SIMULACRO PRÁCTICO

1. ¿Cuál de las siguientes opciones puede ofrecer el MEJOR indicador de efectividad de la

estrategia de seguridad?
A. Minimización del riesgo en toda la empresa.
B. La existencia de contramedidas para todas las amenazas conocidas.
C. La formalización de la Política de Seguridad de la Información.
D. El alcance hasta donde se cumplen los objetivos de control.

2. ¿Cuál de las siguientes situaciones inhibiría MÁS la implementación efectiva del gobierno
de la seguridad?
A. La complejidad de la tecnología.
B. Limitaciones presupuestarias.
C. Prioridades del negocio en conflicto.
D. Falta de patrocinio de alto nivel.

3. La gerencia solicita que un gerente de seguridad de la información determine qué

regulaciones relacionadas con la divulgación, los informes y la privacidad son las más
importantes para que sean tratadas con cierta prioridad por la organización. ¿En cuál de
las siguientes opciones debe basarse las recomendaciones para abordar estos
requerimientos legales y regulatorios para que sean MÁS útiles?
A. El alcance de las acciones de reforzamiento de la aplicación de normas.
B. La probabilidad y las consecuencias.
C. Las sanciones por incumplimiento.
D. La cantidad de responsabilidad personal.

4. ¿En cuál de las siguientes opciones debe basarse PRINCIPALMENTE el nivel de clasificación
de un activo?
A. Criticidad y sensibilidad.
B. Probabilidad e impacto.
C. Coste de reemplazo.
D. Vector de amenazas y exposición.

5. ¿Si un incidente de seguridad no es el resultado de una falla de un control, entonces es

MÁS probable que sea el resultado de cuál de las siguientes opciones?
A. La inexistencia de un plan de respuesta a incidentes para este escenario concreto.
B. La ausencia de un control.
C. Un ataque de día cero.
D. Un error de usuario.

1
 SIMULACRO PRÁCTICO

6. Cuando una organización establece una relación con un proveedor de servicios de TI

externo, ¿cuál de las opciones siguientes es uno de los temas MÁS importantes que se
deben incluir en el contrato desde el punto de vista de la seguridad?
A. Cumplimiento de los estándares de seguridad internacionales.
B. Uso de un sistema de autenticación de dos factores.
C. Existencia de un sitio de respaldo alterno completamente equipado (hot site) en caso
de interrupción de las operaciones de negocio.
D. Cumplimiento de los requerimientos de seguridad de la información de la
organización.

7. ¿Cuál de los siguientes sería MÁS efectivo para implementar con éxito políticas restrictivas
de contraseñas?
A. Auditorías regulares de contraseñas.
B. Sistema single sign on.
C. Programa de concienciación de la seguridad.
D. Penalizaciones por incumplimiento.

8. Suponiendo que el valor de los activos de información sea conocido, ¿cuál de las siguientes
opciones le proporciona al gerente de seguridad de la información la base MÁS objetiva
para determinar que el programa de seguridad de la información esté proporcionando
valor?
A. La cantidad de controles.
B. El coste de alcanzar los objetivos de control.
C. La efectividad de los controles.
D. Los resultados de pruebas de los controles.

9. Un proceso de gestión de riesgos es MÁS efectivo para lograr los objetivos de la

organización si:
A. Los propietarios de los activos realizan evaluaciones de riesgos.
B. El registro de riesgos se actualiza periódicamente.
C. Un comité de dirección supervisa el proceso.
D. Las actividades de riesgo se integran en los procesos de negocio.

10. Un análisis de impacto en el negocio es la MEJOR herramienta para determinar:

A. El coste total de propiedad.
B. La prioridad de restauración.
C. La expectativa de pérdidas anuales.
D. El riesgo residual.

2
 SIMULACRO PRÁCTICO

11.Un gerente de SI decidió implementar un sistema de seguridad para monitorizar el acceso

a Internet y prevenir el acceso a diversos sitios. Inmediatamente después de la instalación,
los empleados inundan de quejas a soporte técnico de TI por no poder ejecutar funciones
del negocio en algunos sitios de Internet. Esto es un ejemplo de:
A. Conflictos entre los controles de seguridad y las necesidades de la organización.
B. Protección fuerte de los recursos de información.
C. Implementación de controles apropiados para reducir riesgos.
D. Pruebas de las capacidades de protección de la seguridad de la información.

