Ejercicios de test - seguridad y auditoria

Oposiciones TIC. Ejercicios para la preparación del exámen de test de las

Oposiciones TIC.

PREGUNTAS SOBRE SEGURIDAD Y AUDITORÍA

1) Los ordenadores incluyen múltiples sistemas de seguridad que aseguran la confidencialidad de la información. Entre los más extendidos se encuentran los siguientes; ¿cuál de ellos no es un sistema de seguridad?:

a) Contraseña de arranque del ordenador.

b) Bloqueo físico del teclado bien por pulsación o por detección de un periodo de inactividad.

c) Salvapantallas.

d) Arranque del ordenador con bloqueo automático del teclado para servidores de red de área local.

2) SSL son las iniciales de Secure Socket Layer, S-HTTP son las siglas de Secure HyperText Transfer Protocol, protocolos para la comunicación segura entre dos ordenadores normalmente un cliente y un servidor y su objetivo es similar, pero:

a) SSL es más amplio que S-HTTP ya que puede ser utilizado como un intermediario entre el TCP/ IP y cualquier otro protocolo (por ejemplo, el HTTP) para añadir seguridad a cualquier tipo de comunicación entre un cliente y un servidor.

b) SSL es menos amplio que S-HTTP ya que es una parte de este que puede ser utilizada para añadir seguridad a cualquier tipo de comunicación http entre un cliente y un servidor.

c) S-HTTP sustituye al protocolo HTTP, aunque el cliente no esté preparado para utilizar ese nivel de seguridad, lo que no se puede conseguir con SSL, que necesita cliente y servidor preparados para utilizar ese nivel de seguridad.

d) SSL sustituye al protocolo HTTP, aunque el cliente no esté preparado para utilizar ese nivel de seguridad, lo que no se puede conseguir con S-HTTP, que necesita cliente y servidor preparados para utilizar ese nivel de seguridad.

3) Indique cuál de los siguientes mecanismos NO incluye cifrado

a) SSL

b) IPSec

c) NAT

4) En el ámbito de la seguridad en Internet, el protocolo que opera a nivel de http pero que no resuelve problemas de seguridad como ftp y telnet, es:

a) SSL.

b) MD-5.

http://www.oposicionestic.es/


Oposiciones TIC.

c) S-http.

d) PGP.

5) En el ámbito de la seguridad informática, la condición que garantiza que la información es creada, modificada y borrada exclusivamente por el personal autorizado, se denomina:

a) Disponibilidad.

b) Autenticación.

c) Confidencialidad.

d) Integridad.

6) ¿Cómo se denomina la tecnología en la que se basan los Sistemas de Alimentación Ininterrumpida que entran en funcionamiento sólo cuando existe un corte de suministro o una caída/bajada de tensión; en los que la carga, en funcionamiento normal, recibe la alimentación directamente de la red eléctrica, incluyen un regulador que compensa posibles subidas y bajadas de tensión sin recurrir a las baterías y disponen de un microprocesador electrónico que controla el SAI y el estabilizador de voltaje?:

a) Standby.

b) Línea Interactiva.

c) Doble conversión.

d) By-pass automático.

7) La seguridad informática versa sobre...

a) Disponibilidad, integridad y confidencialidad.

b) integridad, disponibilidad y seguridad de los equipos.

c) solo lo definido en la LOPD

d) a y b son ciertas

8) Como medida de seguridad, las salvaguardas garantizan...

a) disponibilidad de la información

b) integridad

c) a y b son falsas

d) a y b son ciertas.

9) Como medida de seguridad la redundancia garantiza...



Oposiciones TIC.

a) Disponibilidad

b) Integridad

c) a y b son falsas

d) a y b son ciertas.

10) La eliminación de puntos únicos de fallo se obtiene mediante...

a) redundancia de dispositivos críticos

b) salvaguarda de datos

c) utilización de sistemas de alta disponibilidad en almacenamiento (raid)

d) utilización de sistemas de alimentación ininterrumpida (S.A.I)

11) Un cortafuegos es:

a) Un software que impide los accesos indeseables a la intranet desde el exterior.

b) Un software cuya función principal es limitar el uso excesivo de Internet.

c) Un motor antivirus dedicado a impedir los virus que llegan de Internet.

d) Un elemento (que puede ser hardware o un software) cuya función principal es limitar el acceso de los usuarios a determinadas páginas de Internet.

12) Hablando de seguridad informática ¿Cuál de las siguientes afirmaciones es cierta?:

a) Amenaza se define como ``los eventos que pueden desencadenar un incidente en la organización produciendo daños materiales o pérdidas inmateriales en sus activos'”

b) Impacto se define como ``daño producido a la organización por un posible incidente''.

c) Riesgo se define como ``posibilidad de que se produzca un impacto dado en la organización''.

d) Las tres afirmaciones son ciertas.

13) ¿Cuál de los siguientes sistemas de seguridad no es recomendable instalar en un CPD donde se encuentren localizados nuestros servidores, unidades de almacenamiento de datos y electrónica activa de red?: a) Detectores de humo para prevenir un posible incendio.

b) Sistema de aspersores de agua para la extinción de incendios.

c) Detectores de humedad en el suelo para prevenir una posible inundación.

d) Cámara de vigilancia para detectar el acceso de posibles intrusos.



Oposiciones TIC.

