Tirante

Question 1

Metodologías para la detección de riesgos

Answer 1

• Cualitativa: Requiere alta experiencia del evaluador.
• Cuantitativa: No es necesario una alta experiencia del evaluador.
• Mixta: Es la utilización de los métodos anteriores.

Question 2

Esquema básico de un Plan de Seguridad

Answer 2

• Política de Seguridad.
• Plan de Seguridad.
• Normas y Procedimientos.
• Tecnología.
• RRHH.
• Formación y Concientización.
  {Control y Auditoría.}

Question 3

Los objetivos de la informática son:

Answer 3

• Confidencialidad.
• Integridad.
• Disponibilidad

Question 4

Tipos de encriptación

Answer 4

• Encriptación mediante claves simétricas.

- Encriptación mediante claves asimétricas - públicas y privadas

Question 5

Que es trashing.

Answer 5

Técnica de sacar información de la basura.

Question 6

Que es estenografía.

Answer 6

Técnica que oculta mensajes dentro de un archivo.

Question 7

¿Cómo debe ser una función hash?

Answer 7

Debe ser:

• Rápida de calcular: porque es posible que se necesite calcular muchas en poco tiempo.
• Distribuir los elementos de una manera uniforme en todo el rango de la salida: para evitar los aglomeramientos que degradarían el rendimiento.
• Siempre devolver el mismo código hash para una misma entrada.
• Provocar pocas colisiones.

Question 8

Diferencia fundamental de encriptación simétrica y asimétrica.

Answer 8

Asimétrica: se cifra con la clave publica y de descifra con la clave privada.
Simétrica: se cifra y se descifra con la misma clave.

Question 9

Campos DNS.

Answer 9

• A(Adress): La dirección IP del Dominio.
• NS (Name Server): Si un dominio tiene uno o más servidores DNS.
• MX (Mail Exchange): IP del Servidor de Correo del Dominio.
• PTR: Dirección IP a nombre del Dominio.

Question 10

¿Qué es un exploit?

Answer 10

Es un fragmento de Software utilizado para generar un ataque.

Question 11

Vulnerabilidades de la Informática.

Answer 11

• La facilita las relaciones humanas y las comunicaciones.
• El Factor Humano desprevenido.
• Ingeniería Social Directa.
• Ingeniería Social Indirecta.
• Desconocimiento de la informática.

Question 12

La ley de Delitos Informáticos reprime

Answer 12

• Pornografia infantil.
• Violación de Secreto: Lectura de mail y correspondencia.
• Hackeo de sistemas.
• Acceso a Banco de Datos de Personas
• Fraude a través de manipulación de datos y comunicación.
• Propagación de programas dañinos y destrucción de la información.
• No custodiar debidamente una prueba.

Question 13

¿Cómo se considera al software?

Answer 13

Se considera al software como propiedad intelectual.

Question 14

Tipos de datos según Protección de Datos Personales

Answer 14

• Sensibles: (Religión, Políticos, Sindical, Enfermedad, orientación sexual), estos no se pueden preguntar, excepto que sea la base de datos de una Iglesia, Sindicato u Hospital.
• Datos Públicos: Aquellos que figuran en el Padrón: Nombre y Apellido, CUIT, DNI, Profesión, Domicilio, estos pueden ser tratados libremente.
• Datos Privados: .Para ser tratados deben de tener la autorización del titular del dato.

Question 15

Objetivos de las seguridad de la información

Answer 15

• Eficacia.
• Eficiencia.
• Confidencialidad.
• Integridad.
• Disponibilidad.
• Cumplimiento.
• Confiabilidad.

Question 16

Características de un virus informático

Answer 16

• Son programas que tienen módulos de:
• Contagió, puede ser en forma directa o a través de mail con adjuntos.
• Ocultamiento para no ser detectado.
• Encriptación.
• Ataque según su intensidad puede afectar la integridad y la confidencialidad.

Question 17

Clasificación de virus

Answer 17

• Gusanos: programa…
• Troyano: puede tener zombis
• Zombis: para ataque de negación de servicios.
• Bombas lógicas: no tiene módulo de reproducción.
• Hoax

Question 18

Características spyware

Answer 18

• No es considerado un virus y los antivirus no los detectan.
• …

Question 19

Métodos de Detección de Malware.

Answer 19

• Detección mediante firmas.
• Detección mediante string signatures.
• Detección mediante heurística.