12. ¿Cuál de las siguientes opciones debe efectuarse PRIMERO tras una alerta de un posible
ataque de denegación de servicio (DoS)?
A. Restaurar servidores desde los medios de respaldo almacenados fuera del
establecimiento.
B. Efectuar una evaluación para determinar el estatus del sistema.
C. Realizar un análisis de impacto de la interrupción.
D. Aislar la subred filtrada.

13. ¿Cuál de las siguientes métricas sería MÁS útil para medir cómo la seguridad de la
información está monitorizando los registros de violaciones?
A. Intentos de penetración investigados.
B. Reportes de registros de violación producidos.
C. Ingresos de registros de violación.
D. Frecuencia de acciones correctivas emprendidas.

14. ¿Quién debería efectuar la valoración de los activos?

A. Los administradores de seguridad.
B. El gerente de seguridad.
C. El comité de dirección de seguridad.
D. Los responsables de los procesos de negocio.

15. Un gerente de seguridad está preparando un informe para obtener el compromiso de la

gerencia ejecutiva para un programa de seguridad. ¿La inclusión de cuál de los siguientes
elementos sería de MÁS valor?
A. Ejemplos de incidentes genuinos en organizaciones similares.
B. Declaración de las buenas prácticas generalmente aceptadas.
C. Asociar amenazas realistas con los objetivos corporativos.
D. Análisis de la exposición tecnológica actual.

3
 SIMULACRO PRÁCTICO

16. ¿Cuál de las siguientes opciones es el indicador clave de riesgo MÁS importante?
A. El porcentaje de usuarios que han sido objeto del plan de concienciación.
B. La cantidad de paquetes rechazados por los cortafuegos (firewall).
C. La cantidad de virus detectados.
D. La relación de informes de TI.

17. La PRIMERA actividad a desempeñar si se atiende a una metodología óptima de gestión

de riesgos sería:
A. Analizar el impacto de las vulnerabilidades.
B. Evaluar la probabilidad de las amenazas.
C. Identificar los activos de información críticos para el negocio.
D. Estimar el daño potencial asociado a la ocurrencia del par amenaza/vulnerabilidad.

18. Una compañía tiene una red de sucursales con servidores locales de archivo/impresión y
correo; cada sucursal contrata individualmente un hot site. ¿Cuál de las siguientes opciones
sería la MAYOR debilidad en la capacidad de recuperación?
A. El uso exclusivo del hot site se limita a seis semanas.
B. El hot site puede tener que ser compartido con otros clientes.
C. El tiempo de declaración determina la prioridad del acceso al sitio.
D. El proveedor brinda servicio a todas las principales compañías del área.

19. ¿Cuál de los siguientes sería el MEJOR indicador de la efectividad del gobierno de la
seguridad de la información dentro de una organización?
A. Los proyectos de seguridad son aprobados en el comité de seguridad.
B. Se brinda capacitación sobre la política de seguridad a todos los gerentes.
C. La capacitación sobre seguridad se encuentra disponible para todos los empleados en
la intranet.
D. El personal de TI está capacitado para probar y aplicar los parches necesarios.

20. Al desarrollar un programa de seguridad de la información, ¿cuál es la fuente de

información MÁS útil para determinar los recursos humanos disponibles?
A. Prueba de competencia.
B. Descripción de cargos.
C. Organigrama.
D. Inventario de habilidades.

21. El análisis de riesgos cuantitativo es MÁS adecuado cuando los resultados de la evaluación:
A. Incluyen las percepciones del cliente.
B. Contienen estimados porcentuales.
C. Carecen de detalles específicos.
D. Contienen información subjetiva.

4
 SIMULACRO PRÁCTICO

22. Durante la revisión de seguridad de los servidores de la organización, se descubrió que un

servidor de archivos que contiene datos de recursos humanos confidenciales estaba
disponible para todos los IDs de los usuarios. ¿Cuál es el PRIMER paso que debe realizar el
gerente de seguridad?
A. Copiar archivos de muestra como evidencia.
B. Suspender los privilegios de acceso a la carpeta que contiene los datos.
C. Reportar esta situación al propietario de los datos.
D. Entrenar al equipo de recursos humanos sobre cómo controlar adecuadamente los
permisos de archivos.

