Tests de examen de CDGSI ACTUALIZADO SEPT: 2009 TEMA 6 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN 1. CONCEPTOS DE LA SEGURIDAD INFORMÁTICA

Transcripción

1 TEMA 6 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN 1. CONCEPTOS DE LA SEGURIDAD INFORMÁTICA 1.1 Introducción 01 [Sep. 2008] NO es un aspecto que ha contribuido a la complejidad en la seguridad Informática: a) Los aspectos económicos. (pág. 172) b) Las soluciones de movilidad. c) El número de usuarios y su ubicación dispersa. d) La utilización de Internet. Nota: Los aspectos que han contribuido a la complejidad son las soluciones de movilidad, el uso de Internet, la utilización de sistemas distribuidos, la complejidad de los procesos, el número de usuarios y su dispersión y la proliferación de intercambio de archivos. 02 [Feb. 2007] Cuál de los siguientes NO es un requisito básico para la seguridad de los SI? a) Perennidad. b) Reclamación de origen. (pág ) c) Integridad. d) Autenticación. Nota: Los proyectos europeos definen la Seguridad Informática como el conjunto de técnicas, medios y procedimientos que se encaminan a garantizar la disponibilidad o perennidad, la integridad o actualidad, integridad, exactitud y completitud. La confidencialidad y la autenticación de los Sistemas Informáticos. 03 [Feb. 2005] [Feb. 2009] La accesibilidad a un SI sólo para los usuarios autorizados es la: a) Confidencialidad. (pág. 173) b) Autenticación. c) Integridad. d) Disponibilidad. Tema 6, pág.1

2 04 [Sep. 2005] [Feb. 2006] En Seguridad Informática, el acceso sólo para usuarios autorizados se denomina: a) Disponibilidad. b) Integridad. c) Confidencialidad. (pág. 173) d) Autenticación. 05 [Sep. 2005] El sistema de seguridad capaz de asociar un proceso con su fuente de autorización se conoce como: a) Autenticación. b) Reclamación de origen. c) Reclamación de propiedad. d) Responsabilidad. (pág. 173) 06 [Feb. 2005] [Feb. 2006] La característica de seguridad proporcionar estadísticas acerca de entradas, uso de recursos, etc. se conoce como: a) Disponibilidad. b) No repudio. c) Reclamación de origen. d) Auditabilidad. (pág. 173) 07 [Sep. 2005] [Feb. 2006] [Sep. 2006] La característica de un sistema de seguridad de proporcionar estadísticas se conoce como: a) Reclamación de origen. b) Responsabilidad. c) Certificación. d) Auditabilidad. (pág. 173) 08 [Feb. 2009] Cuál de las siguientes NO es una característica principal a garantizar por un sistema de seguridad de un SI? a) Confidencialidad. b) Integridad. c) Auditabilidad. (pág. 173) d) Perennidad. Nota común a 03 a 08: La seguridad de los SI debe garantizar su disponibilidad, integridad, confidencialidad y autenticación; y también, en mayor o menor grado, la responsabilidad, la auditabilidad, el no-repudio, la reclamación de origen, la reclamación de propiedad y la certificación de fechas. Las preguntas corresponden a las definiciones de las respuestas indicadas. Tema 6, pág.2