14) El conjunto de procedimientos alternativos a la operación normal de una organización cuya finalidad es permitir el funcionamiento de ésta cuando ocurre una interrupción debida a algún incidente interno o ajeno se denomina;

a) análisis de riesgo

b) Plan de contingencia

c) Plan de auditoría

15) El efecto 2000 puso de manifiesto el alto riesgo de que los sistemas informatizados fallaran debido a varias causas, entre ellas:

a) diseño y funcionamiento de registros binarios de la UAL de la CPU, al operar con más ceros de los habituales en el campo fecha.

b) errores en la ordenación de registros de datos al estar el ejercicio identificado por solamente dos posiciones.

c) ambas son correctas.

16) Si colocamos un sistema de vigilancia en la puerta exterior de la sala de ordenadores del CPD descrito, suponiendo que ocupamos el ancho de banda de la cinta en su totalidad con los algoritmos de prioridad adecuados y que las cintas se cambian cada 78 horas, para poder cubrir un fin de semana completo, ¿de qué duración estándar comercial serán éstas? a) 1 hora.

b) 4 horas.

c) 39 horas.

d) 78 horas.

17) El CPD del IFAPA utiliza como sistema de backup una Librería de Cintas autocargables, con capacidad para 40 cintas. El dispositivo utilizado es el cartucho o cinta LTO. El Plan de Salvaguardia es el siguiente: hay tres conjuntos de datos que se separan en tres conjuntos de cintas, uno para base de datos, otro para copias de datos de los repositorios de los servidores windows2000, y otro para sistemas unix, linux. El número de cintas necesarios para cada uno de estos conjuntos es actualmente de 4 cintas, 4, y 2 respectivamente. El proceso de copia se arranca automáticamente a las 22,00h de cada jornada. Los juegos de cintas resultantes de cada día se reutilizan a la semana siguiente, salvo el que se realiza el último viernes de cada mes, que se almacena como histórico y no se reutilizará más. Considerando que el crecimiento neto de datos del organismo es de un 10% anual, y que se dispone en este momento de un número de cintas de 50 unidades en total en toda la instalación, ¿qué lote de entre los siguientes considera mínimo necesario adquirir, para tener acopio suficiente para 12



Oposiciones TIC.

meses más a partir de este momento?. NOTA: La librería de cintas debe estar cargada al 100%. a) 100.

b) 150.

c) 200.

d) 300.

18) En el proceso anterior, para minimizar el impacto del backup sobre el proceso on-line, antes de iniciar la escritura en la Librería de Cintas se realiza un copia previa de los datos a disco, y posteriormente, se inicia la copia desde los discos a las cintas. ¿Qué condición debe cumplirse obligatoriamente según la LOPD para que esto sea correcto? a) Que las copias sean automáticas, sin intervención del operador.

b) Que los fichero en disco estén declarados en la Agencia de Protección de Datos.

c) Que las copias se realicen con el sistema operativo y no con ningún otro producto adicional que pudiera enmascararlas.

d) Que las copias sean borradas después de usarlas en el paso siguiente de la cadena establecida con éxito.

19) En los casos de actualización de sistemas tanto físicos como lógicos, ¿qué medidas se deben tomar para garantizar la recuperación de los datos de los sistemas antiguos, si estamos tilizando para las copias de transición un producto contratado exclusivamente para ello? a) El sistema nuevo debe garantizar la compatibilidad lógica con el anterior.

b) El sistema físico de almacenamiento debe ser compatible físicamente con el nuevo.

c) El producto utilizado para las copias debe correr también en el nuevo sistema que además admitirá los mismo soportes físicos.

d) Depende del sistema antiguo que en la ultima copia deberá preparar las cintas para ser leídas por el nuevo.

20) ¿Cuáles son los sistemas críticos en caso de catástrofes y a cual se debe dirigir mayor atención en pos de la seguridad? a) Tanto los sistemas físicos como los sistemas lógicos.

b) Los sistemas y las comunicaciones con el exterior.

c) Especialmente debemos atender los sistemas de seguridad contra incendios y corte de fluido eléctrico.



Oposiciones TIC.

d) Los datos ya que sin ellos será imposible el restablecimiento de las medidas de recuperación.

21) Nos informan que el CPD de una Delegación Provincial de uno de los organismos ha sufrido un gran contratiempo y que estará fuera de servicio durante cierto tiempo, nos preguntan que medidas deben tomar, ¿qué diremos? a) Ante todo tomar las medidas que permitan la recuperación de todos los

servicios lo antes posible.

b) Recuperar lo más rápidamente posible aquellas aplicaciones que sean imprescindibles para el funcionamiento exterior del organismo y luego paulatinamente recuperar el resto.

c) Montar lo más rápidamente posible las aplicaciones consideradas criticas y el resto dejarlo a la espera de la recuperación total de las instalaciones.

d) Seguir las instrucciones que consten en el plan de contingencia.

22) La salvaguardia completa de los sistemas de una de nuestras instalaciones tarda 3 horas, hemos probado realizar una copia incremental y ha tardado solo veinte minutos. Tenemos configurado el sistema de copias de forma que se realiza automáticamente una diaria por la noche. Además tenemos previsto en el plan de seguridad que todos los viernes se traslada una copia de seguridad semanal a otras instalaciones. Dadas estas premisas que razonamiento consideras mas correcto de los que se exponen a continuación: a) Dado el ahorro considerable de tiempo de ejecución, se debe pasar a la copia

incremental.

b) Dado que debemos retirar la copia semanal, tendremos que realizar las copias incrementales diarias y un día realizar una copia total para su retirada.

c) Mantener el sistema, ya que al estar automatizado el gasto real de tiempo es nulo y tomar una cualquiera de las diarias como la idónea para la retirada, por ejemplo la del miércoles.

d) El ahorro de tiempo es considerable y por lo tanto pasamos a la incremental y retiramos una de estas por ejemplo la del miércoles para su traslado.

