Cuestionario de Ciberseguridad y Seguridad de la Información
1. La UE ha fijado una estrategia de ciberseguridad fundamentada en una serie de prioridades. ¿Cuál de las siguientes NO es una de estas prioridades?
a) El uso de drones en el ámbito de la Política Común de Seguridad y Defensa.
b) La ciberresiliencia.
c) La reducción drástica de la delincuencia en la red.
d) El desarrollo de una política de ciberdefensa y de las capacidades correspondientes en el ámbito de la Política Común de Seguridad y Defensa.
2. Sobre la política de seguridad, ¿cuál de las siguientes afirmaciones es cierta?
a) Tiene que ser parecida en todas las organizaciones.
b) Debe ser revisada periódicamente.
c) Dada la materia, debe estar redactada en un lenguaje tecnológico.
d) Debe contener el detalle para que no queden dudas.
3. ¿Cuál de los siguientes NO es una de las posibles causas de un evento de seguridad de la información?
a) Desastre natural.
b) Cambio legislativo.
c) Conducta maliciosa.
d) Error o negligencia.
4. ¿Cuál de las siguientes NO es una línea de acción de la Estrategia de Ciberseguridad Nacional Española?
a) La capacidad de investigación y persecución del ciberterrorismo y la ciberdelincuencia.
b) Seguridad y resiliencia de las TIC en el sector privado.
c) Capacidad de prevención, detección, respuesta y recuperación ante las ciberamenazas.
d) Garantizar que los Sistemas de Información y Telecomunicaciones que utilizan las Administraciones Públicas poseen el adecuado nivel de ciberseguridad y resiliencia.
5. ¿Cómo se denomina el órgano ministerial encargado del impulso, coordinación y supervisión de todas las actividades que tiene encomendadas la Secretaría de Estado de Seguridad (Ministerio del Interior), en relación con la protección de las Infraestructuras Críticas en el territorio nacional?
a) El Catálogo Nacional de Infraestructuras Estratégicas.
b) ENISA.
c) La Secretaría de Estado de Seguridad.
d) Centro Nacional para la Protección de las Infraestructuras Críticas (CNPIC).
6. Considerando el uso de internet en la vida privada y profesional, ¿cuál de las siguientes afirmaciones es correcta?
a) Ninguna es correcta.
b) El uso de internet en el ámbito privado comporta unos riesgos que siempre serán menores.
c) El comportamiento en redes será el mismo en ambos casos, motivo por el que siempre habrá los mismos riesgos.
d) Las precauciones empleadas en el ámbito privado pueden ser insuficientes en el ámbito profesional a efectos de seguridad y protección de datos.
7. Respecto a la reducción drástica de la delincuencia en la red, ¿cuál de las siguientes afirmaciones es correcta?
a) No se encuentra entre las prioridades de la estrategia de ciberseguridad de la UE.
b) Se puede lograr a través de los comandos operativos de la ENISA.
c) Es una prioridad dentro de la estrategia de ciberseguridad de la UE.
d) Es una prioridad dentro de la conocida como Estrategia Supranacional del Cibercrimen.
8. Según la ISO 27001:2013, los objetivos de seguridad de la información deben:
a) Tener en cuenta los requisitos de seguridad de la información aplicables y los resultados de la apreciación del tratamiento de riesgos.
b) Ser actualizados, según sea apropiado.
c) Ser coherentes con la política de seguridad de la información.
d) Todas las anteriores.
9. ¿Cómo se denomina la Agencia creada por la Unión Europea para la ciberseguridad?
a) European Union Anti-malware Team (EUAMT).
b) European Union Agency for Cybersecurity (ENISA).
c) European Union Cybersecurity Firm (EUCYFI).
d) La UE no ha creado ninguna agencia sobre ciberdelincuencia.
10. Según la ISO 27001:2013, ¿qué sección aborda la protección de la página de inicio web de una empresa?
a) Gestión de comunicaciones y operaciones.
b) Adquisición de sistemas de información, desarrollo y mantenimiento.
c) Control de acceso.
d) Ninguna de las anteriores.