3 1.2 La seguridad informática y sus componentes 01 [Feb. 2005] [Sep. 2006] Un incendio no intencionado en la sala de ordenadores es: a) Un impacto. b) Un riesgo. c) Una salvaguarda. d) Ninguna de las anteriores. (pág. 174) 02 [Feb. 2005] [Sep. 2005] La medida del daño producido por un incidente de seguridad se denomina: a) Amenaza. b) Riesgo. c) Impacto. (pág. 175) d) Vulnerabilidad. Nota común a 01 y 02: La probabilidad de una amenaza es el riesgo. La materialización de la amenaza es el incidente de seguridad (ejemplo, el incendio) y la valoración económica el impacto. 03 [Feb. 2008] [Sep. 2008] Salvaguarda es... a) Todo dispositivo capaz de reducir el riesgo. (pág. 175) b) La imposibilidad de que se produzca un impacto. c) Una medida del daño no producido. d) Un evento que no desencadena incidentes. 04 [Feb. 2005] Un antivirus es: a) Una salvaguarda preventiva. (pág. 175) b) Una salvaguarda curativa. c) Una salvaguarda protectora. d) Ninguna de ellas. Nota común a 03 a 04 Las salvaguardas pretenden reducir el riesgo. Aunque existen antivirus que pueden corregir los efectos de un virus, el papel principal de un antivirus es detectar la presencia de los virus e impedir que actúen. Por lo tanto al reducir el riesgo es una salvaguarda preventiva. 05 [Sep. 2005] Cuál de las siguientes NO es una relación directa del activo? a) Puede ser componente. b) Puede depender de otro activo. c) Puede tener vulnerabilidades. d) Contribuye al riesgo. (pág. 176) Tema 6, pág.3

4 06 [Dic. 2007] Un activo... a) Puede estar afectado por impactos. (pág. 176) b) Puede ser componente de una amenaza. c) Puede causar impactos. d) Se refiere a la vulnerabilidad. Nota común a 05 a 06: Las relaciones directas de un activo son poder ser componente o dependiente de otro archivo, poder tener vulnerabilidades, poder afectarse por impactos acumulados y poder ser protegido. 07 [Sep. 2005] Cuál de las siguientes NO es una relación directa del impacto? a) Puede causarlo la materialización de una amenaza. b) Debe relacionarse con un activo. c) Contribuye al riesgo. d) Puede estar protegido por una salvaguarda. (pág. 177) 08 [Sep. 2006] En seguridad informática, cuál de las siguientes NO es una relación directa del impacto? a) Debe relacionarse con un activo. b) Contribuye al riesgo. c) Puede relacionarse con un servicio de salvaguarda. (pág. 177) d) Puede causarlo la materialización de una amenaza. Nota común a 07 a 08: El impacto debe relacionarse con un activo, puede ser causado por la materialización de una amenaza, puede ser afectado por una salvaguarda y contribuye al riesgo. 09 [Dic. 2008] Cuál de los siguientes NO es una relación directa de la salvaguarda? a) Está relacionada con un riesgo. b) Puede afectar al impacto de una amenaza. c) Contribuye al riesgo. (pág. 177) d) Protege un activo. Nota: La Salvaguarda está relacionada con un riesgo, puede afectar al impacto de una amenaza, puede afectar a la vulnerabilidad de una amenaza y protege a un activo. 1.3 Aspectos económicos de la seguridad informática 2. LA GESTIÓN DE LA SEGURIDAD INFORMÁTICA 2.1 Métodos y normas Tema 6, pág.4

5 2.2 El análisis y la gestión de riesgos 01 [Sep. 2005] El método de análisis de riesgos procedente del MAP es: a) MAGERIT. (pág. 180) b) MÉTRICA: c) MARION. d) MELISSA. 02 [Feb. 2005] [Sep. 2006] De las siguientes metodologías de análisis de riesgo, cuál es la usada preferentemente por las compañías aseguradoras francesas? a) MAGERIT. b) CRAMM. c) MELISA. d) Ninguna de las anteriores. (pág. 180) 03 [Feb. 2005] [Feb. 2009] El método de análisis de riesgos procedente del entorno militar francés es: a) MAGERIT. b) MARION. c) CRAMM. d) MELISA. (pág. 180) 04 [Feb. 2005] El método de análisis de riesgos CRAMM es de origen: a) Español. b) Inglés. (pág. 180) c) Francés. d) Americano. 05 [Sep. 2007] [Dic. 2007] [Feb. 2008] La metodología de análisis y gestión de riesgos de la Administración Pública británica es la: a) MELISA. b) CRAMM (pág. 180) c) OCTAVE. d) MARION. 06 [Feb. 2007] La metodología de análisis y gestión de riesgos OCTAVE procede del: a) MAP b) CLUSIF. c) Ejército francés. d) SEI. (pág. 181) Tema 6, pág.5