Question 20

Tipos de criptografía simétrica y desarrollo.

Answer 20

• Cifrado en bloque: El mensaje en texto claro se divide en bloques de longitud fija.
• Cifrado de flujo: Para algunas aplicaciones el cifrado en bloques es inapropiada porque los datos se producen en tiempo real en pequeños fragmentos. El algoritmo genera una secuencia pseudo aleatoria de bits que se emplea como clave.

Question 21

Ventajas y desventajas de criptografía simétrica.

Answer 21

Ventajas:

• Gran velocidad de cifrado.
• No aumenta el tamaño del mensaje.
• Tecnología muy conocida y difundida.

Desventajas

• La Seguridad depende de un secreto compartido entre el emisor y el receptor.
• La administración de claves no es escalable.
• La distribución de claves debe hacerse a través de un medio seguro.

Question 22

Definición de criptografía asimétrica.

Answer 22

Los sistemas asimétricos utilizan dos claves, una privada y otra pública (siendo una la inversa de la otra). Ambas pueden ser usadas para encriptar y desencriptar, dependiendo del modo de operación utilizado (encripción o autenticación).

Dichas claves están matemáticamente relacionadas entre sí y además:

• La clave pública está disponible para todos.
• La clave privada es conocida sólo por el individuo dueño del servicio par de claves.

Question 23

Ventajas y desventajas de criptografía asimétrica.

Answer 23

Ventajas

• No es necesario efectuar ningún intercambio de claves.
• Es una tecnología muy conocida y comprendida.
• A través de distintos modos de uso se cubre gran parte de los requisitos de seguridad de la información.

Desventajas

• Requiéreme de mayor potencia de cómputo para cifrar y descifrar el método simétrico.
• El mensaje cifrado es de mayor tamaño que el original.

Question 24

Definición y propiedades de función hash.

Answer 24

Son funciones de transformación que toman una entrada y retornan un string de longitud fija, conocida como “message digest”.

Propiedades

• El resultado es fácil de calcular.
• No tiene función inversa.

Question 25

Enuncie OWASP top 10 web

Answer 25

1. Inyección.
2. Pérdida de autenticación.
3. Exposición de datos sensibles.
4. Entidades externas XML.
5. Pérdidas de control de acceso.
6. Configuración de seguridad incorrecta.
7. Secuencia de comandos en sitios cruzados (XSS).
8. Deserialización insegura.
9. Componentes con vulnerabilidades conocidas.
10. Registró y monitoreo insuficiente.

Question 26

Enuncie OWASP Top 10 mobile

Answer 26

1. Controles débiles en el lado del servidor.
2. Almacenamiento inseguro de datos.
3. Insuficiente protección en el transporte de datos.
4. Fuga de información no intencionada.
5. Pobre autorización y autenticación.
6. Métodos obsoletos de criptografía.
7. Inyección de código en el lado del cliente.
8. Decisiones de comunicación entre aplicaciones no confiables.
9. Indebida manipulación de sesión.
10. Falta de protección a nivel binario.

Question 27

Vs de big data.

Answer 27

Volumen, velocidad, variedad, veracidad, valor

Question 28

¿De donde provienen los datos?

Answer 28

• Internet
• Redes Sociales
• ClickStream
• Sensores
• Material Genético
• Trading financiero
• Física de partículas

Question 29

Ventajas del big data

Answer 29

• Mejora la toma de decisiones.
• Conocimiento del mercado.
• Feedback en tiempo real.
• Tecnología del presente y del futuro.
• Mejoras en el servicio del cliente.
• Detección de fraudes.
• Innovación.

Question 30

Desventajas del big data

Answer 30

• Ataques informáticos.
• Necesidad de talentos.
• Calidad de los datos.
• Cambio cultural.
• Regulaciones gubernamentales.
• Constantes cambios.
• Hardware.
• Dificultad de integrarse con sistemas antiguos.