23) Un usuario ``listillo'', el mismo que anuló el servicio de DHCP en su ordenador personal, nos solicita una grabadora de CD porque según él, al ser los soportes muy baratos y la cantidad de datos que pueden alojar muchísimo mayor que la de los disquetes es un sistema de salvaguardia ideal para el usuario de PC. Estamos en una red de área local de un organismo oficial, ¿Qué razonamiento le parece el más correcto administrativamente hablando, para decirle que no se le va a instalar la referida unidad? a) El grabador de CD permite además, hacer copias de discos con música, etc.. y

eso podría ir contra la ley de propiedad intelectual.



Oposiciones TIC.

b) El grabador también es lector y eso le daría vía libre para escuchar música, leer programas, etc y eso no es correcto pues se pierde tiempo de trabajo y concentración.

c) Los datos deben estar en la red, protegidos por los mecanismos adecuados y no facilitársele a nadie el hacer copias no controladas de ninguna clase, ni siquiera de respaldo. (CORRECTO)

d) Solo se podría permitirse el uso de CD para salvaguardia de datos propios y como no podemos garantizar esta exclusividad, mejor no usarlo para esos fines.

24) ¿Qué es un sistema tolerante a fallos?a) Aquel que detecta los fallos antes de que se produzcan.b) Aquel que falla, pero no lo notifica al exterior.c) El que está preparado para, ante un fallo, seguir funcionando.d) El que ante un fallo, da mensajes de error menos graves.

25) ¿Para qué sirve un Sistema de Alimentación Ininterrumpida (SAI)?

a) Para que funcione el ordenador.

b) Para que funcione la red.

c) Para garantizar la alimentación eléctrica aunque haya fallos de suministro.

d) Para sincronizar el ordenador y la impresora.

26) ¿Qué es el TCSEC?

a) Trusted Computing Security Evaluation Criteria.

b) Trusted Computing SECurity.

c) Total Computing Security Center.

d) Trusted Computing Security Center.

27) Según el ITSEC, ¿cuál sería la clase de funcionalidad apropiada para sistemas con elevados requisitos de disponibilidad?

a) F – IN.

b) F – AV.

c) F – DI.

d) F – DX.

28) En el ámbito de la seguridad informática, un Plan de Contingencia contendrá



Oposiciones TIC.

medidas de:

a) Prevención encaminadas a minimizar la probabilidad de ocurrencia de incidentes.

b) Estudio de las probabilidades de ocurrencia de contingencias que alteren el normal desarrollo delas funciones informáticas.

c) Corrección orientadas a reducir los daños una vez que un incidente se ha producido.

d) Análisis que permita identificar cuáles son los sistemas informáticos más críticos.

29) ¿Cuál de los siguientes conceptos no tiene que ver con la tolerancia a fallos?

a) Redundancia.

b) RAID 5.

c) SSL.

d) Balanceo de cargas en granja de servidores.

30) De acuerdo con el modelo de elementos de MAGERIT, el conjunto de consecuencias derivadas de la materialización de una amenaza sobre un activo, se denomina:

a) Vulnerabilidad.

b) Riesgo.

c) Salvaguarda.

d) Impacto.

31) MAGERIT es la metodología que la administración general del estado ha desarrollado para:

a) El análisis y la gestión de riesgos de los sistemas de información.

b) La ordenación de la contracción de bienes informáticos.

c) La gestión del registro de actuaciones en los sistemas de información y tratamiento de datos.

d) Desarrollar el manual de gestión para la interconexión de redes en la Administración Publica.

32) En MAGERIT se define el impacto de una amenaza en un activo como:

a) El riesgo de una amenaza de un activo vulnerable.

b) La consecuencia sobre el activo de la materialización de una amenaza.



Oposiciones TIC.

c) El efecto sobre el activo al implantar una medida de contingencia.

d) Es la potencialidad o posibilidad de ocurrencia de la materialización de una amenaza sobre dicho activo.

33) Según MAGERIT un impacto forma parte del submodelo de:

a) Elementos

b) Eventos

c) Procesos.

34) El IFAPA, en una de las fases iniciales del desarrollo de su Plan Director de Seguridad, utilizó la metodología MAGERIT para realizar un Análisis de Riesgos, en particular, de todo lo que rodea al servicio de firma electrónica prestado desde Firm@. ¿Cuál de los siguientes no fue considerado un objetivo en el análisis de riesgos del IFAPA?

a) Proporcionar un método para priorizar y justificar acciones de mejora gracias a la reducción de riesgo que aportan.

b) Restaurar los recursos informáticos y técnicos necesarios para soportar las funciones de un sistema de información o servicio informático.

c) Proporcionar un método para medir la evolución del nivel de riesgo.

d) Identificar el nivel de riesgo actual, y las vulnerabilidades más críticas.

35) “Magerit” es el nombre de la metodología que la Administración General del Estado propone para:

a) el análisis y la gestión de riesgos de sistemas de información.

b) La determinación de la oferta que cumple en mayor medida las prescripciones del Pliego de Cláusulas Técnicas.

c) La interconexión de Bases de Datos administrativas.

d) El desarrollo de sistemas de información de aplicación a las Administraciones Públicas.

36) Según MAGERIT, un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales en sus activos es:

a) Una situación problemática

b) Una crisis.

c) Una amenaza.

d) Un fallo del sistema de seguridad.



Oposiciones TIC.

