMM (metodología de Ethical HAcking)
f. BMIS (Sistema de gestión se seguridad de la información del negocio)
Explicación: Los benchmarks de CIS son utilizados para las verificaciones técnicas de
configuración de sistemas operativos, servidores y otras aplicaciones. OWASP es una guía
para las pruebas de seguridad de aplicaciones web. OSSTMM es una metodología para
pruebas de penetración.
3. El trabajo más complicado en el campo de la seguridad informática se considera a las

actividades de la seguridad DEFENSIVA.
a. Verdadero
b. Falso
Explicación: La seguridad defensiva tiene la misión de cerrar “todas” las brechas de

seguridad, identificar las vulnerabilidades para corregirlas; mientras que, por el lado
ofensivo, puede ser suficiente detectar una vulnerabilidad o brecha de seguridad en los
sistemas del objetivo para intentar explotar y comprometerlo. Por lo tanto, desde esa
perspectiva, la tarea más compleja la tiene el lado de la seguridad defensiva.
4. En el esquema de ejercicios de seguridad, el equipo azul (blue team) se encarga de las

pruebas (ataques) contra las defensas informáticas.
a. Verdadero
b. Falso
Explicación: El equipo Azul (blue team) se orienta a la seguridad DEFENSIVA, mientras

que el Equipo Rojo (red team) se orienta a la seguridad OFENSIVA (ataques)
5. De los siguientes elementos identificados relacionados a la seguridad de un sistema

informático empresarial, cuáles se consideran vulnerabilidades. (Seleccione las correctas)
a. Existencia de contraseñas por defecto
b. Ransomware existente en Internet
c. Ciberdelincuentes escuchando (sniffing) la red corporativa
d. Ausencia de parches del sistema operativo
e. Usuarios (empleados) sin entrenamiento en seguridad de la información.
Explicación: Las vulnerabilidades son de naturaleza interna y propias del sistema o entidad
(activos). Las amenazas son de naturaleza externa al activo (sistemas o entidades) por lo
tanto, el Ransomware es una amenaza, malware que puede infectar los sistemas
informáticos; el sniffing es una amenaza de “escucha” o interceptación de las
comunicaciones o transmisiones de datos.
6. SOX es una ley de USA que intenta prevenir los fraudes financieros y contables de cualquier
empresa de USA y de aquellas extranjeras que cotizan en las bolsas de valores de Estados
Unidos.
a. Verdadero
b. Falso
Explicación: La Ley SOX pertenece a Estados Unidos de Norteamérica, pero cualquier

empresa extranjera que cotice en la Bolsa de Valores de esa nación debe cumplir sus Leyes
asociadas como la Ley SOX.
7. Un Analista Junior de Seguridad de la Información de la Empresa ACME, propone la

implementación de tecnología de seguridad defensiva basado únicamente en la información
de noticias e incidentes de seguridad en empresas similares del mismo rubro de negocio. Al
presentar la propuesta ante el Oficial de Seguridad, este observa que el analista omitió
información importante para decidir la tecnología a comprar. ¿Qué información debió
considerar el Analista Junior como principales y determinantes? Seleccione las DOS
MEJORES respuestas.
a. Amenazas identificadas para la empresa ACME.
b. Activos de información de la empresa ACME
c. Las marcas y fabricantes de la tecnología a comprar.
d. Impacto (daño) acumulado de las empresas del rubro incluido la empresa ACME
e. Estimación del costo/beneficio de la tecnología a comprar.
f. Riesgos identificados en las empresas similares en el rubro.
Explicación: Para todo análisis de riesgos, lo primero y principal es identificar los

