Examen de punto de control: Evaluación de Vulnerabilidad y Gestión de Riesgos

Última actualización: enero 17, 2024

Examen de punto de control: Evaluación de Vulnerabilidad y Gestión de Riesgos

1. Como parte de la política de RR. HH. de una empresa, una persona puede optar voluntariamente para no compartir información con ningún tercero que no sea el empleador. ¿Qué ley protege la privacidad de la información personal compartida?

  • GLBA
  • SOX
  • PCI
  • FIRPA
Explique: La Ley de Gramm-Leach-Bliley (GLBA) incluye las disposiciones de privacidad para las personas y proporciona métodos de exclusión para restringir la distribución de información con empresas de terceros.

2. Se produce una violación en una empresa que procesa información de las tarjetas de crédito. ¿Qué ley específica del sector rige la protección de datos de las tarjetas de crédito?

  • SOX
  • GLBA
  • PCI DSS
  • ECPA
Explique: El Estándar de seguridad de datos para tarjetas de pago (PCI DSS) rige cómo proteger los datos de las tarjetas de crédito cuando los comerciantes y los bancos intercambian transacciones.

3. ¿Qué amenaza se mitiga mediante la capacitación de conocimiento del usuario y la vinculación del conocimiento de seguridad con las revisiones de rendimiento?

  • amenazas relacionadas la nube
  • amenazas relacionadas con el dispositivo
  • amenazas físicas
  • amenazas relacionadas con el usuario
Explique: Los dominios de ciberseguridad proporcionan un marco para evaluar e implementar controles, a fin de proteger los activos de una organización. Cada dominio tiene diferentes contramedidas disponibles para manejar las amenazas.

4. Una empresa ha tenido varios incidentes que involucran a usuarios que descargan software no autorizado, mediante sitios web no autorizados y dispositivos USB personales. El CIO desea establecer un esquema para manejar las amenazas al usuario. ¿Cuáles son las tres medidas que se pueden establecer para manejar las amenazas? (Elija tres opciones).

  • Desactivar el acceso desde el CD y USB.
  • Supervisar toda la actividad de los usuarios.
  • Cambiar a clientes livianos.
  • Implementar la acción disciplinaria.
  • Usar el filtrado de contenido.
  • Proporcionar una capacitación de conocimiento sobre seguridad.
Explique: Los usuarios pueden no advertir sus acciones si no se capacitan en los motivos por los que sus acciones pueden generar un problema a la computadora. Al implementar varias prácticas técnicas y no técnicas, la amenaza puede reducirse.

5. ¿Cuál es la categoría de marco de trabajo de la fuerza laboral que incluye la revisión y evaluación altamente especializada de la información entrante de ciberseguridad para determinar si es útil para la inteligencia?

  • Supervisión y desarrollo
  • Disponer de manera segura
  • Proteger y defender
  • Analizar
Explique: La categoría «Analizar» del marco de trabajo de la fuerza laboral comprende áreas de especialidad responsables de la revisión y evaluación altamente especializadas de la información entrante de ciberseguridad para determinar su utilidad.

6. Se le pide a un profesional de seguridad que realice un análisis del estado actual de la red de una empresa. ¿Qué herramienta utilizaría el profesional de seguridad para analizar la red solo para detectar riesgos de seguridad?

  • analizador de paquetes
  • prueba de penetración
  • malware
  • escáner de vulnerabilidad
Explique: Los escáneres de vulnerabilidad se utilizan comúnmente para analizar las siguientes vulnerabilidades:

El uso de contraseñas predeterminadas o contraseñas comunes
Parches faltantes.
Puertos abiertos.
Errores de configuración del software y los sistemas operativos.
Las direcciones IP activas

7. ¿Qué información proporciona la herramienta de administración de seguridad de red de SIEM a los administradores de red?

  • un mapa de sistemas y servicios de red
  • evaluación de las configuraciones de seguridad del sistema
  • informes y análisis en tiempo real de eventos de seguridad
  • detección de puertos TCP y UDP abiertos
Explique: SIEM, que es una combinación de productos de Administración de Información de Seguridad y Administración de Eventos de Seguridad, se utiliza para el análisis forense y proporciona informes en tiempo real de eventos de seguridad.

8. ¿Qué tipo de prueba de seguridad de red utiliza ataques simulados para determinar la viabilidad de un ataque y las posibles consecuencias si se produce?

  • pruebas de penetración
  • verificación de la integridad
  • escaneo de red
  • análisis de vulnerabilidad
Explique: Los especialistas en seguridad utilizan muchas pruebas para evaluar el estado de un sistema. Entre otros, se incluyen:

pruebas de penetración para determinar la viabilidad de los ataques
escaneo de la red para buscar e identificar puertos TCP abiertos
verificación de la integridad para verificar si se han producido cambios en el sistema
análisis de vulnerabilidades para detectar posibles debilidades en los sistemas

9. ¿Qué tipo de prueba de seguridad de red puede detectar e informar los cambios realizados en los sistemas de red?