37) Los subestados de seguridad de un activo o recurso del sistema de información son:

a) Autenticación, confidencialidad y corrección.

b) Capacidad de operación, capacidad de modificación y capacidad de adaptación.

c) Autenticación, confidencialidad, corrección y aislamiento.

d) Autenticación, confidencialidad, integridad y disponibilidad.

38) ¿Cuál de los siguientes tipos de información no está contenida en un certificado digital X.509?:

a) La clave pública del titular.

b) Datos personales de identificación del titular.

c) La URL del directorio LDAP contenedor de claves públicas.

d) La firma electrónica de la Autoridad de Certificación que emitió el certificado.

39) En el contexto de una infraestructura de clave pública (PKI), en una comunicación origen-destino de un documento firmado electrónicamente y cifrado, ¿cuál de las siguientes afirmaciones es la correcta?:

a) Se utilizará la clave privada del destino para firmar y la clave pública del origen para el cifrado.

b) Se utilizará la clave privada del origen para firmar y la clave privada del destino para el cifrado.

c) Se utilizará la clave pública del origen para firmar y la clave pública del destino para el cifrado.

d) Se utilizará la clave privada del origen para firmar, y la clave pública del destino para el cifrado.

40) La técnica criptográfica basada en un conjunto de métodos que permiten tener comunicación segura entre las partes, siempre y cuando previamente ambas partes hayan intercambiado una clave privada, se denomina:

a) Criptografía asimétrica.

b) Criptografía simétrica.

c) Criptografía de clave pública.

d) Criptografía paralela.

41) Las técnicas orientadas a garantizar la seguridad en las operaciones relacionadas con los servicios de certificación y firma electrónica, deben cumplir los principios



Oposiciones TIC.

de:

a) Confidencialidad, Seguridad, Integridad, y Autenticación.

b) Confidencialidad, Integridad, Autenticación, y No Repudio.

c) Disponibilidad, Integridad, Autenticación, y No Repudio.

d) Disponibilidad, Seguridad, Integridad, y Autenticación.

42) ¿Cuál de las siguientes afirmaciones referentes a un sistema criptográfico de clave pública o asimétrico es FALSA?:

a) Cada usuario posee dos claves denominadas pública y privada, independientes entre sí. La clave publica es la usada en el servicio de confidencialidad (cifrado).

b) La gestión de claves de los sistemas criptográficos asimétricos es sencilla, comparada con la existente en los sistemas convencionales simétricos de clave secreta.

c) La criptografía de clave pública se usa para la implantación de servicios de seguridad avanzados como: autenticidad (firma digital), no repudio, prueba de entrega e integridad, entre otros.

d) El uso de criptografía de clave pública, por ejemplo R.S.A., para servicios de confidencialidad (cifrado) proporciona un rendimiento muy superior (caracteres cifrados / segundo) al proporcionado por los algoritmos simétricos como el D.E.S.

43) De los siguientes algoritmos de cifrado simétricos, cuál cifra bloques de 64 bits con una clave de 128 bits:

a) IDEA

b) DES

c) Triple DES

d) SAFER.

44) ¿Cuál de las siguientes opciones no constituye un método de control de acceso a un recurso de red?:

a) Los permisos y la membresía de grupo.

b) Los programas de control remoto utilizados para el acceso al recurso.

c) Las políticas de seguridad y directivas del sistema.

d) El bloqueo de puertos utilizados por los recursos compartidos para impedir el acceso indeseable desde Internet.

45) En Criptografía, si el emisor escribe un mensaje y lo cifra con una clave que previamente ha acordado con el receptor (que es la misma que se usa para descifrarlo) hablamos de....



Oposiciones TIC.

a) Criptografía de clave asimétrica

b) Criptografía de clave embebida o solapada

c) Criptografía de clave simétrica.

46) El principal inconveniente de los algoritmos de clave pública es su lentitud, que crece con el tamaño del mensaje a cifrar. Para evitar esto el cifrado se aplica sobre un resumen de los datos, obtenido mediante una operación unívoca denominada:

a) función hash

b) función zip

c) función hammilton

Se va a ejecutar un proyecto de implantación de una plataforma de Firma Digital en un organismo autónomo de la Junta de Andalucía denominado Instituto de Investigación y Formación Agraria y Pesquera de Andalucía (IFAPA), y la integración de esta plataforma con un sistema informático para la Gestión de Subvenciones a Proyectos de Investigación, aplicativo denominado ASPA. El objetivo fundamental del proyecto es eliminar el movimiento de documentos en soporte papel que existe entre las Delegaciones Provinciales y los Servicios Centrales del IFAPA, sustituyéndolos por archivos electrónicos firmados digitalmente. La plataforma de Firma Digital la denominaremos Firm@. Este sistema estará constituido por un Servidor de Firma y un sistema de Custodia de documentos firmados. Los certificados digitales que utilizará serán los de tipo X.509 emitidos por la Fábrica Nacional de Moneda y Timbre -- Real Casa de la Moneda (FNMT-RCM), que ejerce de Autoridad de Certificación para el IFAPA. La plataforma Firm@ realizará los procesos de validación de certificados digitales a través del LDAP de la FNMT-RCM. El alcance del proyecto es el siguiente: Instalación y puesta en servicio de la plataforma Firm@ en el IFAPA, Adaptación de la arquitectura tecnológica, interfaces y servicios centralizados prestados por Firm@, necesarios para dar soporte al sistema ASPA: notario electrónico, LDAP, sistema de custodia de objetos firmados, y otros, Integración de las operaciones de firma digital en ASPA La plataforma de Firm@ realizará las siguientes funciones: Firma de documentos, Custodia y almacenamiento de documentos, Verificación de validez de certificados digitales, Multifirma de documentos (firma de un documento por varios usuarios), y firma en bloque (un usuario firma simultáneamente un conjunto de documentos).

