**TEMARIO UNIDAD 5**
CONTESTA CON VERDADERO//FALSO
1. Una auditoría de seguridad es un proceso que se realiza únicamente para identificar vulnerabilidades en los equipos informáticos. (FALSO)
2. El objetivo principal de las políticas de uso aceptable es restringir el uso de los equipos informáticos para fines personales. (VERDADERO)
3. Las contraseñas seguras deben ser largas y complejas, incluir caracteres especiales y cambiarse periódicamente. . (VERDADERO)
4. La única forma de proteger los datos en caso de un desastre es tener copias de seguridad completas. (FALSO)
5. Las pruebas del plan de recuperación ante desastres (DRP) deben realizarse con poca frecuencia para evitar interrumpir las operaciones normales. (FALSO)
6. Los acuerdos de nivel de servicio (SLAs) no son necesarios cuando una organización brinda soporte a otras instituciones. . (FALSO)
7. La segregación de deberes es una medida de control que consiste en asignar diferentes tareas a diferentes personas para evitar fraudes o errores. . (VERDADERO)
8. El cifrado es una medida de seguridad esencial para proteger los datos durante la transferencia entre instituciones. . (VERDADERO)
PREGUNTAS DE OPCION MULTIPLE
1. ¿Cuál de las siguientes NO es una característica fundamental de la seguridad informática?
a) Confidencialidad b) Integridad c) Disponibilidad d) Eficiencia
2. ¿Qué tipo de software malicioso tiene como objetivo cifrar los archivos de la víctima y exigir un rescate a cambio de su liberación?
a) Virus b) Gusano c) Ransomware d) Troyano
3. ¿Cuál de las siguientes es una buena práctica para proteger las contraseñas?
a) Usar la misma contraseña para todas las cuentas b) Escribir las contraseñas en un papel
c) Compartir las contraseñas con otras personas d) Todas las anteriores son incorrectas
4. ¿Cuál de las siguientes es una medida de seguridad física que ayuda a proteger los equipos informáticos?
a) Utilizar software antivirus b) Instalar un firewall
c) Control de acceso físico d) Realizar copias de seguridad
5. ¿Qué tipo de ataque tiene como objetivo interceptar y leer las comunicaciones entre dos sistemas?
a) Ataque de denegación de servicio (DoS) b) Ataque de interceptación
c) Ataque de hombre en el medio (MitM) d) Ataque de fuerza bruta
6. ¿Cuál de las siguientes es una responsabilidad del administrador de seguridad de la información?
a) Implementar y mantener las políticas de seguridad
b) Capacitar a los usuarios sobre seguridad informática
c) Realizar auditorías de seguridad
d) Todas las anteriores
7. ¿Qué tipo de control de seguridad permite restringir el acceso a los recursos de un sistema en función de la identidad del usuario?
a) Control de acceso discrecional (DAC)
b) Control de acceso basado en roles (RBAC)
c) Control de acceso obligatorio (MAC)
d) Control de acceso basado en atributos (ABAC)
8. ¿Cuál de las siguientes es una tecnología que permite cifrar las comunicaciones de correo electrónico?
a) HTTPS b) SSH c) PGP d) SFTP
9. ¿Cuál de las siguientes es una buena práctica para protegerse contra el phishing?
a) Hacer clic en enlaces en correos electrónicos o mensajes de texto de fuentes desconocidas
b) Abrir archivos adjuntos de correos electrónicos de fuentes desconocidas
c) Proporcionar información personal en sitios web que no parecen legítimos
d) Todas las anteriores son incorrectas
10. ¿Cuál de las siguientes es una ley que protege los datos personales en la Unión Europea?
a) Ley de Protección de Datos Personales y Libre Circulación (LOPD)
b) Ley Federal de Protección de Datos Personales (LFPDPPP)
c) Reglamento General de Protección de Datos (RGPD)
d) Ley de Transparencia y Acceso a la Información Pública (LTAIP)
Contesta con verdadero/falso
1. El propósito de una auditoría de TI es garantizar que los sistemas de TI de la organización cumplan con todas las leyes y regulaciones aplicables. [FALSO]
2. El método de costo mínimo es una técnica que se puede utilizar para identificar e implementar soluciones que impliquen el menor costo posible, sin comprometer la calidad y la seguridad esenciales. [VERDADERO]
3. El método de costo mínimo sólo debe utilizarse cuando la organización enfrenta dificultades financieras. [FALSO]
Ectured (AES) es una metodología utilizada en el desarrollo de sistemas de información para transformar los requisitos del usuario y las condiciones comerciales en una especificación de sistema adecuada. [VERDADERO]
5. El propósito de la evaluación de los procedimientos administrativos es asegurar que sean eficientes, eficaces y alineados con los objetivos estratégicos de la organización. [VERDADERO]
Elige la respuesta correcta
1. El informe final de una auditoría de TI normalmente incluye todo lo siguiente EXCEPTO:
a. Un resumen de los hallazgos y recomendaciones de la auditoría
b. Una descripción de la metodología de auditoría
c. Una evaluación de los riesgos de TI de la organización
d. Un análisis financiero detallado de la organización.
