Buenas, les dejo el parcial (único parcial) de seguridad informática del curso de la tarde. La condición de aprobación era tener 60% bien contestadas. Las mal no restaban y la respuesta era sólo una.

1. Una empresa con 3000 empleados y un datacenter propio desea instalar un Firewall de red. ¿En qué lugar recomendaría su instalación?
a. En la frontera entre internet y la DMZ, cercano al Router principal.
b. Dentro de la red de la empresa, cercano a los servidores más importantes.
c. Dentro de la red de la empresa, cercano a las PCs más importantes.
d. Cercano al switch del centro de cómputos.

2. Se están recibiendo ataques de denegación de servicio fuera del horario laboral y en distintos segmentos de la red interna. ¿Cuál dispositivo de Seguridad en Redes recomendaría implementar?
a. Firewall
b. IPS
c. IDS
d. Router Seguro

3. ¿Cuál es la seguridad Wireless más robusta y confiable?
a. WEP
b. WPA
c. WPA2
d. WEP3

4. Una empresa decide que sus empleados se conecten de manera remota a la red de datos de la compañía y se decidió implementar una VPN. ¿Qué característica principal debe tener?
a.Tener alta velocidad de comunicación
b. Mantener la alta disponibilidad
c. Contar con una comunicación segura en un medio inseguro.
d. Contar con una comunicación insegura en un medio seguro.

5. ¿Cuáles de los siguientes servicios de seguridad son provistos si el emisor encripta los datos con su clave privada?
a. Integridad
b. Confidencialidad
c. Autenticación
d. Corrupción

6. ¿Cuáles de las siguientes es una práctica aceptada para proveer más fortalezas en los servicios de encriptación?
a. Mantener en secreto el algoritmo de hash
b. Usar un diccionario extenso para proveer mayor posibilidades de generación de claves
c. Usar un diccionario pequeño para proveer la posibilidad de elegir una clave compleja
d. Asegurarse de que el texto plano no puede ser conocido por un invitado

7. ¿Cuál de las siguientes no es verdad en la criptografía asimétrica?
a. Provee no repudio y autenticación
b. Mayor escalabilidad que la criptografía simétrica
c. Mejor distribución de la clave que la criptografía simétrica
d. Más rápido que la criptografía simétrica

8. ¿Cuál de los principios de la seguridad sustenta el uso de algoritmos de hash?
a. Integridad
b. Confidencialidad
c. Disponibilidad
d. No repudio

9. ¿Desde qué etapa de un proyecto consideraría involucrar al equipo de Seguridad de Información?
a. Desde la iniciativa
b. Desde el análisis
c. Desde el diseño
d. Desde el desarrollo

10. ¿Cuál es la finalidad del entorno Pre-Productivo?
a. Contar con un entorno para probar antes del pasaje a producción
b. Contar con un entorno para no mover los datos directamente a producción
c. Contar con un entorno lo más similar a producción para hacer pruebas
d. Contar con un entorno para hacer cambios pre-productivos

11. ¿Cuál de las siguientes no es una función del firewall de bases de datos?
a. Auditoría
b. Bloqueo de transacciones
c. Normalización de la base de datos
d. Detección de intrusos a través de firmas

12. Se detecta un ataque de Buffer Overflow es una de las aplicaciones desarrolladas en la empresa que realiza sus propias aplicaciones con comunicación a internet ¿Cuál sería la recomendación para los desarrolladores?
a. Que validen la entrada de datos y las librerías utilizadas
b. Que implementen un entorno de pruebas
c. Que implementen un Firewall
d. Que implementen un IDS

13. Para el siguiente caso: Un empleado denuncia al área de Seguridad de la Información que está ingresando a una página de HomeBanking pero sospecha que la misma es falsa.
a) Enuncie hipótesis de lo ocurrido
b) Enumere en orden de prioridad las acciones que llevaría adelante para evitar que esto se repita



14. La colocación de una alarma es un control:
a. Físico, detectivo y preventivo
b. Técnico, detectivo y preventivo
c. Técnico, detectivo y correctivo
d. Físico, detectivo y correctivo

15. Señale la opción no correcta
a. Al aumentar la sensibilidad de un dispositivo biométrico, aumenta el Error tipo II
b. La firma es algo que uno es
c. El error de tipo II es más grave que el de tipo I.
d. Es posible utilizar una Rainbow Table para crackear una contraseña localmente

16. Se implementa un sw de autenticación que valida no sólo si una contraseña es correcta, sino también si la forma en que se tecleó (velocidad, ritmo)corresponde a la de la persona autorizada. Determine el/los factor/es de dicha autenticación

17. Para ingresar al sistema, Juan debe ingresar su usuario y su contraseña. Se sabe que su rol en el sistema es "ACCOUNTANT"
a. Nombre cuáles son las fases en que se valida cada elemento
b. El modelo de control de acceso es:
a) RBAC
b) DAC
c) MAC
c. ¿Qué medidas tomaría para que el tipo de autenticación sea más fuerte?