  • análisis de vulnerabilidad
  • pruebas de penetración
  • escaneo de red
  • verificación de la integridad
Explique: Hay muchas pruebas de seguridad que se pueden utilizar para evaluar una red. Las pruebas de penetración se utilizan para determinar las posibles consecuencias de ataques exitosos en la red. La verificación de integridad se utiliza para detectar y notificar los cambios realizados en los sistemas. El escaneo de vulnerabilidades se utiliza para encontrar debilidades y configuraciones incorrectas en los sistemas de red. El escaneo de red se utiliza para descubrir los recursos disponibles en la red.

10. ¿Qué herramienta de prueba de red utilizaría un administrador para evaluar y validar las configuraciones del sistema en relación con las políticas de seguridad y los estándares de cumplimiento?

  • Metasploit
  • Tripwire
  • Nessus
  • L0phtcrack
Explique: Hay varias herramientas de seguridad de la red disponibles para probar y evaluar la seguridad de la red. L0phtcrack se puede utilizar para realizar auditorías y recuperación de contraseñas. Nessus puede analizar sistemas en busca de vulnerabilidades de software. Metasploit se utiliza para pruebas de penetración y desarrollo de firmas IDS. Tripwire se utiliza para evaluar si los dispositivos de red cumplen con las políticas de seguridad de la red.

11. ¿Cuál corporación definir identificadores únicos de CVE para vulnerabilidades de seguridad de la información públicamente conocidas con el fin de facilitar el uso compartido de datos?

  • MITRE
  • DHS
  • Cisco Talos
  • FireEye
Explique: El gobierno de los Estados Unidos patrocinó la Corporación MITRE para crear y mantener un catálogo de amenazas de seguridad conocidas, denominado Vulnerabilidades y Exposiciones Comunes (CVE, Common Vulnerabilities and Exposures). El CVE es un diccionario de nombres comunes (es decir, identificadores de CVE) de vulnerabilidades de ciberseguridad públicamente conocidas.

12. ¿Cómo gestiona AIS una amenaza recién descubierta?

  • creando estrategias de respuesta contra la nueva amenaza
  • permitiendo el intercambio en tiempo real de indicadores de ciberamenazas con el Gobierno Federal de los Estados Unidos y el sector privado
  • mitigando el ataque con mecanismos de defensa de respuesta activa
  • asesorando al Gobierno Federal de los Estados Unidos para que publique estrategias de respuesta interna
Explique: AIS responde a una nueva amenaza tan pronto como es reconocida compartiéndola inmediatamente con el Gobierno Federal de los Estados Unidos y el sector privado para ayudarles a proteger sus redes contra esa amenaza particular.

13. ¿Cuál enunciado describe al Intercambio Automatizado Confiable de Información de Indicadores (TAXII, Trusted Automated Exchange of Indicator Information)?

  • Es un conjunto de especificaciones para intercambiar información sobre ciberamenazas entre organizaciones.
  • Es la especificación correspondiente a un protocolo de la capa de aplicación que permite la comunicación de CTI por HTTPS.
  • Es un motor sin firma que usa análisis de ataques con estado para detectar amenazas zero day.
  • Es una base de datos dinámica de vulnerabilidades en tiempo real.
Explique: El Intercambio Automatizado Confiable de Información de Indicadores (TAXII): es la especificación correspondiente a un protocolo de la capa de aplicación que permite la comunicación de CTI por HTTPS. TAXII está diseñado para funcionar como soporte para la Expresión Estructurada de Información sobre Amenazas (STIX, Structured Threat Information Expression).

14. ¿Qué plan de administración de la seguridad especifica un componente que implica el seguimiento de la ubicación y la configuración de software y dispositivos en red en toda una empresa?

  • administración de vulnerabilidades
  • administración de parches
  • administración de riesgos
  • administración de activos
Explique: La administración de activos implica realizar un seguimiento de la ubicación y configuración de software y dispositivos en red en toda una empresa.

15. ¿Cuáles son los pasos del ciclo de vida de la administración de vulnerabilidades?

  • planear, hacer, actuar, comprobar
  • identificar, proteger, detectar, responder, recuperar
  • descubrir, priorizar activos, evaluar, informar, corregir, verificar
  • detectar, analizar, recuperar, responder
Explique: Hay seis pasos en el ciclo de vida de la administración de vulnerabilidades:

Descubrir
Priorizar activos
Evaluar
Informar
Corregir
Verificar

16. ¿Cual paso del Ciclo de Vida de la Administración de Vulnerabilidades determina un perfil de riesgo base para eliminar riesgos en función de la criticidad de los recursos, de las amenazas a las vulnerabilidades y de la clasificación de los recursos?