23. ¿Cuál es el elemento contractual MÁS importante cuando se terceriza la administración

de la seguridad?
A. La cláusula de derecho de terminación.
B. Limitaciones de la responsabilidad.
C. El acuerdo de nivel de servicio.
D. La cláusula de penalización financiera.

24. Existe una demora entre la hora en que se publica por primera vez una vulnerabilidad de
la seguridad y la hora de distribución de un parche. ¿Cuál de las siguientes opciones debería
ser la PRIMERA en llevarse a cabo para mitigar el riesgo durante este periodo?
A. Identificar los sistemas vulnerables y aplicar controles compensatorios.
B. Minimizar el uso de los sistemas vulnerables.
C. Comunicar la vulnerabilidad a los usuarios del sistema.
D. Actualizar la base de datos de firmas de los sistemas de detección de intrusos.

25. ¿Cuál de las siguientes opciones debe ser incluida en una buena declaración de privacidad?
A. Una notificación de responsabilidad sobre la precisión de la información.
B. Una notificación de que la información será encriptada.
C. Una declaración sobre lo que hará la compañía con la información que recolecta.
D. Una descripción del proceso de clasificación de la información.

26. El PRINCIPAL inconveniente de la implantación de medidas básicas (baseline) basadas en

referencias sectoriales y buenas prácticas como punto de partida para la gestión de riesgos
es:
A. La posibilidad de que se salvaguarde el negocio frente a amenazas inexistentes.
B. El coste asociado.
C. La exhaustiva personalización de las medidas de seguridad implantadas.
D. El tiempo estimado de adaptación a las buenas prácticas.

5
 SIMULACRO PRÁCTICO

27. ¿De qué manera ayuda el conocimiento del apetito de riesgo a incrementar la efectividad
del control de seguridad?
A. Le muestra a la alta dirección que usted entiende sus necesidades.
B. Proporciona una base para redistribuir los recursos para mitigar los riesgos que
superan el apetito de riesgo.
C. Requiere la monitorización continua porque el entorno de riesgo completo cambia
constantemente.
D. Facilita la comunicación con la gerencia sobre la importancia de la seguridad.

28. ¿Cuál sería una de las MEJORES MÉTRICAS que un gerente de seguridad de la información
puede utilizar para evaluar de manera efectiva los resultados de un programa de
seguridad?
A. El número de controles implantados.
B. El porcentaje de los objetivos de control alcanzados.
C. El porcentaje de cumplimiento con las políticas de seguridad.
D. La reducción del número de incidentes de seguridad reportados.

29. ¿Cuál de los siguientes es el uso MÁS apropiado del análisis de brecha?
A. Evaluar un análisis de impacto en el negocio.
B. Desarrollar un cuadro de mando (balanced scorecard) del negocio.
C. Demostrar la relación entre los controles.
D. Medir el estado actual frente al estado futuro deseado.

30. ¿Cuál de las siguientes acciones se debe emprender cuando una compañía de negocio en
línea descubre un ataque de malware en curso?
A. Cerrar todos los puntos de acceso a la red.
B. Volcar todos los logs de eventos en medios removibles.
C. Aislar el segmento de red afectado.
D. Habilitar el registro de logs en todos los eventos.

31. Para lograr la alineación estratégica efectiva de las iniciativas de seguridad de la

información, es importante que:
A. El liderazgo del comité de dirección rote entre los miembros.
B. Las unidades organizativas logren un consenso.
C. La estrategia de negocio sea modificada periódicamente.
D. Los procedimientos y los estándares sean aprobados por todos los jefes de unidades
organizativas.

6
 SIMULACRO PRÁCTICO

32. ¿Cuál de los siguientes describe MEJOR la probabilidad de que ocurra un ataque exitoso?
A. El valor del activo es alto y el nivel de protección también.
B. El nivel de protección es bajo y el valor del activo es alto.
C. La capacidad de los potenciales atacantes es baja y el valor del activo también.
D. La frecuencia de los ataques es alta y la protección también.

33. ¿Cuál de los siguientes NO formaría parte de una política de seguridad?

A. Identificar los recursos de los negocios críticos.
B. Identificar el tipo de cortafuegos (firewalls) que deben usarse para la seguridad
perimetral.
C. Definir roles en la organización.
D. Determinar las funciones de cada rol.