6 Nota común a 01 a 06: Los principales métodos de análisis y gestión de riesgos son MAGERIT (Administración española), MARION (aseguradoras francesas), MELISA (entorno militar francés), CRAMM (administración británica), OCTAVE (Software Engineering Institute) y OSSTMM (ISECOM). 2.3 Las buenas prácticas (la norma 17799) 01 [Dic. 2007] [Sep 2008] El código de buenas prácticas para la gestión de la seguridad informática se describe en la norma: a) ISO b) ISO (pág. 181) c) IS d) ISO Nota: La norma ISO trata de las buenas prácticas para la seguridad de la información. Este año 2008 se han empezado a publicar la serie de normas 2700 que las sustituyen y son certificables. 02 [Feb. 2007] La serie de normas ISO para temas relacionados con la seguridad informática es la serie: a) b) c) (pág. 181) d) Nota: ISO ha reservado la serie para normas relacionadas con la seguridad de la información. 3. LAS SALVAGUARDAS 3.1 Salvaguardas organizativas 01 [Sep. 2006] Las normas de seguridad deben ser: a) No muy detalladas. b) Aprobadas por la dirección. c) Actualizadas. d) Todo lo anterior. (pág. 184) 02 [Dic. 2008] Las normas de seguridad deben de a) Ser muy detalladas. b) Estar publicadas. (pág. 184) c) Aprobadas por la APD. d) Actualizadas muy frecuentemente. Tema 6, pág.6

7 Nota: Las normas de seguridad deben ser no excesivamente detalladas, publicadas y estar disponibles para todas las áreas, aprobadas por la dirección, identificadas, mantenidas y actualizadas. 03 [Sep. 2007] Los procedimientos de seguridad deben de revisarse como máximo... a) Mensualmente. b) Trimestralmente. c) Semestralmente. (pág. 184). d) Anualmente. Nota: Los procedimientos se revisan periódicamente, como máximo, semestralmente para garantizar su exactitud. 3.2 Salvaguardas de seguridad física 01 [Feb. 2006] Cuál de las siguientes NO es una salvaguarda de Seguridad física? a) SAI. b) Mochilas. c) Copias de Seguridad. d) Antivirus. (pág. 186) Nota: Los principales sistemas de seguridad física son el SAI, las copias de seguridad, las tarjetas de seguridad, y mochilas. Los antivirus son programas, por lo que son salvaguardas de seguridad lógica. 3.3 Salvaguardas lógicas 01 [Sep. 2009] En el cifrado one-time pad, la longitud de la clave de cifrado es a) De 64 bits. b) Mayor que la del mensaje. c) Menor que la del mensaje. d) Igual a la del mensaje. (pág. 188) Nota: El cifrado one-time pad se basa en el cifrado de Vernam y es indescifrable 02 [Feb. 2005] De los siguientes criptosistemas, cuál es de clave pública? a) RSA. (pág. 189) b) DES. c) One-time pad. d) Ninguno de ellos. Tema 6, pág.7