47) Los ficheros firmados electrónicamente desde el ASPA seguirán el estándar PKCS#7 (Public-Key Cryptography Standards, especificación 7). ¿Qué regula este estándar?

a) El método de integración con el protocolo seguro de transmisión empleado (IP-Sec, SSH, ...).

b) El tipo de factorización matemática utilizada en el proceso de generación de la



Oposiciones TIC.

pareja de claves pública-privada de los certificados.

c) La sintaxis general para datos a los que va a aplicar criptografía. (CORRECTO)

d) Las especificaciones de negocio con el canal de sellado de tiempo utilizado.

48) Se pretende que las Delegaciones Provinciales (DD.PP.) del IFAPA puedan tramitar el proceso de obtención de certificados digitales para usuarios del ASPA, sin necesidad de que éstos tengan que realizar ningún trámite fuera del recinto. ¿Cuál de las siguientes afirmaciones es correcta?

a) Es posible sin cumplir ningún requisito.

b) Es posible siempre que previamente estén constituidas en Oficinas de Acreditación de Certificación Digital.

c) Legalmente las DD.PP. solo pueden tramitar la solicitud de los certificados, quedando en el ámbito de la Autoridad de Certificación el proceso de identificación de la persona y la elaboración del certificado. No es posible pues el supuesto.

d) Las DDPP no pueden participar en ninguna fase del proceso. La tramitación del certificado se obtiene exclusivamente mediante una relación directa usuario-Autoridad de Certificación.

49) Uno de los servidores objetos del expediente de compra descrito anteriormente, tiene como destino servir de entorno hardware de la plataforma Firm@. Una de las funciones que tendrá este sistema será la de verificar la validez de certificados digitales utilizados en operaciones de firma electrónica. ¿Cuál de las siguientes funciones de validación de certificados no podrá realizarse por Firm@?

a) Verificación de que el certificado digital está emitido por una Autoridad de Certificación de confianza.

b) Verificación de que el certificado está registrado desde una Autoridad de Registro de confianza.

c) Verificación de que el certificado no está caducado.

d) Verificación de que el certificado no está revocado.

50) Se plantea la siguiente situación: desde el IFAPA se pierde la conexión LDAP con la FNMT-RCM. ¿Cuáles de las verificaciones anteriores podrán realizarse por Firm@?

a) Ninguna.

b) Exclusivamente la verificación de certificado emitido por una Autoridad de Certificación de confianza.

c) Exclusivamente la verificación de certificado registrado por una Autoridad de



Oposiciones TIC.

Registro de confianza.

d) Todas.

51) ¿Cuál de los siguientes es requisito obligatorio de Firm@ para estar facultado para el proceso de validación de certificados digitales?

a) Tener habilitado un Certificado Digital para firma de software, emitido a nombre del IFAPA.

b) Tener habilitado un Certificado Digital de Servidor SSL, emitido a nombre del IFAPA

c) Tener habilitado un generador de claves públicas y privadas PKCS#10, suministrado por la FNMT-RCM.

d) Disponer de módulo de sellado de tiempo (``time stamping'').

52) A partir del certificado digital, la clave privada del usuario firmante, y el documento electrónico a firmar, la operación de firma electrónica en ASPA genera un archivo en formato PKCS#7 que se almacena en el sistema de Custodia. De esta forma se garantiza que el contenido una vez firmado por el usuario, no se puede manipular sin dejar rastro. ¿Qué información contendrá este fichero PKCS#7?

a) La firma digital del documento.

b) La firma digital del documento y el documento original.

c) La firma digital del documento, el documento original, y los certificados digitales utilizados (de usuario, de servidor, otros).

d) La firma digital del documento, el documento original, los certificados digitales utilizados (de usuario, de servidor, otros), y las marcas de verificación de los certificados utilizados.

53) ¿En qué consiste el proceso de ``firma digital'' de un documento firmado electrónicamente a través de Firm@?

a) Obtención de un resumen hash del documento a firmar, encriptación del resultado con la clave pública del destinatario, y encriptación del resultado final con la clave privada del firmante.

b) Encriptación del documento a firmar con la clave privada del firmante, y obtención del resumen hash del resultado.

c) Encriptación del documento con la clave pública del firmante, obtención del resumen hash, y encriptación del resumen con la clave privada del firmante.

d) Obtención de un resumen hash del documento a firmar y encriptación del resultado con la clave privada del firmante.

54) Para algunos usuario de ASPA con responsabilidad alta en su firma, se decide



Oposiciones TIC.

adoptar tarjetas criptográficas para el uso del certificado, en lugar de hacerlo desde el propio navegador. ¿Cuál es la diferencia más significativa en cuanto al uso del certificado a través de estos dos sistemas?

a) La tarjeta aporta la ventaja de la portabilidad; es el medio idóneo cuando se requiere instalar el certificado digital en más de un puesto.

b) Con la tarjeta solo se puede usar un certificado digital, mientras que desde navegador puede usarse más de uno.

c) La tarjeta mantiene interno el material sensible criptográfico; la clave privada no puede ser usada ni copiada desde el exterior.

d) La diferencia principal es la seguridad; el uso de certificados desde navegador es más seguro que mediante tarjetas. En este caso pues, se debería haber adoptado la medida opuesta.