2. El método de costo mínimo se puede aplicar a una variedad de gastos de TI, que incluyen:
a. Costos de hardware y software
b. Costos de personal
c. Costos de capacitación d. Todo lo anterior
3. Al utilizar el método de costo mínimo, es importante considerar los siguientes factores:
a. El impacto potencial de las reducciones de costos en la calidad del servicio
b. La sostenibilidad a largo plazo de la organización
c. Los riesgos potenciales de reducir costos d. Todo lo anterior
4. El sistema de análisis ejecutado (AES) se caracteriza por todo lo siguiente EXCEPTO:
a. Un enfoque en los procesos y flujos de datos b. El uso de modelos visuales y diagramas
c. Un enfoque de arriba hacia abajo d. Un enfoque en los detalles de implementación
5. La evaluación de los procedimientos administrativos normalmente implica todos los pasos siguientes:
a. Definir los objetivos de la evaluación b. Recopilación de datos
c. Identificar áreas de mejora
d. Desarrollar recomendaciones e. Implementar cambios f. Monitoreo y evaluación de resultados g. Todo lo anterior
6. ¿Cuál de los siguientes NO es un beneficio de utilizar el método de costo mínimo en auditorías de TI?
a. Identificar oportunidades para reducir los gastos de TI sin comprometer la calidad
b. Mejorar la eficiencia de las operaciones de TI
c. Mejorar el desempeño financiero de la organización
d. Cumplir con los requisitos reglamentarios
7. ¿Cuál de los siguientes es un principio clave del Sistema de Análisis Ectured (AES)?
a. Dividir el sistema en módulos independientes con mínima interacción
b. Centrándose en la interfaz de usuario y la experiencia del usuario
c. Modelar en detalle las estructuras de datos del sistema
d. Destacando las tecnologías de implementación.
8. ¿Cuál de los siguientes NO es un propósito de evaluar procedimientos administrativos?
a. Identificar redundancias e ineficiencias
b. Garantizar el cumplimiento de las políticas y regulaciones
c. Mejorar la moral y la productividad de los empleados
AUDITORIA INFORMATICA – UNIDAD 7
Contesta con verdadero/falso
- La ponderación de los sectores auditados es crucial para priorizar recursos y esfuerzos de seguridad en una organización.( V )
- La operativa del ciclo de seguridad incluye la planificación, implementación de medidas de seguridad, y análisis de mercado.(F)
- Los KPIs son indicadores clave de rendimiento utilizados para monitorear aspectos de seguridad como la tasa de incidentes.(V)
- El análisis de vulnerabilidades en el ciclo de seguridad implica la identificación y priorización de riesgos potenciales.(V)
- El costo-beneficio no es un aspecto evaluado en el ciclo de seguridad para justificar inversiones en medidas de seguridad.(F)
- La confección del informe del ciclo de seguridad no incluye la presentación de hallazgos y recomendaciones a la alta dirección.(F)
- La logística del ciclo de seguridad se refiere únicamente a la gestión de recursos físicos y materiales.(F) También incluye tecnología
- La evaluación de riesgos en el ciclo de seguridad implica solo análisis cualitativo de las amenazas potenciales.(F) Implica el análisis CUANTITATIVO-
- La implementación de controles técnicos y procedimientos es una parte esencial de la operativa del ciclo de seguridad. (V)
- La ponderación de los sectores auditados debe ajustarse continuamente para reflejar cambios en el entorno de riesgos y prioridades organizacionales. (V)
- Los informes del ciclo de seguridad no son necesarios para documentar las actividades y resultados relacionados con la seguridad en una organización. (F)
- El monitoreo continuo es crucial en el ciclo de seguridad para identificar y responder rápidamente a las amenazas.(V)
- Las auditorías de seguridad son opcionales y no son necesarias para evaluar el cumplimiento de las políticas y controles de seguridad.( F )
- La capacitación del personal en prácticas de seguridad no es importante dentro de la implementación del ciclo de seguridad. (F)
- La ponderación de los sectores auditados se refiere a asignar pesos relativos a áreas críticas durante las auditorías para priorizar esfuerzos de seguridad.(V)
- Los resultados del ciclo de seguridad no incluyen la evaluación cuantitativa de las medidas de seguridad implementadas.(F)
- La operativa del ciclo de seguridad no implica la gestión de incidentes de seguridad ni la respuesta a emergencias. (F)
- Los objetivos del ciclo de seguridad deben ser ambiguos y no específicos para permitir mayor flexibilidad en la implementación. (F)
- El análisis de vulnerabilidades solo se realiza al inicio del ciclo de seguridad y no de manera continua. (F)
- El cumplimiento de estándares regulatorios y normativos no es necesario en el ciclo de seguridad de una organización. (V)
Elige la respuesta correcta
1. ¿Qué implica la ponderación de los sectores auditados en el ciclo de seguridad?**
– a) Asignar pesos a áreas críticas durante auditorías.