34. Una unidad de negocio desea poner en producción una aplicación que no cumple alguna
norma de seguridad vigente. Este despliegue supondría grandes ventajas desde el punto
de vista del negocio, según su responsable. ¿Qué acción inmediata debe realizar el gerente
de seguridad?
A. Obligar el cumplimiento de la norma.
B. Modificar la norma para permitir el despliegue.
C. Realizar un análisis para cuantificar el riesgo de la puesta en producción.
D. Instalar la aplicación en real a modo de prueba y durante 90 días hacer un
seguimiento intensivo.

35. En el contexto de los procesos de identificación, análisis y mitigación de riesgos se puede

afirmar que:
A. Su integración con los procesos de gestión de cambios existentes en la organización
dependerá de los objetivos de seguridad formalizados por la dirección.
B. Es preferible que sean procesos totalmente independientes, no integrándose con
ningún otro proceso de soporte o de negocio existente en la organización, alcanzándose,
de esta forma, la máxima objetividad posible.
C. Deberían encontrarse integrados con los procesos de gestión de cambios con el
objeto de analizar el impacto que los cambios a realizar tienen sobre el entorno de
seguridad existente.
D. Deberían encontrarse integrados con los procesos de gestión de cambios con el
objeto de que el responsable de los mismos pueda evitar la incorporación de cambios
que pongan en peligro el entorno de seguridad existente actualmente.

7
 SIMULACRO PRÁCTICO

36. ¿Cuál de los siguientes es el PRIMER paso después de que el sistema de detección de
intrusos envía una alerta sobre un posible ataque?
A. Evaluar el tipo y gravedad del ataque.
B. Determinar si se trata de un incidente real.
C. Contener los daños para minimizar el riesgo.
D. Minimizar la interrupción de los recursos de información.

37. ¿Cuál de las siguientes opciones se debe evaluar después de que se haya determinado la
probabilidad de una pérdida?
A. La magnitud del impacto.
B. La tolerancia al riesgo.
C. El coste de reemplazo del activo.
D. El valor contable de los activos.

38. El enfoque MÁS oportuno y eficaz para detectar violaciones de seguridad no técnicas en
una organización es:
A. El desarrollo de los canales de comunicación en toda la organización.
B. Las auditorías externas periódicas de registros de informes de incidentes.
C. Un sistema automático de monitorización del cumplimiento de políticas.
D. La formalización de la política de seguridad por parte de la dirección.

39. En relación con la implantación de buenas prácticas en materia de seguridad de la

información se puede afirmar que:
A. La elección de la misma está condicionada por los requisitos tecnológicos.
B. Existe la posibilidad de que determinados controles de seguridad no sean de
aplicación para la consecución de los objetivos de seguridad establecidos por la
organización.
C. Sería suficiente con aplicar los controles de seguridad recogidos en dichas prácticas
con el objeto de garantizar la efectividad y eficiencia en términos de seguridad.
D. La elección de la misma depende del estado de madurez del entorno de seguridad.

40. ¿En qué punto del proceso de la gestión de riesgos se determina el riesgo residual?
A. Al evaluar los resultados de la aplicación de controles o contramedidas nuevas o
existentes.
B. Al identificar y clasificar los activos o recursos de información que necesitan
protección.
C. Al evaluar las amenazas y las consecuencias de una brecha de seguridad.
D. Al formalizar el apetito de riesgo con los responsables de los procesos de negocio.

8
 SIMULACRO PRÁCTICO

41.¿Cuál de las siguientes opciones deben ser revisadas para garantizar que los controles de
seguridad sean efectivos?
A. Políticas de evaluación del riesgo.
B. Retorno de la inversión en seguridad.
C. Métricas de seguridad.
D. Derechos de acceso de usuario.

42. Los controles correctivos se implementan con el objeto de:

A. Reducir el impacto provocado por la materialización de la amenaza.
B. Reducir la probabilidad de materialización de la amenaza.
C. Eliminar la situación de riesgo que pudiera presentarse alcanzando el estado existente
con carácter previo a la materialización de la amenaza.
D. Recuperar el valor de los activos frente a la materialización de la amenaza.