55) Para eliminar el tránsito de documentos en soporte papel con el solicitante de la subvención, la plataforma de firma permitirá enviar un correo electrónico informando de la existencia de un documento firmado digitalmente de su interés. Este correo contendrá un texto estándar de ``aviso de recepción de documento'', incorporando un link web particular para cada caso en cuestión. Este link representa una conexión web con una aplicación web publicada en Firm@, que permite al receptor del correo visualizar un documento firmado digitalmente desde ASPA, así como sus firmantes. Incluso podrá descargarlo. ¿Qué medida se deberá tomar para asegurar que el emisor del correo es el IFAPA?

a) Al estar emitido desde un sistema (ASPA) certificado, no es necesaria ninguna medida.

b) La conexión entre el usuario web y la aplicación de la plataforma de firma se establecerá por protocolo HTTPS.

c) Firm@ deberá firmar el correo con el certificado de Servidor.

d) El correo deberá emitirse desde Firm@ en formato SMIME.

56) El proceso de Firma en Bloque de Documentos de ASPA se puede resumir de la siguiente forma: la plataforma Firm@ firma individualmente cada documento, se constituye un bloque con estas firmas, identificadas por un identificador único para su localización posterior desde Custodia, el fichero resultante se almacena en Custodia en formato estándar ASN1, y por último, el usuario firma el fichero ASN1 y se genera un fichero PKCS7 con la firma del usuario y el fichero ASN1 del bloque de firmas. Igualmente, dado un documento individual firmado como parte de un bloque, se tendría que poder verificar su firma. Este proceso comienza con la verificación del fichero PKCS7 de firma generado en el proceso de firma en bloque. ¿Qué es lo que se comprueba en esta fase? (Lea las dos siguientes preguntas, antes de contestar ésta)



Oposiciones TIC.

a) La firma individual del usuario de cada uno de los documentos individuales y del bloque de firmas.

b) La firma individual de Firm@ de cada uno de los documentos individuales, y la del bloque de firmas por parte del usuario.

c) La firma individual de Firm@ de cada uno de los documentos individuales.

d) La firma del bloque de firmas por parte del usuario.

57) En el contexto de la pregunta anterior, ¿Por qué el sistema Firm@, sin disponer del certificado de usuario firmante, puede realizar tal comprobación?

a) Porque Firm@ firmó cada uno de los documentos individuales incluidos en el bloque de documentos.

b) Porque el usuario utilizó su certificado para firmar individualmente cada uno de los documentos, antes de generarse el PKCS7

c) Porque el certificado del usuario también está incluido en el PKCS7 desde el momento que firma el bloque ASN1.

d) Porque cada documento está firmado doblemente por los certificados de Firm@ y del usuario.

58) El proceso de verificación de un documento individual firmado en un bloque continua como sigue; se recupera desde el fichero del bloque de firmas la firma individual del documento (haciendo uso del identificador citado anteriormente), y una vez obtenida la firma del documento individual, ¿en qué consistirá el último paso de este proceso?

a) Se verificará la firma del documento, con el resultado de la firma por Firm@ del documento analizado.

b) Se verificará la firma del documento, con el resultado de la firma del documento analizado por el certificado del usuario.

c) Se verificará la firma del documento, con la firma del bloque ASN1, que al ser la del usuario, deberán coincidir.

d) El último paso consistirá en la validación por parte de Firm@ del certificado de usuario.

59) En el Catálogo de requisitos del sistema ASPA, en la definición de los casos de usos se define el caso, ``Firma en Bloque de Documentos''. ¿Cuál de los siguientes enunciados considera que no debe constar dentro del apartado ``Precondición'' de este caso?

a) El sistema ASPA dispone de al menos un documento para firmar.



Oposiciones TIC.

b) Los documentos estarán firmados de forma individual y registrados en Custodia.

c) El usuario posee un certificado digital válido instalado en su sistema o en una tarjeta criptográfica.

d) Firm@ tendrá disponible la transacción Firma de Documento.

60) Se presenta el siguiente caso; un usuario de ASPA con cliente tipo web, cambia de ubicación física dentro de su unidad administrativa. Su certificado digital está directamente instalado en su navegador web (no existe copia del certificado en ningún otro soporte), con nivel de seguridad de protección de la clave privada Alto. Se necesita la instalación de su certificado en el navegador de otro PC. ¿Cuál de las siguientes afirmaciones es la correcta?

a) Al estar la clave privada instalada con nivel alto no se puede realizar el transporte desde un PC a otro; solo se podrá reinstalar el certificado solicitándolo nuevamente y repitiendo el proceso de instalación.

b) El nivel alto de la clave privada implica que fue instalada en el navegador como 'no exportable', de tal forma que se podrá exportar el certificado parcialmente (la parte pública), pero no la clave privada.

c) El nivel alto es a los efectos de uso de la clave privada; no impide que desde el navegador pueda exportarse el certificado y posteriormente importarse en el nuevo equipo.

d) Para transportar un certificado de un PC a otro es indiferente el modo en que fue instalado inicialmente en el navegador; las contraseñas de transporte y de protección del uso de la clave privada, o la marca de 'clave privada no exportable' no influyen para nada en esta operación.

61) La firma digital son una serie de bits que se calculan en función de:

a) Sólo del documento que se firma.

b) Sólo de la clave privada del firmante.

c) De la clave privada del firmante y del documento.

d) De las claves públicas y privada del firmante.

62) Los sistemas de cifrado asimétrico precisan de la existencia de:

a) Una clave pública y una clave privada.

b) Un protocolo SET.

c) El uso de la técnica SSL.

d) Una tarjeta inteligente.

63) Acerca del protocolo Kerberos v. 5 (IETF RFC 4120):

a) Tiene extensiones que permiten el empleo de criptografía de clave pública y secreta.