Question 31

¿Cómo se le llama al método para asegurar que ninguna persona tenga autoridad para ejecutar dos o más transacciones sensibles en conflicto que podría afectar los estados financieros?
[ ] Identity management
[ ] Autenticación de dos factores
[ ] Segregación de funciones
[ ] Gestión del riesgo operacional

Answer 31

Segregación de funciones

Question 32

¿Cuál de los siguientes es un tratamiento de riesgo admisible?
[ ] Eliminar el elemento que introduce el riesgo
[ ] Distribución
[ ] Aceptarlo
[ ] Mitigar

Answer 32

Eliminar el elemento que introduce el riesgo
Aceptarlo
Mitigar

Question 33

¿Cuál es el objetivo de la gestión de riesgo?
[ ] Eliminar el riesgo de los procesos de negocios
[ ] Ayudar a tomar decisiones a la gerencia de IT
[ ] Reducir el riesgo hasta un punto tolerable por el negocio
[ ] Realizar informes periódicos de análisis de riesgos

Answer 33

Reducir el riesgo hasta un punto tolerable por el negocio

Question 34

¿Cuál es el protocolo utilizado para encontrar en la red cuál es la dirección MAC que se corresponde con una cierta IP? 
[ ] DHCP
[ ] DNS
[ ] ARP
[ ] RARP

Answer 34

ARP

Question 35

¿Cuál de los siguientes es una etapa del plan de continuidad de negocio?
[ ] Analisis de impacto de negocio
[ ] Corrección de errores
[ ] Auditoria
[ ] Revisión de código y monitoreo

Answer 35

Análisis de impacto de negocio

Question 36

¿Cuál de las siguientes afirmaciones es verdadera para un Hot Site?
[ ] Es lento y costoso
[ ] Consume pocos recursos de hardware
[ ] No requiere mantenimiento
[ ] Permite restableces las operaciones técnicas en pocas horas
[ ] Permite restableces las operaciones técnicas en muchas horas

Answer 36

Permite restableces las operaciones técnicas en muchas horas

Question 37

¿Cuál es la función principal del IDS?
[ ] Hacer de perimetro entre la red externa e interna
[ ] Detectar e informar anomalías de red
[ ] Detectar y prevenir anomalías de red
[ ] Detectar maware

Answer 37

Detectar e informar anomalías de red

Question 38

Las tres formas clásicas de la autenticación con el software de seguridad informática son, por algo que usted sabe, por algo que usted tiene y por algo
[ ] No trivial
[ ] Usted es
[ ] Usted adquiere
[ ] Usted sabe
[ ] Usted necesita

Answer 38

Usted es

Question 39

Una empresa que dispone de 3000 empleados y un datacenter propio desea instalar un Firewall de red. ¿En qué lugar recomendaría su instalación?

a. En la frontera entre internet y la DMZ, cercano al Router principal.
b. Dentro la red de la empresa, cercano a los servidores más importantes.
c. Desntro la red de la empresa, cercano a las PCs más importantes
d. Cercano al Switch del centro de cómputos.

Answer 39

En la frontera entre internet y la DMZ, cercano al Router principal.

Question 40

Se están recibiendo ataques de Denegación de Servicio fuera del horario laboral y en distintos segmentos de la red interna. ¿Cuál dispositivo de Seguridad en Redes recomendaria implementar?

a. Firewall
b. IPS
c. IDS
d. Router Seguro

Answer 40

IPS

Question 41

¿Cuál es la seguridad Wireless más robusta y confiable?

a. WEP
b. WPA
c. WPA 2
d. WEP 3

Answer 41

WPA 2

Question 42

Una empresa decide que sus empleados se conecten de manera remota a la red de datos de la compañía y se decidió implementar una VPN. ¿Qué característica principal debe tener?

a. Tener alta velocidad de comunicación
b. Mantener la alta disponibilidad
c. Contar con una comunicación segura sobre un medio inseguro
d. Contar con una comunicación insegura sobre un medio seguro

Answer 42

Contar con una comunicación segura sobre un medio inseguro

Question 43

¿Cuál de los siguientes servicios de seguridad son provistos si el emisor encripta los datos con su clave privada?

a. Integridad
b. Confidencialidad
c. Autenticación
d. Corrupción

Answer 43

Autenticación

Question 44

¿Cuál de los siguientes es una práctica aceptada para proveer más fortaleza en los servicios de encripción?

a. Mantener en secreto el algoritmo de hash
b. Usar un diccionario extenso para proveer mayor posibilidades de generación de claves
c. Usar un diccionario pequeño para proveer la posibilidad de elegir una clave compleja
d. Asegurarse que el texto plano no puede ser conocido por un invitado

Answer 44

Usar un diccionario extenso para proveer mayor posibilidades de generación de claves

Question 45

¿Cuál de las siguientes no es verdad en la criptografía asimétrica?

