Usted debe seleccionar una sola respuesta para cada pregunta y marcarla. Cada respuesta correcta vale 4 puntos. Respuestas malas no quitan puntos. El examen debe ser contestado de manera INDIVIDUAL. No se permite que dos o ms estudiantes entreguen el mismo archivo, ya que eso se considera copia. Deben entregar el cuestionario respondido en medio magntico al Representante del curso hasta el da 3 de febrero a las 12 del da. No se admiten entregas posteriores. El archivo debe tener como nombre el apellido del alumno, en caso de coincidencia de apellidos deben colocar otro apellido, o el nombre de tal manera que se pueda precisar a quin corresponde. El seor Representante conformar un solo archivo comprimido y le enviar por correo electrnico en la tarde del lunes 3 de febrero.
NOMBRE: ____________________________________ FECHA: _______________ Cuestionario 1: Para cada pregunta marque la respuesta que corresponda 1. Cul de las siguientes tcnicas de seguridad es el MEJOR mtodo para autenticar la identidad de un usuario? A. Smart card B. Biomtrica C. Challenge-response token D. ID de usuario y contrasea 2. Cul de los siguientes es el control MS efectivo cuando se otorga acceso temporal a los vendedores? A. El acceso de vendedor corresponde al contrato de nivel de servicio (SLA). B. Las cuentas de usuario se crean con fechas de expiracin y se basan en los servicios prestados. C. El acceso de administrador se provee por un perodo limitado de tiempo. D. las identificaciones de usuario se eliminan cuando el trabajo se ha concluido. 3. Una amenaza a la seguridad de Internet que podra afectar la integridad es: A. el robo de datos del cliente B. la exposicin de informacin de configuracin de red Catherne Pazmo Barca 03-Feb-2014 MEVAST VIII B - CUESTIONARIO DEL TEMA CISA
C. un browser caballo de Troya D. escucha furtiva (eavesdropping) en la red. 4. Cul de los siguientes es MAS crtico para la implementacin exitosa y el mantenimiento de una poltica de seguridad? A. La asimilacin de la estructura y la intencin de una poltica de seguridad escrita por todas las partes apropiadas B. El soporte de la gerencia y la aprobacin para la implementacin y mantenimiento de una poltica de seguridad C. La ejecucin de reglas de seguridad proveyendo acciones punitivas por cualquier violacin de las reglas de seguridad D. La implementacin estricta, el monitoreo y la ejecucin de reglas por el funcionario de seguridad a travs de software de control de acceso. 5. Un Auditor de SI que realiza una revisin de controles de acceso debera estar MENOS preocupado si: A. las pistas de auditora no estuvieran habilitadas. B. los programadores tuvieran acceso al entorno en vivo. C. Los logons de grupo estuvieran siendo utilizados para funciones crticas. D. el mismo usuario pudiera iniciar transacciones y tambin cambiar los parmetros relacionados. 6. Cul de las siguientes tcnicas de prevencin de virus pueden implementarse por medio de hardware? A. Booting remoto B. Escneres heursticos C. Bloqueadores de comportamiento D. Inmunizadores 7. Los cajeros automatizados (ATMs) son una forma especializada de terminal de punto de venta que: A. permite retiro de efectivo y depsitos financieros solamente. B. estn por lo general ubicados en reas populosas para refrenar el robo o el vandalismo. C. utiliza lneas protegidas de telecomunicacin para las transmisiones de datos. D. debe incluir altos niveles de seguridad lgica y fsica. 8. Para prevenir el ingreso no autorizado a los datos mantenidos en un sistema de respuesta de discado rpido, un Auditor de SI debera recomendar: A. que las terminales en lnea sean colocadas en reas restringidas. B. que las terminales en lnea estn equipadas con cerrojos de llave. MEVAST VIII B - CUESTIONARIO DEL TEMA CISA
C. que se requiera tarjetas de identificacin para tener acceso a las terminales en lnea. D. que el acceso en lnea sea terminado despus de tres intentos fallidos. 9. Un sistema de rellamada requiere que un usuario con un ID y una contrasea llame a un servidor remoto a travs de una lnea de discado, luego el servidor se desconecta y: A. Disca en respuesta a la mquina del usuario basado en el ID y contrasea del usuario usando un nmero de telfono de su base de datos. B. Disca en respuesta a la mquina del usuario basado en el ID y contrasea del usuario usando un nmero de telfono provisto por el usuario durante esta conexin. C. Espera un nuevo discado de respuesta de la mquina del usuario para reconfirmacin y luego verifica el ID y contrasea del usuario usando su base de datos. D. Espera un nuevo discado de respuesta de la mquina del usuario para reconfirmacin y luego verifica el ID y contrasea del usuario usando la base de datos del remitente. 10. Cul de los siguientes provee la MAYOR garanta para lograr la autenticidad de un mensaje? A. El cdigo pre-hash se deriva matemticamente del mensaje que est siendo enviado B. El cdigo pre-hash es encriptado usando la llave privada del remitente C. La encripcin/cifra del cdigo pre-hash y el mensaje que usa la llave secreta D. El remitente obtiene la llave pblica del destinatario y verifica la autenticidad de su certificado digital con una autoridad de certificado 11. Una funcin crtica de un firewall es actuar como: A. un router especial que conecta la Internet con un LAN. B. dispositivo para impedir que los usuarios autorizados tengan acceso al LAN. C. servidor usado para conectar los usuarios autorizados con los recursos confiables de red privada. D. servidor proxy para aumentar la velocidad de acceso a los usuarios autorizados. 12. El software antivirus debera ser usado como un: A. control de deteccin. B. control preventivo. C. control correctivo. D. control compensatorio.