Oposiciones TIC.

b) Los tickets expiran tras un tiempo predeterminado en el protocolo.

c) El servidor de autenticación cifra el ticket que remite al cliente con una clave que obtiene a partir del nombre y la contraseña del usuario.

d) Utiliza los algoritmos de cifrado bajo el modo de operación denominado CBC (Cipher block chaining).

64) Indique cuál de los siguientes es un algoritmo criptográfico simétrico:

a) RSA.

b) Diffie-helmann.

c) IDEA.

d) DSA.

65) ¿Qué es una función hash?:

a) Un sistema criptográfico de clave privada.

b) Un sistema criptográfico de clave pública.

c) Es un algoritmo que equivale a una firma digital avanzada.

d) Es un algoritmo que crea una representación digital o huella de un mensaje- Su resultado es de tamaño fijo y generalmente menor que el del mensaje original y único para este.

66) Se desea utilizar un sistema criptográfico tipo DES para que un grupo de 8 usuarios pueda intercambiar información confidencialmente ¿cuántas claves serán necesarias?:

a) 2S.

b) 16.

c) Depende de la longitud de clave que se desee usar.

d) Aproximadamente 100.

67) En un sistema criptográfico asimétrico un usuario A dispone de su par de claves pública Ea y privada Da y desea comunicarse con otro usuario B que dispone de su clave pública Eb y privada Db . A desea enviar un mensaje M a B de manera que B pueda estar seguro de que el autor de ese mensaje es A ¿cuál será el método adecuado?:

a) Db(M).

b) Ea(M).

c) Da(M).

d) Eb(M).



Oposiciones TIC.

68) ¿Qué se entiende por autoridad de certificación?:

a) Un juez.

b) Una compañía que certifica la seguridad de sus sistemas. En la actualidad sólo se puede considerar a Microsoft como tal

c) Son órganos administrativos dependientes del consejo superior de informática que dictan las normas de certificación digital de acuerdo a las directivas de la Unión Europea.

d) Son entidades que expiden certificados digitales de manera que garantizan la correspondencia entre la identidad de un usuario y su par de claves.

69) En qué dispositivo debemos definir una regla de seguridad que permita el tráfico de paquetes hacia una IP puerto 80 de su intranet, y se elimine cualquier otro paquete?

a) servidor NAT

b) switch de nivel 2 con configuraciones VLAN

c) cortafuegos

70) ¿Qué es un cortafuegos?

a) Un router.

b) Un sistema de seguridad para aislar la LAN de la WAN.

c) Un sistema contra incendios.

d) Un navegador seguro.

71) En la seguridad en las operaciones de red de bajo nivel de una intranet, entendiéndose como tales la utilización de los conocimientos de los protocolos de red como "armas de ataque", ¿cuál no es una de las cuestiones a tener en cuenta?:

a) Cifrado de enlace.

b) Protección contra tráfico enrulado desde la fuente-

c) Protección contra direccionamiento ICMP.

d) Consideraciones sobre scritps CGI.

72) De entre las medidas preventivas a seguir para asegurar la integridad de un servidor de cara a las infecciones de virus informáticos, ¿cuál de las siguientes no es una medida aconsejable a cumplir?:

a) Usar los privilegios de red para evitar modificaciones en archivos ejecutables.

b) Arrancar siempre desde disquete.

c) No utilizar el servidor como estación de trabajo eventual.



Oposiciones TIC.

d) No ejecutar programas en el servidor.

73) En el ámbito de la seguridad en redes, además de los protocolos englobados en IPScc, se requieren otros que fijen procedimientos de negociación de claves, algoritmos a utilizar y diversos parámetros entre los interlocutores que desean establecer una comunicación segura. ¿Cuál de los siguientes permitiría alcanzar este objetivo?:

a) Cabecera de autenticación.

b) Encapsulación segura del campo de carga.

c) IKE.

d) RSA.

74) SSL es:

a) Un estándar de certificado digital.

b) Un criptosistema simétrico.

c) Un estándar de pago digital a través de Internet.

d) Un protocolo de seguridad que proporciona privacidad de comunicaciones sobre Internet.

75) Según sea el agente que realiza la función de auditoría informática, pueden existir dos tipos de auditorías:

a) Auditorías Funcionales y Orgánicas.

b) Auditorías Externas o Internas.

c) Auditorías a petición propia o impuesta por un órgano superior.

d) Auditorías de revisión y evaluación y auditorías de diagnóstico y recomendación.

76) revisión de los sistema de información automatizados de una Organización para verificar si éstos son económicos, eficaces y eficientes, y comprobar que la información que tratan es íntegra, fiable, precisa y segura, se denomina:

a) Plan General de Garantía de Calidad de los Sistemas de Información.

b) Auditoría de sistemas de información.

c) Reingeniería de procesos administrativos.

d) Control Interministerial de Adaptación de Buenos Servicios Informáticos (CIABSI).



Oposiciones TIC.

77) En un sistema con 10 usuarios se plantea el uso de un sistema criptográfico para asegurar las transferencias de datos entre todos ellos. ¿Cuál sería la diferencia entre usar sistemas de claves simétricas o asimétricas?

a) No existe diferencia, en ambos casos se necesitarán 20 claves.

b) Con el sistema asimétrico hacen falta 20 claves y con el simétrico el doble, ya que todas son secretas.

c) Con el sistema asimétrico hacen falta 20 claves y con el simétrico sólo 10, una por cada usuario.

d) Con el sistema asimétrico hacen falta 20 claves y con el simétrico 45 claves.