a. Provee no repudio y autenticación
b. Mayor escalibilidad que la criptografía simétrica
c. Mejor distribución de la clave que la criptografía simétrica
d. Más rápido que la criptografía simétrica

Answer 45

Más rápido que la criptografía simétrica

Question 46

¿Cuál de los principios de la seguridad sustenta el uso de lagoritmos de hash?

a. Integridad
b. Confidencialidad
c. Disponibilidad
d. No repudio

Answer 46

Integridad

Question 47

El gerente de proyecto se contacta con responsable de Seguridad para consultar en qué etapa del proyecto considera involucrar al equipo de Seguridad de Información. ¿Cuál sería su respuesta si fuese el responsable de Seguridad?

a. Desde la iniciativa
b. Desde el análisis
c. Desde el Diseño
d. Desde el Desarrollo

Answer 47

Desde la iniciativa

Question 48

¿Cuál es la finalidad del entorno Pre-Productivo?

a. Contar con un entorno para probar antes de pasaje a producción
b. Contar con un entorno para no mover los datos directamente a producción
c. Contar con un entorno lo más similar a producción para hacer pruebas
d. Contar con un entorno para hacer cambios pre-productivos

Answer 48

Contar con un entorno lo más similar a producción para hacer pruebas

Question 49

¿Cuál de las siguientes no es una función del Firewall de Base de datos?

a. Auditoria
b. Bloqueo de transacciones
c. Normalización de la Base de Datos
d. Detección de intrusos a través de firmas

Answer 49

Normalización de la Base de Datos

Question 50

Se detecta un ataque de Buffer Overflow en una de las aplicaciones desarrolladas en la empresa que realiza sus propias aplicaciones con comunicación a internet. ¿Cuál sería la recomendación para los desarrolladores?

a. Que validen la entrada de datos y las librerías utilizadas
b. Que implementen un entorno de pruebas
c. Que implementen un Firewall
d. Que implementen un IDS

Answer 50

Que validen la entrada de datos y las librerías utilizadas

Question 51

La colocación de una alarma es un control del tipo

a. Físico, detectivo y preventivo
b. Técnico, detectivo y preventivo
c. Técnico, detectivo y correctivo
d. Físico, detectivo y correctivo

Answer 51

Físico, detectivo y preventivo

Question 52

¿Cuál de las siguientes etapas no pertenece a la gestión de riesgos?

a. Clasificación de información
b. Identificación y evaluación de los activos
c. Análisis de amenazas
d. Análisis de vulnerabilidades
e. Evaluación del riesgo

Answer 52

Clasificación de información

Question 53

¿Cuál es el opuesto a la Confidencialidad, integridad y disponibilidad en la gestión de riesgos?

a. Mal uso, exposición y destrucción
b. Autorización, no repudio e integridad
c. Descubrimiento, alteración y destrucción
d. Autorización, no repudio y destrucción

Answer 53

Descubrimiento, alteración y destrucción

Question 54

¿Cuál de los siguientes reisgos tienen relación con la auditoría?

a. Riesgos Inherentes
b. Riesgos de detección
c. Riesgos de control
d. Todas las anteriores
e. Nisguna de las anteriores

Answer 54

Todas las anteriores

Question 55

¿Qué hace la auditoría?

Answer 55

Auditoría: da una opinión profesional sobre el objeto cometido a estudio.

Question 56

Definición de pericia.

Answer 56

Pericia: es una declaración de los hechos como resultante del estudio del material aportado.

Question 57

Definición de informe técnico.

Answer 57

Informe técnico: es una opinión referente a un objeto sometido a estudio.

Question 58

¿La seguridad qué áreas debe abarcar?

Answer 58

La seguridad debe abarcar las 3 áreas de incumbencia: Personas, Procesos y Tecnología.

Question 59

Tipos de controles.

Answer 59

Los controles pueden ser Preventivos/Delictivos/Correctivos.

Question 60

Cuatro pasos para que el sujeto acceda al objeto.

Answer 60

• Identificación
• Autenticación
• Autorización
• Responsabilidad

Question 61

Servicios de un criptosistema.

Answer 61

• Confidencialidad
• Integridad
• Autenticidad
• Autorización
• No repudio

Question 62

Obligaciones del personal de sistemas.

Answer 62

Garantizar la integridad, confidencialidad y disponibilidad de la base de datos de personas.