8 03 [Feb. 2007] Rivest fue uno de los autores del criptosistema: a) DES. b) RSA. (pág. 189) c) FESTE. d) Tiple DES. 04 [Sep. 2008] Shamir fue uno de lo los autores del criptosistema: a) DES. b) RSA. (pág. 189) c) FESTE. d) Tiple DES. Nota común a 02 a 04: El RSA (Rivest, Shamir y Adleman), a pesar de ser desarrollado en 1978, sigue siendo el algoritmo de clave pública más utilizado en firma digital y certificación. 05 [Sep. 2007] La autoridad de certificación utilizada primordialmente por la banca es: a) ACE. (pág. 191) b) FESTE. c) CERES. d) FNMT. Nota: En España, la autoridad de certificación ACE (Agencia de Certificación Electrónica) es utilizada generalmente por la Banca. 4. LA CONTINUIDAD DEL NEGOCIO 4.1 El plan de contingencias 4.2 Estrategias de respaldo 01 [Sep. 2006] En las aplicaciones críticas, el plan de contingencias debe de estudiar las necesidades en cuanto: a) Criticidad de las funciones. b) Dependencia de otras aplicaciones. c) Documentación. d) Todo lo anterior. (pág. 193) Nota: El plan de contingencia, para las aplicaciones crítica, debe tener en cuenta la criticidad de las funciones, el hardware necesario, el software, las comunicaciones y la dependencia de otras aplicaciones. Tema 6, pág.8

9 02 [Feb. 2006] [Sep. 2009] Cuál de los siguientes NO es un centro de respaldo? a) Sala blanca. b) Sala templada. c) Sala caliente.. d) Sala fría. (pág. 195) 03 [Feb. 2005] En un centro de respaldo tipo warm site, el tiempo de recuperación se mide en: a) Semanas. b) Días. (pág. 195) c) Horas. d) Minutos. 04 [Sep. 2005] El tiempo de recuperación con un centro de respaldo tipo hot site se mide en: a) Horas. (pág. 195) b) Días. c) Minutos. d) Segundos. 05 [Feb. 2007] Qué tipo de centro de respaldo proporciona un tiempo de recuperación de horas? a) Sala blanca. b) Sala caliente. (pág. 195) c) Centro Imagen. d) Sala templada. 06 [Dic. 2007] [Sep. 2008] En qué tipo de centro de respaldo el tiempo de recuperación se mide en horas? a) Sala blanca. b) Sala templada. c) Sala caliente. (pág. 195) d) Ninguna de ellas. Nota común a 02 a 06: Los tiempos de recuperación de las distintas salas, de mayor a menor, son semanas (blanca o cold site), días (templadas o warm site), horas (calientes o hot site) y casi inmediato (imagen o tandem). Tema 6, pág.9

10 5. LA SEGURIDAD EN LAS COMUNICACIONES 5.1 La seguridad en redes 01 [Sep. 2007] [Dic. 2007] [Feb. 2008] Qué tipo de red mantiene un mayor nivel de seguridad? a) WIFI. b) Estrella. (pág. 196) c) Bus. d) Anillo. Nota: Teniendo en cuenta la topología, la red de mayor seguridad es la del tipo estrella, seguida de la bus y de la tipo anillo y, por último, la WIFI. 5.2 El software malicioso 01 [Feb. 2007] Un programa malicioso que conecta automáticamente el modem a un número telefónico es un: a) Dialer. (pág. 200) b) Spyware. c) Phising. d) Keyloggers. Nota: Los dialers son programas que conectan automáticamente el modem a un número telefónico, generalmente de tarificación adicional (los ochocientos en España). 02 [Dic. 2007] [Feb. 2008] Qué tipo de ingeniería social es el que suplanta la apariencia o nombre de la entidad afectada? a) Spam. b) Phising. (pág. 201) c) Pharming. d) Keyloggers. Nota: Los principales virus de ingeniería social son Phising (suplantación de nombre o entidad), Pharming (redireccionamiento de la página web) y Keyloggers (detección de las pulsaciones del teclado). 03 [Sep. 2009] En el año 2005, cuál fue la amenaza de malware más frecuente? a) Gusanos. b) Troyanos. (pág. 201) c) Spyware. d) Virus. Tema 6, pág.10