78) El modelo de control de accesos donde es el sistema quien protege los recursos y donde todo recurso del sistema tiene una etiqueta de seguridad se denomina:

a) De acceso discrecional.

b) De acceso mandatario.

c) Basado en roles.

d) De confidencialidad.

79) La norma ISO/IEC 15408 Evaluation Criteria for IT Security (informalmente conocida como Common Criteria):

a) Establece una escala creciente de confianza en la seguridad del producto evaluado, que va desde el Evaluation Assurement Level (EAL) 0 al EAL 7.

b) Establece perfiles de protección, que deben ser elaborados por ISO/IEC.

c) Permite certificar sistemas, productos y algoritmos criptográficos.

d) Figura como criterio de evaluación en la Orden PRE/2740/2007 por la que se aprueba el Reglamento de evaluación y certificación de la seguridad de las TI.

80) Respecto al protocolo Ipsec:

a) Opcionalmente permite establecer una asociación de seguridad (SA, security association) con los algoritmos a usar y parámetros y claves a emplear.

b) Comprende, entre otros, el protocolo AH (Authentication Header) que en modo transporte autentica tanto las cabeceras cómo la carga útil del paquete del nivel de transporte.

c) Comprende, entre otros, el protocolo ESP (Encapsulating security protocol) que en modo túnel cifra todo el paquete del nivel de transporte.

d) Incluye el protocolo IKE v.2, que permite a una de las partes generar una clave secreta y remitirla cifrada a la otra con la clave pública de ésta.



Oposiciones TIC.

81) NO figura entre los objetivos de las normas y procedimientos de seguridad:

a) La adecuación a aspectos de accesibilidad, usabilidad y utilización de lenguas cooficiales.

b) La confidencialidad, disponibilidad e integridad de la información.c) La necesidad de controles de acceso.

d) La adecuación a normativa de la Agencia de Protección de Datos.

82) Acerca de los dispositivos de firma digital:a) Los basados en el DSS tardan menos en firmar, pero más en verificar la firma,

que los basados en el RSA.

b) Los implementados en un chip criptográfico (como el del DNI electrónico) firman el resumen (hash) previamente obtenido en dicho chip.

c) Se denominan dispositivos de firma electrónica reconocida en la Ley 59/2003 de firma electrónica los que están basados en el DSS están normalizados por ISO/IEC.

83) Acerca de las Autoridades de sellado de tiempo:

a) Para expedir su certificado precisan conocer en su integridad el documento.

b) En el modo de registros encadenados aplican iterativamente una función resumen (hash) a la concatenación del resumen del mensaje a sellar con el resultado de la iteración anterior.

c) En el modo de firma digital firman la concatenación de los mensajes a sellar con el tiempo.

d) No pueden ser simultáneamente Prestadores de Servicios de Certificación según la definición que de éstos da la Ley 59/2003 de firma electrónica.

84) ¿Cuál de los siguientes NO es un procedimiento adecuado para la consulta de la validez de un certificado digital emitido por un prestador de servicios de certificación?a) Declaración de prácticas de certificación.

b) Listas de certificados revocados.

c) LDAP.

d) OCSP.

85) Indique cuál de las siguientes clasificaciones NO es aplicable a las etiquetas RFID (Radio Frecuency Identification):

a) Activas.

b) Pasivas.



Oposiciones TIC.

c) Hiperactivas.

d) Semipasivas.

86) ¿Qué son las técnicas esteganográficas?

a) Son técnicas de firma electrónica, tipo XMLDSig.

b) Son técnicas dirigidas a ayudar en las auditorias informáticas y en particular en la optimización de los sistemas de impresión.

c) Son técnicas de diseño asistido por ordenador y enfocadas a la producción de material gráfico.

d) Son técnicas dirigidas al ocultamiento de mensajes u objetos dentro de otros.

87) ¿Cual es el estándar de la tarjeta física del DNI electrónico?

a) ISO-7816-1

b) PKCS#11

c) ISO17789

d) ISO-7815-1

88) ¿Qué algoritmo de cifrado fue designado por la Administración Federal Americana como estándar de cifrado sucesor de DES?

a) Triple DES.

b) AES.

c) IDEA.

d) Blowfish.

89) Un programa que se aloja en el ordenador y permite el acceso a usuarios externos, con el fin de obtener información o controlar la máquina de forma remota se denomina:

a) Bot.

b) Virus.

c) Troyano.

d) Gusano.

90) ¿Cúal es el framework para aplicaciones desarrolladas con Spring asociado al control y gestión de la seguridad?

a) Acegi.



Oposiciones TIC.

b) JSF

c) Struts.

d) Jbuilder.

91) Una tarjeta criptografica CERES puede almacenar como maximo:

a) 4 certificados.

b) 5 certificados.

c) 6 certificados.

d) 7 certificados.

92) En un esquema de certificacion y seguridad basado en clave publica (PKI), la tercera parte confiable se denomina:

a) Autoridad de certificación

b) autoridad de registro.

c) centro de confianza

d) autoridad de revocación

93) Revocar un certificado electrónico significa:

a) Extender su validez más allá del tiempo limite inicialmente establecido

b) Anular su validez antes de la fecha de caducidad que consta en el mismo.

c) Agotar su vida útil, al haberse llegado al límite de vigencia del mismo

d) Desacoplar un certificado de la tarjeta criptográfica en que reside.

94) Los cortafuegos de filtrado de paquetes:

a) Funcionan a nivel de red.

b) Funcionan a nivel de aplicación.

c) Funcionan a nivel de enlace.

d) Funcionan a nivel de sesión.


Ejercicios de test - seguridad y auditoria

Education

Transcript of Ejercicios de test - seguridad y auditoria