ACTIVOS de información, y como segundo paso, identificar las amenazas asociadas a los
activos previamente identificados. Las siguientes etapas dependen de esta información.
8. El impacto sobre algunos activos de información muy importantes de la Empresa ACME con
la materialización de una amenaza es considerado como bajo. Asumiendo que la probabilidad
de ocurrencia de la amenaza es alta, ¿cuál es la mejor explicación para el resultado descrito?
a. El tratamiento del riesgo adoptado fue el de “Eliminación”
b. El nivel de vulnerabilidad es alto.
c. El tratamiento del riesgo adoptado fue el de “Transferir”
d. El nivel de vulnerabilidad es bajo.
e. El tratamiento del riesgo adoptado fue el de ”Mitigar”
Explicación: Una de las formas para calcular el RIESGO se consideran a las amenazas y la
magnitud de daño (impacto), siendo una forma de relación: Riesgo=Amenaza x Impacto. Si
la amenaza es alta, el riesgo será mayor, pero este puede verse reducida si el impacto es
menor; y una explicación probable es que el tratamiento al riesgo adoptado sea la
mitigación, pero si el activo tiene un nivel de vulnerabilidad es bajo, se minimiza las
acciones de tratamiento de riesgos (se convierte hasta cierto grado en opcional), por lo que,
la mejor explicación al caso presentado es que el nivel de vulnerabilidad sea bajo.
9. Luisa acude a una cena en el hotel Marriot, en el cual le ofertaron un viaje a Cancún, pero
tenía que llenar y proporcionarles sus datos personales para que pudiera tener derecho a dicha
promoción. Ella da consentimiento para obtener la promoción. Posteriormente le empezaron
a llegar llamadas de diversas empresas de turismo las cuales le ofertaban el viaje de avión y
otras promociones de ropa y de diversos productos. ¿Qué principio de la Ley de Protección
de Datos Personales se está infringiendo?
a. Artículo 4. Principio de legalidad
b. Artículo 5. Principio de consentimiento
c. Artículo 6. Principio de finalidad
d. Artículo 8. Principio de calidad
e. Artículo 9. Principio de seguridad
Explicación: En el caso presentado, la recopilación de datos de Luisa fue para un propósito

(promoción para un viaje), pero aparentemente esos datos fueron transferidos (vendidos) y
utilizados para otros fines (ofertas de viajes en avión y ventas de ropa). Por lo tanto, el
principio que se está infringiendo es el principio de finalidad.
10. Toda la familia del estándar ISO/IEC 27000 es certificable

a. Verdadero
b. Falso
Explicación: Solo el estándar ISO/IEC 27001 es certificable, el resto de la familia 27000 es

complemento para la adopción del estándar 27001.
11. Según la Ley contra Spam 28493, los correos que son de tipo publicidad (comercial no
solicitado) debe contener la palabra "SPAM" en el asunto o subject.
a. Verdadero
b. Falso
Explicación: Según la Ley 28493, las empresas que envían correos comerciales no
solicitados deben consignar la palabra “PUBLICIDAD” en el asunto de los mensajes.
12. La Ley de Ciberdefensa tiene por finalidad proteger a las Infraestructuras críticas y recursos
clave del país de posibles ataques cibernéticos o en (del) ciberespacio.
a. Verdadero
b. Falso
Explicación: En el artículo 2 de la Ley de Ciberdefensa (30999) indica: “Finalidad.

Defender y proteger la soberanía, los intereses nacionales, los activos críticos nacionales y
recursos claves para mantener las capacidades nacionales frente a amenazas o ataques en
y mediante el ciberespacio, cuando estos afecten la seguridad nacional.”

Test 01

Cargado por

Copyright:

Formatos disponibles

Test 01

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Test 01

Cargado por

Copyright:

Formatos disponibles

TEST 01

Explicación: La seguridad informática se ocupa de los aspectos TÉCNICOS, mientras que

2. Los frameworks o marcos de referencia para aspectos netamente de gestión de seguridad de

3. El trabajo más complicado en el campo de la seguridad informática se considera a las

Explicación: La seguridad defensiva tiene la misión de cerrar “todas” las brechas de

4. En el esquema de ejercicios de seguridad, el equipo azul (blue team) se encarga de las

Explicación: El equipo Azul (blue team) se orienta a la seguridad DEFENSIVA, mientras

5. De los siguientes elementos identificados relacionados a la seguridad de un sistema

Explicación: La Ley SOX pertenece a Estados Unidos de Norteamérica, pero cualquier

7. Un Analista Junior de Seguridad de la Información de la Empresa ACME, propone la

Explicación: Para todo análisis de riesgos, lo primero y principal es identificar los

Explicación: En el caso presentado, la recopilación de datos de Luisa fue para un propósito

10. Toda la familia del estándar ISO/IEC 27000 es certificable

Explicación: Solo el estándar ISO/IEC 27001 es certificable, el resto de la familia 27000 es

Explicación: En el artículo 2 de la Ley de Ciberdefensa (30999) indica: “Finalidad.

También podría gustarte