11. Según la ISO 27035, la gestión de incidentes de seguridad de la información se compone de las siguientes fases:
a) Seis: preparación, reconocimiento, examen, respuesta, cierre y aprendizaje.
b) Cinco: preparación, reconocimiento, examen, respuesta y aprendizaje.
c) Cuatro: preparación, reconocimiento, respuesta y aprendizaje.
d) Cuatro: reconocimiento, examen, respuesta y aprendizaje.
12. El documento que describe los objetivos de control y los controles pertinentes y aplicables para el SGSI de una organización se denomina:
a) Política de Seguridad de la Información.
b) Declaración de aplicabilidad.
c) Ninguna.
d) Inventarios de activos.
13. En la fase de respuesta de un incidente, ¿cuál de las siguientes acciones NO se incluye?
a) Aprendizaje derivado del incidente.
b) Definir controles de emergencia.
c) Acciones de respuesta inmediata.
d) Notificación a los interesados.
14. El concepto de «ciberresiliencia» se refiere a:
a) Únicamente a la capacidad de una organización o sistema de resistir a los ataques cibernéticos.
b) Únicamente a la capacidad de una organización o sistema de recuperarse de forma rápida y efectiva tras un ataque cibernético.
c) La capacidad de una organización o sistema de resistir a los ataques cibernéticos y de recuperarse de forma rápida y efectiva.
d) Es una capacidad humana que no aplica en el paradigma de la ciberseguridad.
15. ¿A qué se refiere el paradigma BYOD?
a) A que los empleados de una organización puedan utilizar sus propios dispositivos para tareas profesionales, ya sea en la sede de la empresa o en su domicilio.
b) A que los empleados de una organización puedan utilizar sus propios dispositivos para tareas profesionales exclusivamente cuando se encuentren en la sede de la empresa.
c) Al uso del Big Data en el ámbito de la defensa y la seguridad.
d) A que los empleados de una organización puedan utilizar sus propios dispositivos para tareas profesionales exclusivamente cuando se encuentren en sus domicilios.
16. Dentro de la computación en la nube (cloud computing), ¿en qué categoría de servicio se pueden catalogar los servicios de correo electrónico?
a) Platform as a Service (PaaS).
b) Infrastructure as a Service (IaaS).
c) Software as a Service (SaaS).
d) Cloud as a Service (CaaS).
17. La gestión y respuesta a incidentes:
a) Solo se encuentra en la NIST 800-53.
b) No se encuentra en ninguna de las dos.
c) Solo se encuentra en la ISO 27001.
d) Se encuentra en ambas.
18. Un evento que compromete la seguridad de la información puede afectar a:
a) Disponibilidad, integridad, confidencialidad.
b) Integridad, continuidad de negocio o disponibilidad.
c) Confidencialidad, control de acceso o integridad.
d) Disponibilidad, confidencialidad o análisis de riesgo.
19. El término «ciberseguridad»…
a) Nunca ha llegado a incluir la protección de los servicios esenciales para la sociedad.
b) Se centra, exclusivamente, en la seguridad de la información.
c) Incluye las TIC, la seguridad de la información y la de los servicios esenciales para la sociedad.
d) Siempre ha incluido los mismos servicios y elementos, desde la creación del vocablo en 1963.
20. La Estrategia de Ciberseguridad Nacional (española) es…
a) Todas las respuestas son correctas acerca de la naturaleza de la Estrategia de Ciberseguridad Nacional.
b) Su objetivo es implantar de forma coherente y estructurada acciones de prevención, defensa, detección, respuesta y recuperación frente a las ciberamenazas.
c) Un documento estratégico que sirve de fundamento al Gobierno de España para desarrollar determinadas previsiones de la Estrategia de Seguridad Nacional.
d) Se centra en la protección del ciberespacio.
21. ¿Cuál de las siguientes afirmaciones es cierta?
a) Habitualmente un programador confecciona sus programas en código binario.
b) El código o lenguaje fuente puede ser ejecutado directamente por el ordenador.
c) El código binario de un programa informático (o software) es un conjunto de líneas de texto con los pasos que debe seguir la computadora para ejecutar un programa.
d) Un intérprete va traduciendo el lenguaje fuente siguiendo la secuencia lógica de ejecución del programa.