– b) Evaluar el cumplimiento de normativas.
– c) Realizar pruebas de penetración.
– d) Todas las anteriores.
2. ¿Qué componente no forma parte de la operativa del ciclo de seguridad?**
– a) Monitoreo continuo.
– b) Implementación de medidas de seguridad.
– c) Gestión de incidentes de recursos humanos.
– d) Evaluación y mejora continua.
3. ¿Qué son los KPIs en el contexto del ciclo de seguridad?**
– a) Indicadores de seguridad fundamentales.
– b) Software de gestión de seguridad.
– c) Un tipo de malware.
– d) Métodos de cifrado.
4. ¿Cuál de las siguientes opciones describe mejor la evaluación de riesgos en el ciclo de seguridad?**
– a) Evaluación únicamente cualitativa.
– b) Evaluación únicamente cuantitativa.
– c) Evaluación de riesgos cuantitativa y cualitativa.
5. **¿Qué implica el costo-beneficio en el contexto del ciclo de seguridad?**
– a) Análisis de la relación entre costos de seguridad y beneficios obtenidos.
– b) Implementación de controles técnicos.
– c) Evaluación de políticas de seguridad.
– d) Análisis de vulnerabilidades.
6.¿Cuál es una parte esencial de la confección del informe del ciclo de seguridad?**
– a) Desarrollo de políticas de seguridad.
– b) Presentación de hallazgos y recomendaciones.
– c) Implementación de medidas de seguridad.
– d) Monitoreo continuo.
7. ¿Qué aspecto no forma parte de la logística del ciclo de seguridad?**
– a) Planificación de recursos.
– b) Gestión de proyectos.
– c) Implementación de controles técnicos.
– d) Coordinación de comunicaciones.
8. ¿Qué tipo de análisis se realiza para identificar y priorizar riesgos potenciales en el ciclo de seguridad?**
– d) Análisis de costos.
9.¿Cuál es una actividad esencial en la operativa del ciclo de seguridad relacionada con la educación del personal?**
– b) Capacitación en prácticas de seguridad.
10. **¿Qué implica la revisión y ajuste continuo en la ponderación de los sectores auditados?**
– a) Ajustar criterios de ponderación basados en cambios en el entorno de riesgos y prioridades.
– b) Realizar auditorías internas.
– c) Implementar medidas correctivas. – d) Ninguna de las anteriores.
11.¿Qué función tiene el monitoreo continuo en el ciclo de seguridad?**
– a) Identificar y responder a incidentes rápidamente.
– b) Desarrollar políticas de seguridad.
– c) Implementar controles físicos.
– d) Realizar auditorías de cumplimiento.
12. ¿Cuál es el propósito principal de las auditorías de seguridad en el ciclo de seguridad?**
– b) Evaluar el cumplimiento de políticas y controles de seguridad.
13. ¿Qué componente no es parte de la operativa del ciclo de seguridad relacionado con la implementación de medidas de seguridad?**
– c) Gestión de incidentes de marketing.
14. ¿Cuál es un objetivo clave del ciclo de seguridad en términos de implementación de medidas de seguridad?**
– c) Implementación de controles técnicos y procedimientos.
15. ¿Qué aspecto no es parte de la confección del informe del ciclo de seguridad?**
– c) Implementación de controles técnicos.
16. ¿Qué implican los objetivos del ciclo de seguridad?**
– a) Definición clara de metas para la seguridad de la información y sistemas.
17.¿Qué implica la metodología de evaluación en la ponderación de los sectores auditados?**
– a) Establecer criterios claros para asignar pesos a cada sector..
18. ¿Cuál es una actividad esencial en la logística del ciclo de seguridad?**
– b) Planificación de recursos.
19. ¿Cuál es el objetivo del análisis de vulnerabilidades en el ciclo de seguridad?**
– b) Evaluación de riesgos.
20.*¿Qué componente no es parte de la evaluación y mejora continua en el ciclo de seguridad?**
– d) Gestión de proyectos de TI.