13 Cuando la red de una organizacin es conectada a una red externa en un modelo de cliente/servidor de Internet que no est bajo el control de la organizacin, la MEVAST VIII B - CUESTIONARIO DEL TEMA CISA
seguridad se convierte en una preocupacin. Al proveer seguridad adecuada en este ambiente/entorno, cul de los niveles de garanta siguientes es el MENOS importante? A. Autenticacin de servidor y de cliente B. Integridad de datos C. Recuperacin de datos D. Confidencialidad de datos 14. Si fuera inadecuado, cul de los siguientes contribuira MS probablemente a un ataque de negacin de servicio? A. Configuracin del Router y reglas aplicadas B. El diseo de la red interna C. Las actualizaciones al software de sistema de router D. Las tcnicas de prueba y revisin de auditora 15. Un Auditor de SI, para evaluar dispositivos propuestos de control biomtrico revisa las tasas de rechazo falso (FRRs), las tasas de aceptacin falsa (FARs) y las tasas de error igual (ERRs) de tres dispositivos diferentes. El Auditor de SI debera recomendar adquirir el dispositivo que tenga: A. menos ERR. B. ms ERR. C. menos FRR pero ms FAR. D. menos FAR pero ms FRR. 16. El riesgo de ganar acceso no autorizado a travs de ingeniera social puede ser MEJOR resuelto mediante: A. programas de concientizacin/concienciacin en seguridad. B. cifra/encripcin asimtrica. C. sistemas de deteccin de intrusos. D. una zona desmilitarizada. 17. Cuando uno se conecta a un sistema en lnea, cul de los siguientes procesos realizara PRIMERO el sistema? A. Iniciacin B. Verificacin C. Autorizacin D. Autenticacin 18. Quin es principalmente responsable de revisar peridicamente el acceso de los usuarios a los sistemas? MEVAST VIII B - CUESTIONARIO DEL TEMA CISA
A. Los operadores de computadora B. Los administradores de seguridad C. Los propietarios de datos D. Los auditores de SI 19. Cuando se audita la seguridad para un centro de datos, Un Auditor de SI debera buscar la presencia de un regulador de voltaje para asegurar que: A. el hardware est protegido contra las cadas de voltaje. B. la integridad se mantenga si la energa principal es interrumpida. C. la energa inmediata est disponible si la energa principal se perdiera. D. el hardware est protegido contra las fluctuaciones de energa de largo plazo. 20. Cul de las tcnicas siguientes podra captar ilegalmente contraseas de usuarios de red? A. La encripcin/cifra B. Sniffing C. Spoofing D. La destruccin de datos 21. Una sola instruccin firmada digitalmente fue dada a una institucin financiera para acreditar la cuenta de un cliente. La institucin financiera recibi la instruccin tres veces y acredit la cuenta tres veces. Cul de los siguientes sera el control MAS apropiado contra tales crditos mltiples? A. Encriptar el hash de la instruccin de pago con la llave pblica de la institucin financiera B. Estampar un sello de hora a la instruccin y usarlo para verificar que no haya pagos duplicados C. Encriptar el hash de la instruccin de pago con la llave privada del instructor D. Estampar un sello de hora al hash de la instruccin antes de que sta sea firmada digitalmente por el instructor 22. Cul de lo siguiente sera considerado por un auditor de SI como una debilidad cuando realiza una auditora de una organizacin que usa una infraestructura de llave pblica con certificados digitales para sus transacciones de negocio-a- consumidor a travs de la Internet? A. Los clientes estn ampliamente dispersos geogrficamente, pero no las autoridades certificadoras (CA). B. Los clientes pueden hacer sus transacciones desde cualquier computadora/ordenador o dispositivo mvil C. La autoridad certificadora tiene varios subcentros de procesamiento de datos para administrar los certificados. D. La organizacin es la propietaria de la Autoridad Certificadora (CA). MEVAST VIII B - CUESTIONARIO DEL TEMA CISA
23. Cul de las siguientes sera la MAYOR preocupacin para un auditor de SI que revisa la implementacin de un VPN? Las computadoras en la red que estn ubicadas en: A. Las instalaciones de la empresa B. El lugar de respaldo de seguridad C. Las casas de los empleados D. Las oficinas remotas de la empresa 24. Cul de los siguientes procedimientos de auditora sera MENOS probable que un Auditor de SI incluya en una auditora de seguridad? A. Revisar la efectividad y utilizacin de activos. B. Probar para determinar si el acceso a los activos es adecuado. C. Validar las polticas de acceso fsico, ambiental y lgico por perfiles de trabajo. D. Evaluar las salvaguardas de activos y los procedimientos que previenen el acceso no autorizado a los activos. 25. Un auditor de sistemas que trate de determinar si el acceso a la documentacin de programas est restringido a las personas autorizadas, LO MS PROBABLE es que: A. evale los planes de retencin de registros para almacenarlos fuera de la facilidad. B. entreviste a los programas para averiguar los procedimientos que se estn siguiendo corrientemente. C. compare los registros de utilizacin para programacin de operaciones. D. revise los registros de acceso de archivos de datos para probar la funcin de biblioteca.