22. La difusión no consentida de imágenes privadas (obtenidas con el consentimiento de la víctima) se conoce como:
a) Phishing.
b) Revenge porn.
c) Sexting.
d) Hacking.
23. COBIT 5.0 se define como:
a) Un estándar que supone un marco completo que ayuda a las empresas a alcanzar sus objetivos en relación con la seguridad TI.
b) Un estándar que supone un marco completo que ayuda a las empresas a alcanzar sus objetivos en relación al gobierno y la gestión de TI.
c) La quinta versión del antivirus COBIT.
d) Un protocolo de acceso seguro a Internet.
24. Al almacenar información «en la nube», NO es necesario que el usuario:
a) Disponga de gran capacidad de almacenamiento en sus equipos locales.
b) Disponga de conectividad para acceder a ella.
c) Se preocupe por si alguna regulación afecta esta opción de almacenamiento.
d) Se identifique y autentique para acceder a ella.
25. ¿Cuál de las siguientes afirmaciones es verdadera sobre las aplicaciones empresariales?
a) Solo las aplicaciones de ofimática pueden estar ubicadas «en la nube».
b) Una aplicación de planificación de recursos empresariales (ERP) cubre buena parte de la actividad de las áreas funcionales de la empresa.
c) Una aplicación de enseñanza online formará parte del sistema operativo.
d) Una aplicación de gestión de las relaciones con los clientes no puede estar «en la nube».
26. ¿Cuál es el principal y más eficaz método para evitar el conocido como phishing?
a) Un buen antivirus.
b) Un software de monitoreo de red.
c) La concienciación.
d) Herramientas forenses de análisis de datos.
27. ¿A qué se refieren las siglas SGSI en la norma ISO 27001?
a) Al Servicio de Gestión de Seguridad e Incidentes.
b) El concepto SGSI no se encuentra en esta serie de normas.
c) Al Sistema de Gestión de la Seguridad de la Información.
d) Al Software General de los Sistemas de Información.
28. Un dispositivo wearable:
a) Es un dispositivo periférico de una computadora.
b) Es un tipo de malware que ataca a los dispositivos móviles.
c) Es equivalente al concepto de wifi.
d) Es aquel dispositivo que se lleva sobre, debajo o incluido en la ropa.
29. La memoria RAM…
a) Es la Universal Serial Bus o USB.
b) Es la que utilizan los discos compactos.
c) Permite almacenamiento permanente de la información.
d) Almacena información solo mientras el ordenador está encendido.
30. Sobre los sistemas ERP, ¿cuál de las siguientes afirmaciones es correcta?
a) Manejan la producción, logística, distribución, inventario, envíos, facturas y contabilidad de la compañía de forma modular.
b) Todas las opciones son correctas.
c) Son llamados ocasionalmente back office (trastienda) ya que indican que el cliente y el público general no están directamente involucrados.
d) Son sistemas de información empresariales que integran y manejan muchos de los negocios asociados con las operaciones de producción y de los aspectos de distribución de una compañía en la producción de bienes o servicios.
31. El «sabotaje informático» se define como:
a) El delito de manipulación de datos o programas para la obtención de un lucro ilícito.
b) El delito de daños mediante destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos.
c) El delito de acceso sin consentimiento del prestador a servicios de radiodifusión, TV y servicios por vía electrónica.
d) El Código Penal no contempla ningún delito de tales características.
32. Un control correctivo:
a) Detecta el problema antes de que aparezca.
b) Minimiza el impacto de una amenaza.
c) Evita que ocurra un error, omisión o acto malicioso.
d) Intenta predecir los problemas potenciales.
33. ¿Cuál de las siguientes acciones es característica del delito de stalking?
a) Vigilar, perseguir o buscar la cercanía física de la víctima.
b) Establecer o intentar establecer contacto con la víctima a través de terceras personas.
c) Todas las opciones son correctas.
d) Adquirir productos o mercancías, contratar servicios o hacer que terceras personas se pongan en contacto con la víctima, todo ello mediante el uso indebido de sus datos personales.