43. ¿Qué persona o grupo debería dar la aprobación final a la política de seguridad de la
información de la organización?
A. Gerentes de unidades de negocio previa formalización de consenso.
B. Director de seguridad de la información.
C. Alta dirección.
D. Director de sistemas de información en el caso de que el director de seguridad reporte
jerárquica a esta función.

44. En el ciclo de vida asociado a la definición y puesta en marcha de un Plan de Continuidad

de Negocio, ¿en cuál de las siguientes fases se requiere una mayor participación del
usuario?
A. Pruebas del BCP.
B. Análisis BIA.
C. Definición de la estrategia para el BCP.
D. Documentación del BCP.

45. ¿Cuál de los siguientes debe ser el PRIMER paso para desarrollar un plan de seguridad de
la información?
A. Realizar una evaluación técnica de vulnerabilidades.
B. Analizar la estrategia de negocio actual.
C. Realizar un análisis de impacto en el negocio.
D. Evaluar los niveles actuales de concienciación en seguridad.

9
 SIMULACRO PRÁCTICO

46.La política de seguridad de la información de una organización requiere que toda la

información confidencial debe estar restringida mientras se comunica a entidades
externas. Una agencia reguladora insistió en que debe enviarse un informe de
cumplimiento sin encriptación. El gerente de seguridad de la información debería:
A. Extender el programa de concienciación de seguridad de la información para incluir a
los empleados de la autoridad reguladora.
B. Enviar el informe sin encriptar a la autoridad reguladora.
C. Iniciar un proceso de excepción para enviar el informe sin encriptar.
D. Rehusar a enviar el informe sin encriptación.

47. Una política exhaustiva y efectiva de correo electrónico debería detallar:

A. Mecanismos de recuperación.
B. Mecanismos de reconstrucción.
C. Mecanismos de reutilización.
D. Periodos de retención.

48. La evaluación de riesgos de TI se logra MEJOR:

A. Revisando las debilidades de control de TI identificadas en los informes de auditoría.
B. Usando la experiencia pasada real de pérdida de la firma para determinar la
exposición corriente.
C. Revisando las estadísticas de pérdidas publicadas de organizaciones comparables.
D. Usando las amenazas asociadas con los activos existentes de TI.

49. ¿Cuál de las siguientes es la consideración MÁS importante para una organización en su
interacción con los medios de comunicación durante un desastre?
A. Comunicar mensajes redactados especialmente por medio de una persona
autorizada.
B. Abstenerse de hacer comentarios hasta que se complete la recuperación.
C. Instar a los medios de comunicación a que se pongan en contacto con las autoridades
para obtener la información pertinente.
D. Reportar las pérdidas y la estrategia de recuperación a los medios de comunicación.

50. Cuando se usa encriptación de llave pública para asegurar datos que están siendo
transmitidos a través de una red:
A. Tanto la red usada para encriptar como para desencriptar los datos son públicas.
B. La llave usada para encriptar es privada, pero la llave usada para desencriptar es
pública.
C. La lleva usada para encriptar es pública, pero la llave usada para desencriptar es
privada.
D. Tanto la llave usada para encriptar como para desencriptar los datos son privadas.

10
 SIMULACRO PRÁCTICO

51.¿Cuál de las siguientes opciones se debe determinar PRIMERO al establecer un programa

de continuidad de negocio?
A. El coste de reconstruir las instalaciones de procesamiento de información.
B. El coste incremental diario de la falta de disponibilidad de sistemas.
C. Ubicación y coste de las instalaciones externas de recuperación.
D. Composición y misión de los equipos individuales de recuperación.

52. Reducir la exposición de un activo crítico es una medida de mitigación efectiva porque
reduce:
A. El impacto de un compromiso.
B. La probabilidad de materialización de amenazas.
C. La vulnerabilidad del activo.
D. El tiempo que se necesita para la recuperación.

53. Después de realizar el análisis de impacto del negocio (BIA), ¿cuál sería el siguiente paso
en el proceso de planificación de la continuidad de negocio?
A. Probar y mantener el plan.
B. Definir la estrategia de recuperación.
C. Desarrollar un plan específico.
D. Implantar el plan.