18. Señale la opción no correcta
a. El datacenter requiere especiales medidas de protección
b. La seguridad física protege desde el perímetro al interior de una empresa
c. El objetivo fundamental de la seguridad física es proteger la vida humana
d. Ninguna de las anteriores es correcta

19. ¿Cuál de estas no tiene que ver con la alternativas de cómo tratar al riesgo?
a. Reducción
b. Negación
c. Aceptación
d. Eliminación
e. Todas las anteriores
f. Ninguna de las anteriores

20. ¿Cuál de las siguientes etapas no pertenece a la gestión de riesgos?
a. Clasificación de información
b. Identificación y evaluación
c. Análisis de amenazas
d. Análisis de vulnerabilidad
e. Evaluación del riesgo

21. Una empresa cuenta con $50.000 para ejecutar un proyecto para proteger datos altamente confidenciales. ¿Cuáles de los siguientes proyectos tendría prioridad?
a. Backup
b. Plan de recuperación de desastres
c. Encriptación de datos
d. Plan de Continuidad de Negocio

22. ¿Cuál de las siguientes es verdadera para un Hot Site?
a. Lento y costoso
b. Consume pocos recursos de hw
c. No requiere mantenimiento
d. Permite restablecer las operaciones técnicas en pocas horas

23. El centro de cómputos ACME está valuada en $500.000 y se estima que una inundación podría dañar el 30% del mismo. La probabilidad de ocurrencia de la inundación es de 1 vez cada 5 años. ¿Cuáles son los valores del SLE y ALE?
a. SLE = $30.000 y ALE= $150.000
b. SLE = $650.000 y ALE= $130.000
c. SLE = $75.000 y ALE = $15.000
d. SLE = $150.000 y ALE = $30.000
e. Ninguna de las anteriores

24. ¿Cuál de las siguientes es verdadera para un DRP?
a. Contiene al BCP
b. Se centra en IT
c. No requiere documentación escrita
d. Se dispara automáticamente ante ciertos incidentes graves

25. Ordene las etapas de BCP en forma correcta
_ POLÍTICA DE CONTINUIDAD
_ DESARROLLO DEL BCP
_ MANTENIMIENTO
_ IDENTIFICACIÓN DE CONTROLES PREVENTIVOS
_ ANÁLISIS DE IMPACTO EN EL NEGOCIO
_ PRUEBA DEL BCP
_ DESARROLLO DE ESTRATEGIAS DE RECUPERO

26. Análisis de impacto en el negocio
a. Para lograr el éxito de un plan de continuidad se debe pensar en todos los posibles desastres que pudieran ocurrir
b. Para lograr el éxito de un plan de continuidad se debe la potencial pérdida y daño
c. Para lograr el éxito de un plan de continuidad se debe desarrollar alternativas viables en el caso de que estos eventos sucedan
d. Deben plantearse los peores casos, para estar preparados para enfrentar los desastres en su máxima expresión.
e. Todas las anteriores
f. Ninguna de las anteriores

27. ¿Cuál es el opuesto a la confidencialidad, integridad y disponibilidad en la gestión de riesgos?
a. Mal uso, exposición y destrucción.
b. Autorización, no repudio e integridad.
c. Descubrimiento, alteración, y destrucción
d. Autorización, no repudio y destrucción

28. Implantación de políticas de seguridad - unir con flechas

a. Estandares 1. Definen parámetros mínimos para un estándar.
b. Normas 2. Descripción detallada de tareas.
c. Baselines 3. Recomendaciones generales. Colaboran al cumplimiento de objetivos
d. Procedimientos 4. Especifican el uso uniforme de una tecnología.

29. Clasificación de la información. Roles
a. Dueño
b. Custodio
c. Auditor
d. Usuario
e. Todas las anteriores
f. Ninguna de las anteriores

30. Qué entiende por análisis forense?

31. Qué es cadena de custodia?

32. Cuál de los siguientes riesgos tienen relación con la auditoría?
a. Inherentes
b. De detección
c. De control
d. Todas las anteriores
e. Ninguna de las anteriores