  • detectar
  • evaluar
  • verificar
  • priorizar activos
Explique: Los pasos del Ciclo de Vida de la Administración de Vulnerabilidades (Vulnerability Management Life Cycle VMLC) son los siguientes:

Detectar: inventariar los recursos en toda la red e identificar detalles del host, incluidos los sistemas operativos y los servicios abiertos, para reconocer vulnerabilidades.
Priorizar recursos: categorizar activos en grupos o unidades comerciales, y asignar un valor comercial a los grupos de activos basándose en qué tan críticos son para las operaciones comerciales.
Evaluar: determinar un perfil de riesgo base para eliminar riesgos en función de la criticidad de los activos (qué tan críticos son), de las amenazas a vulnerabilidades y de la clasificación de los activos.
Informar: medir el nivel de riesgo empresarial asociado a los activos de acuerdo con las políticas de seguridad. Documentar un plan de seguridad, monitorear la actividad sospechosa y describir vulnerabilidades conocidas.
Remediar: priorizar de acuerdo con el riesgo comercial y corregir vulnerabilidades según el nivel de riesgo.
Verificar: verificar que las amenazas se hayan eliminado a través de auditorías de seguimiento

17. Una el elemento de perfil de red con la descripción. (No se utilizan todas las opciones).

Explique: Coloque las opciones en el siguiente orden:
una lista de procesos TCP o UDP que están disponibles para aceptar datos puertos utilizados
las direcciones IP o la ubicación lógica de sistemas o datos esenciales espacio de direcciones de activos críticos
el tiempo entre el establecimiento de un flujo de datos y su terminación duración de la sesión
la cantidad de datos que pasan de una fuente dada a un destino dado en un período de tiempo dado rendimiento total

18. Para hacer frente a un riesgo identificado, ¿qué estrategia pretende disminuir el riesgo adoptando medidas para reducir la vulnerabilidad?

  • riesgo compartido
  • evasión de riesgos
  • retención de riesgos
  • reducción de riesgos
Explique: Hay cuatro posibles estrategias para responder ante los riesgos que han sido identificados:

Evasión de riesgos – Detener la realización de las actividades que generan riesgo.
Reducción de riesgos – Disminuir el riesgo tomando medidas para reducir la vulnerabilidad.
Riesgo compartido – Transferir parte del riesgo a otras partes
Retención de riesgos – Aceptar el riesgo y sus consecuencias.

19. Cuando se establece el perfil de una red para una organización, ¿qué elemento describe el tiempo que transcurre entre el establecimiento de un flujo de datos y su finalización?

  • convergencia de protocolo de routing
  • rendimiento total
  • ancho de banda de la conexión a Internet
  • duración de la sesión
Explique: Un perfil de red debería incluir algunos elementos importantes, como los siguientes:

Rendimiento total – La cantidad de datos que pasa de un origen dado a un destino determinado en un período de tiempo especificado
Duración de la sesión – El tiempo transcurrido desde que se establece el flujo de datos y su finalización
Puertos utilizados – una lista de procesos de TCP o UDP que están disponibles para aceptar datos
Espacio de direcciones de activos críticos – Las direcciones IP o la ubicación lógica de los sistemas o datos esenciales

20. En el análisis cuantitativo de riesgos, ¿qué término se utiliza para representar el grado de destrucción que ocurriría si ocurriera un evento?

  • factor de exposición
  • tasa de ocurrencia anual
  • expectativa de pérdida única
  • expectativa de pérdida anual
Explique: De las fórmulas utilizadas en el análisis de riesgo cuantitativo, el factor de exposición se utiliza para estimar el grado de destrucción que podría ocurrir a partir de un evento como una inundación o un error de entrada de datos.

21. El equipo está en proceso de realizar un análisis de riesgos en los servicios de base de datos. La información recopilada incluye el valor inicial de estos activos, las amenazas a los activos y el impacto de las amenazas. ¿Qué tipo de análisis de riesgos está realizando el equipo al calcular la expectativa anual de pérdida?

  • análisis cuantitativo
  • análisis cualitativo
  • análisis de protección
  • análisis de pérdida
Explique: Un análisis de riesgos cualitativo o cuantitativo se utiliza para identificar y priorizar las amenazas a la organización.

22. ¿Cuáles son los dos valores que se requieren para calcular la expectativa de pérdida anual? (Elija dos opciones).

  • valor cuantitativo de pérdida
  • valor de los activos
  • índice de frecuencia anual
  • factor de frecuencia
  • factor de exposición
  • expectativa de pérdida única
Explique: La expectativa de pérdida única, el índice de frecuencia anual y la expectativa pérdida anual se utilizan en un análisis de riesgos cuantitativo

23. ¿En qué situación se garantizaría un control de detección?