11 Nota: Según Panda Labs un 42% eran troyanos, un 26% eran boots, un 11% backdoors, un 8% dialers, un 6% gusanos y el resto d otros tipos. Es de destacarf que menos del 1% eran virus. 04 [Feb. 2006] El gusano o worm es conocido también como... a) Caballo. b) Ratón. c) Conejo. (*) d) Ninguno de ellos. Nota: El gusano, worm o conejo sólo trata de reproducirse a sí mismo saturando los recursos del equipo. 05 [Sep. 2005] Los virus que atacan a los disquetes y discos duros haciendo imposible su uso se conocen como virus: a) Residentes. b) De sobreescritura. c) De boot. (*) d) De directorios. Nota: Los virus de boot, como su nombre indica, atacan al boot del disco borrandolo y haciendo imposible su utilización. 06 [Feb. 2006] A quién infectan los virus de macro? a) Archivos de texto. b) Bases de datos. c) Presentaciones. d) A todo lo anterior. (*) Nota: Los virus de macro afectan a todo lo indicado incluyendo programas que permiten realizar algunas acciones de forma automática. 07 [Sep. 2006] Cuál fue el primer virus dañino? a) Viernes 13. b) Jerusalem c) Brain. (*) d) Melissa. Nota: El primer virus maligno, el Brain, aparece en Pakistán en Sobrescribía el sector de arranque de los discos de 5,25 pulgadas, desplazando el original a otra posición Tema 6, pág.11

12 08 [Feb. 2005] El virus Jerusalem apareció en: a) b) c) 1987 (*) d) [Feb. 2006] El virus Viernes 13 apareció en: a) b) (*) c) d) Nota común a 07 a 08: El virus Jerusalem, también conocido como Viernes 13, fue el primer virus residente en memoria que se activaba cuando se alcanzaba dicha fecha, borrando ficheros. 5.3 Reglas de prevención en acceso a Internet 6. LA SEGURIDAD Y LA LEGISLACIÓN 6.1 Protección de datos de carácter personal 01 [Sep. 2006] Según el Reglamento de medidas de seguridad de ficheros, los que contengan datos de antecedentes penales tienen que tener un nivel de seguridad: a) Básico. b) Medio. (pág. 206) c) Alto. d) Especial. 02 [Sep. 2006] Cuál de los siguientes NO es un dato especialmente protegido por la LOPD? a) Religión. b) Raza. c) IRPF. (pág. 206) d) Todos los anteriores son datos especialmente protegidos. 03 [Feb. 2009] Qué nivel de protección requieren los ficheros de datos de infracciones administrativas no penales? a) No están afectados por el Reglamento de Seguridad. b) Bajo. c) Medio. (pág. 206) d) Alto Tema 6, pág.12

13 Nota común a 01 y 03: Los tres niveles de medidas de seguridad son el básico (todos los ficheros con datos de carácter personal), medio (ficheros con antecedentes administrativos o penales, Hacienda Pública y servicios financieros) y alto (ficheros con datos de ideología, religión, origen racial, salud y vida sexual) 6.2 La LSSICE 6.3 Otra legislación relacionada 01 [Sep. 2005] [Sep. 2009] Quien pone en circulación copias de un programa informático pudiendo presumir su naturaleza ilegítima inflinge: a) El Código Penal. b) La Ley de Propiedad Intelectual. (pág. 210) c) La LOPD. d) Ninguna de las anteriores. Nota: El Código Penal castiga las infracciones a la Ley de la Propiedad Intelectual de 1996, que en su Art. 102 a) (Infracción de los derechos), define esa puesta en circulación, aunque sea sin ánimo de lucro como infracción. 02 [Feb. 2006] [Sep. 2008] La firma electrónica está regulada en España por: a) La Ley de Propiedad Intelectual de b) La LORTAD. c) La Ley de Servicios de la Sociedad de la Información. d) Ninguna de las anteriores. (pág. 211) Nota: La firma electrónica se regula en el Real Decreto-Ley 14/1999 de 17 de septiembre. Tema 6, pág.13