54. Después de una interrupción de un servicio crítico del sistema, el equipo de respuesta a
incidentes considera que se necesita activar el sitio de recuperación seguro. Incluso tras
descubrir que la velocidad de procesamiento es la mitad que la del sitio primario, el equipo
notifica a la gerencia que se ha restaurado el sistema crítico. Esto es MÁS probable porque
se ha logrado:
A. El objetivo de punto de recuperación.
B. El objetivo de aceptación del riesgo.
C. El objetivo de entrega del servicio.
D. El objetivo de tiempo de respuesta a incidentes.

55. El propósito PRINCIPAL de probar periódicamente las instalaciones de procesamiento de

respaldo fuera del sitio es:
A. Asegurar la integridad de los datos en la base de datos.
B. Eliminar la necesidad de desarrollar planes detallados de contingencia.
C. Asegurar que la documentación del programa y de sistemas permanezca actualizada.
D. Asegurar la compatibilidad continuada de las instalaciones de contingencia.

11
 SIMULACRO PRÁCTICO

56.Un nuevo virus de correo electrónico que usa un adjunto disfrazado como un archivo de
fotografía se está expandiendo rápidamente por Internet. ¿Cuál de las siguientes opciones
se debe realizar PRIMERO en respuesta a esta amenaza?
A. Poner en cuarentena todos los archivos de fotografía almacenados en los servidores
de ficheros.
B. Bloquear todos los emails que contengan adjuntos de archivos de fotografías.
C. Poner en cuarentena todos los servidores de correo conectados a Internet.
D. Bloquear el correo entrante de Internet, pero permitir el correo saliente.

57. La organización ha decidido externalizar la mayor parte del departamento de TI con un

proveedor que tiene servidores en un país extranjero. De las siguientes, ¿cuál es la
consideración de seguridad MÁS crítica?
A. La posibilidad de que no se exija el cumplimiento de las leyes y regulaciones del país
de origen en el país extranjero.
B. La posibilidad del retraso de la notificación de una violación a la seguridad debido a
la diferencia horaria.
C. Se deben instalar otros sensores para la detección de intrusos en la red, lo que genera
un coste adicional.
D. La compañía podría perder el control físico sobre el servidor y no ser capaz de
supervisar la estructura física de la seguridad de los servidores.

58. El compromiso y soporte de la alta dirección hacia la seguridad de la información se puede

obtener MEJOR a través de presentaciones que:
A. Usen ejemplos ilustrativos de ataques exitosos.
B. Expliquen el riesgo técnico para la organización.
C. Evalúen la organización comparándola contra buenas prácticas de seguridad.
D. Vinculen los riesgos de seguridad con los objetivos clave del negocio.

59. ¿Cuál de las siguientes recomendaciones es la MEJOR para promover una cultura de
gobierno de la seguridad de la información positiva dentro de una organización?
A. Fuerte supervisión pro parte del comité de auditoría.
B. Alta cualificación del gerente de seguridad de la información.
C. Colaboración en todas las líneas del negocio.
D. Calificación positiva por parte de analistas de valores.

60. Enviar un mensaje y un hash de mensaje encriptado por la llave privada del remitente
asegurará
A. Autenticidad y privacidad.
B. Integridad y privacidad.
C. Privacidad y no rechazo.
D. Autenticidad e integridad.

12
 SIMULACRO PRÁCTICO

61.Después de obtener el compromiso de la alta dirección, ¿cuál de las siguientes opciones se

debe completar A CONTINUACIÓN cuando se establece un programa de seguridad de la
información?
A. Definir métricas de seguridad.
B. Realizar una evaluación del riesgo.
C. Realizar un análisis de brechas.
D. Adquirir herramientas de seguridad.

62. Una organización ha implantado un plan de recuperación frente a desastres. ¿Cuál de los
pasos siguientes debe ser llevado a cabo DESPUÉS?
A. Obtener el patrocinio de la alta gerencia.
B. Identificar las necesidades del negocio.
C. Realizar una prueba de restauración del sistema.
D. Realizar una prueba de papel.

63. Asumiendo que todas las opciones sean técnicamente factibles, ¿cuál de los siguientes es
el enfoque MÁS efectivo para que el gerente de seguridad de la información aborde la
exposición excesiva de un servidor crítico de cara al cliente?
A. Desarrollar un plan de respuesta a incidentes.
B. Reducir la superficie de ataque.
C. Iniciar la compartimentalización.
D. Implementar controles compensatorios.