  • cuando la organización necesite buscar la actividad prohibida
  • después de que la organización haya experimentado una violación para restaurar todo a un estado normal
  • cuando la organización necesita reparar el daño
  • cuando la organización no pueda usar un perro guardián, por lo que será necesario considerar una alternativa
Explique: El control de acceso impide que el usuario no autorizado tenga acceso a los datos confidenciales y a los sistemas de red. Existen varias tecnologías utilizadas para implementar estrategias eficaces de control de acceso.

24. ¿Qué estrategias de mitigación de riesgos incluyen subcontratacion de servicios y compra de seguros?

  • transferencia
  • prevención
  • de reducción
  • aceptación
Explique: La mitigación de riesgos reduce la exposición de una organización a las amenazas y vulnerabilidades al transferir, aceptar, prevenir o tomar medidas para reducir el riesgo.

25. ¿Por qué una organización realizaría un análisis de riesgo cuantitativo para las amenazas a la seguridad de la red?

  • para que la administración pueda determinar la cantidad de dispositivos de red que necesita para inspeccionar, analizar y proteger los recursos corporativos
  • para que la organización conozca las áreas principales donde existen brechas en la seguridad de la red
  • para que la administración tenga documentación sobre la cantidad de ataques de seguridad que se han producido en un período de tiempo determinado
  • para que la organización pueda concentrar los recursos donde más se necesitan
Explique: El análisis de riesgo cuantitativo toma las principales amenazas, asigna un valor de costo a cada amenaza si realmente ocurrió y ordena la lista de más costosa a menos costosa. Esta lista de prioridades permite que la administración determine dónde aplicar los recursos actuales a la amenaza o las amenazas que más le costarían a la organización. El análisis de riesgo cuantitativo se basa en el costo, pero este no debe ser el único criterio aplicado cuando, por ejemplo, se evalúa un sistema que proporciona o involucra seguridad nacional.

26. ¿Cuáles son las tres métricas de impacto incluidas en el Grupo de métricas base de CVSS 3.0? (Elija tres opciones).

  • explotación
  • disponibilidad
  • integridad
  • nivel de remediación
  • vector de ataque
  • confidencialidad
Explique: El Sistema común de puntuación de vulnerabilidades (CVSS) es un marco abierto, independiente y estándar del sector que se utiliza para ponderar los riesgos de una vulnerabilidad mediante el uso de diversas métricas. CVSS utiliza tres grupos de métricas para evaluar una vulnerabilidad: el grupo de métricas base, el grupo de métricas temporal y el grupo de métricas ambiental. El grupo de métricas base tiene dos clases de métricas (explotabilidad e impacto). Las métricas de impacto se basan en las siguientes áreas: confidencialidad, integridad y disponibilidad.

27. Un analista de seguridad está investigando un ataque cibernético que comenzó comprometiendo un sistema de archivos a través de una vulnerabilidad en una aplicación de software personalizada. El ataque ahora parece estar afectando sistemas de archivos adicionales bajo el control de otra autoridad de seguridad. ¿Qué puntuación de métrica de explotabilidad base CVSS v3.0 aumenta con esta característica de ataque?

  • interacción del usuario
  • privilegios requeridos
  • complejidad del ataque
  • alcance
Explique: La métrica de alcance se ve afectada por el aprovechamiento de una vulnerabilidad que puede afectar a recursos más allá de los privilegios autorizados del componente vulnerable o que son administrados por una autoridad de seguridad diferente.

28. Según el proceso de administración de riesgos, ¿qué debe hacer el equipo de ciberseguridad como siguiente paso cuando se identifica un riesgo de ciberseguridad?

  • Monitorear el riesgo
  • Responder al riesgo.
  • Enmarcar el riesgo
  • Evaluar el riesgo.
Explique: La administración de riesgos es un proceso formal que reduce el impacto de las amenazas y las vulnerabilidades. El proceso implica cuatro pasos generales:
Enmarcar el riesgo – Identificar las amenazas a través de toda la organización que aumentan el riesgo.
Evaluar el riesgo – Una vez que se identifica un riesgo, se evalúa y analiza para determinar la gravedad de la amenaza.
Responder al riesgo – Desarrollar un plan de acción para reducir la exposición general al riesgo de la organización. La administración debe clasificar y priorizar las amenazas y un equipo determina cómo responder a cada amenaza.
Monitorear el riesgo – Revisar continuamente las reducciones de riesgo por acciones de eliminación, mitigación y transferencia.
Subscribe
Notify of
guest

0 Comments
Inline Feedbacks
View all comments
0
¿Tienes otra pregunta? Por favor comentax