34. Respecto al ciclo de vida del software, ¿cuál de las siguientes afirmaciones NO es verdadera?
a) El diseño del software se verá afectado por el lenguaje de programación utilizado.
b) Las pruebas del sistema (prueba global) son anteriores a las pruebas unitarias (prueba de integración individual).
c) Los usuarios deberán implicarse activamente en las pruebas del software desarrollado para que cumpla con los requerimientos.
d) La toma de requerimientos (lo que se espera que haga un software) es anterior al diseño.
35. En un proceso de adquisición, desarrollo e implementación de sistemas de información, ¿cuál de las siguientes afirmaciones es correcta?
a) El proceso de adquisición, desarrollo e implementación de sistemas de información depende en exclusiva del director de sistemas o de informática, aunque si este lo cree oportuno, se podría solicitar información al director de seguridad, pero nunca será obligatorio.
b) El director de seguridad debe participar en la adquisición, desarrollo e implementación de sistemas de información evaluando los controles de cumplimiento de las políticas, los estándares y procedimientos de seguridad de la organización.
c) El director de seguridad no se debe implicar, ya que no cuenta con conocimientos informáticos.
d) El director de seguridad debe participar después de que se hayan adquirido, desarrollado e implementado los sistemas.
36. En un procedimiento informático, la «autenticación» se refiere a:
a) Demostrar que alguien es el propietario de una base de datos.
b) Demostrar la identidad de los intervinientes en una transacción electrónica.
37. Para la comisión de un delito online de child grooming, el Código Penal establece que la edad del menor debe ser inferior a:
a) 18 años.
b) 14 años.
c) 16 años.
d) 13 años.
38. Las auditorías de sistemas de información son aquellas que:
a) Evalúan únicamente los firewalls y los antivirus de la organización.
b) Evalúan únicamente la eficacia y la eficiencia de los SI.
c) Evalúan únicamente los niveles de seguridad de la información.
d) Evalúan la eficacia y eficiencia de los SI, así como los niveles de seguridad de la información.
39. Cuando una víctima cree acceder a un sitio web legítimo, pero es redirigida a otro debido a un engaño (mapeo de IP), está siendo víctima de un delito de:
a) Fraude informático, en su modalidad de spoofing.
b) Fraude informático, en su modalidad de phishing.
c) Fraude informático, en su modalidad de pharming.
d) Revelación de secretos.
40. Sobre el paradigma del Big Data, NO es cierto afirmar que:
a) La geolocalización es una de las fuentes de información.
b) Requiere de importante potencia de cálculo.
c) La información tratada es homogénea.
d) Se utiliza tanto en el ámbito privado como en el público.
41. Se considera un ataque contra el derecho a la intimidad:
a) El delito de estafa a través de la manipulación de datos o programas para la obtención de un lucro ilícito.
b) El delito de descubrimiento y revelación de secretos mediante el apoderamiento y difusión de datos reservados registrados en ficheros o soportes informáticos.
c) El delito de daños mediante la destrucción o alteración de datos, programas o documentos electrónicos contenidos en redes o sistemas informáticos.
d) La copia y distribución no autorizada de programas de ordenador y tenencia de medios para suprimir los dispositivos utilizados para proteger dichos programas.
42. ¿En cuál de los siguientes dispositivos su contenido permanece inalterable ante la presencia de campos magnéticos?
a) Un pen drive (lápiz de memoria).
b) Un disco duro externo y un DVD.
c) Un DVD.
d) Un disco duro externo.
43. ¿A cuál de los siguientes dispositivos se aplica la norma ISO 27037:2012?
a) Todas las opciones son correctas.
b) Discos ópticos y magneto-ópticos.
c) Sistemas de navegación móvil.
d) Asistentes digitales personales (PDA).
44. ¿Cuál de los siguientes NO es uno de los servicios básicos de la computación en la nube?
a) Infrastructure as a Service.
b) Security as a Service.
c) Software as a Service.
d) Platform as a Service.
45. ¿Qué tres tipos de controles internos existen para mitigar los riesgos en una organización?