64. El MEJOR enfoque para desarrollar un programa de seguridad de la información es utilizar:

A. Un proceso.
B. Un marco de referencia.
C. Un modelo.
D. Una directriz.

65. ¿Cuál de lo siguiente es MÁS importante para el éxito de un programa de seguridad de la

información?
A. Capacitación en la concienciación de la seguridad.
B. Metas y objetivos alcanzables.
C. El patrocinio de la alta dirección.
D. Presupuesto de inicio y contratación de personal adecuado.

13
 SIMULACRO PRÁCTICO

66.Cuando se lleva a cabo un ataque de penetración de la red interna de una organización,

¿cuál de los siguientes métodos permitiría MEJOR que el que realiza el ataque permanezca
sin ser detectado?
A. Usar la dirección IP aceptada por la organización.
B. Llevar a cabo los ataques durante las horas nocturnas cuando nadie esté conectado.
C. Pausar el escaneo cada pocos minutos para permitir que se vuelvan a configurar los
umbrales.
D. Usar múltiples herramientas ya que cada una de ellas tiene características distintas.

67. Después de instalar una red, una organización instaló una herramienta de estudio de la
vulnerabilidad o escaneo de seguridad para identificar posibles debilidades. ¿cuál es el
riesgo MÁS serio asociado con dichas herramientas?
A. Reporte negativo falso.
B. Reporte diferencial.
C. Reporte positivo falso.
D. Reporte con menos detalle.

68. ¿Cuál de los siguientes es un ejemplo del principio de defensa exhaustiva de la seguridad?
A. Usar dos firewalls de diferentes proveedores para verificar consecutivamente el
tráfico de red entrante.
B. No tener signos en la parte externa de un edificio sobre la ubicación del centro de
procesamiento de datos.
C. Usar dos firewalls en paralelo para verificar diferentes tipos de tráfico entrante.
D. Usar un firewall así como también controles de acceso lógico en los anfitriones (hosts)
para controlar el tráfico entrante.

69. ¿Cuál de las siguientes influencias externas o internas a una organización es la MÁS difícil
de estimar?
A. Estado de vulnerabilidades de los sistemas internos.
B. Requerimientos de cumplimiento.
C. Gastos de externalización.
D. Panorama de amenazas.

70. El PRIMER paso para crear una cultura interna que abarque la seguridad de la información
es:
A. Implementar controles más robustos.
B. Realizar acciones de concienciación de forma periódica.
C. Monitorizar activamente las operaciones.
D. Obtener el consentimiento de la gerencia.

14
 SIMULACRO PRÁCTICO

71. La finalidad PRINCIPAL de utilizar personal de terceros para que lleven a cabo las revisiones
posteriores a los incidentes de seguridad de la información es:
A. Permitir una revisión independiente y objetiva de la causa raíz de los incidentes.
B. Obtener mayores garantías de éxito.
C. Identificar las lecciones aprendidas para mejorar el proceso de gestión de seguridad
de la información.
D. Obtener una mayor aceptación para el programa de seguridad de la información.

72. Un uso eficiente de PKI debe cifrar:

A. El mensaje entero.
B. La clave simétrica de sesión.
C. La clave privada.
D. La clave pública.

73. En el proceso de implantación de un nuevo sistema de correo electrónico, un gerente de

seguridad de la información desea garantizar la confidencialidad de los mensajes durante
el tránsito. ¿Cuál de las siguientes opciones es el método MÁS adecuado para garantizar
esta dimensión?
A. Cifrado.
B. Autenticación fuerte.
C. Firma digital.
D. Algoritmos de hashing.

74. Un gerente de seguridad de la información precisa implantar un sistema SIEM que no se

ha sido dimensionado en el presupuesto inicial. ¿Cuál de las siguientes opciones es MÁS
probable que persuada a la gerencia sobre esta necesidad?
A. Una evaluación de riesgo exhaustiva
B. Una evaluación de impacto en toda la empresa.
C. Un caso de negocio bien desarrollado.
D. Calcular el valor presente neto de futuros ahorros.

75. Los procedimientos de administración e seguridad requieren acceso de lectura solamente

para:
A. Las tablas de control de acceso.
B. Los logs de autenticación y actividad.
C. Las opciones de conexión (logging).
D. Los perfiles de usuario.

15