Examen de muestra/práctica 25 Julio 2019, preguntas y respuestas PDF

Preview

Summary

Banco de preguntas con respuestas para el Examen del segundo parcial de Auditoria y evaluación de sistemas computacionales...

Description

ESCUELA POLITÉCNICA NACIONAL INGENIERÍA EN

SISTEMAS INFORMÁTICOS Y COMPUTACIÓN

MATERIA: Auditoria y Sistemas de Evaluación TEMA: Recopilacion de preguntas 2-b ESTUDIANTES: Gr2 2019 A

Tema: Machine Learning 1.¿Qué es Machine Learning? Machine Learning es una disciplina científica del ámbito de la Inteligencia Artificial que crea sistemas que aprenden automáticamente. Aprender en este contexto quiere decir identificar patrones complejos en millones de datos. 2.Liste los tipos de aprendizaje de máquina • Aprendizaje Supervisado • Aprendizaje no Supervisado • Aprendizaje por refuerzo 3.¿Cuál es la definición de IA? • La Inteligencia Artificial (IA) es la combinación de algoritmos planteados con el propósito de crear máquinas que presenten las mismas capacidades que el ser humano 4.¿Qué modelo de auditoría se puede utilizar para auditar algoritmos de Machine Learning? El Modelo CRISP-DM el cual se basa en comprensión holística basada en riesgos del proceso ML

Tema: IoT 5.De acuerdo con la información en la presentación acerca de la transmisión de datos de los dispositivos IoT.

6.¿Cuál es protocolo estándar que propuso IBM para él envió y recepción de información? a) b) c) d) e)

MSTP MQTT CQTT CIOT MRIOT

Respuesta: b) MQTT es un el protocolo que propuso IBM para el envío de información para evitar que cada fabricante utilice su protocolo para el envío y recepción de datos, de igual manera al estandarizar el protocolo permite un consumo optimo y rápido de los datos.

7.¿Cuáles de las siguientes es la clasificación correcta de riesgos para IoT? a) b) c) d) e)

Bajo, Medio, Alto Perjudicial, Disruptivo, Desastroso Clase I, Clase II, Clase III Bajo, Moderado, Critico Verde, Amarillo, Rojo

Respuesta: b) Perjudicial, Disruptivo, Desastroso. Esta es la clasificación propuesta en un estudio realizado por ForeScout sobre la industria de IoT.

8.¿Cuál de las siguientes opciones contiene el nombre de un marco de trabajo apropiado para gestionar los riesgos en IoT? a) Internet of things framework b) Net Framework c) Industrial Internet Risk Management Framework

d) Industrial Internet Security Framework Respuesta: d) Industrial Internet Security Framework. Este marco de trabajo fue desarrollado por el Consorcio Industrial de Internet con la finalidad de ayudar a los usuarios finales y desarrolladores a evaluar los riesgos de IoT, también indica las mejores prácticas para su gestión. 9.¿Bajo qué punto de vista es aconsejable realizar un trabajo de autoría a proyectos de IoT? a)  Desde un punto de vista basado en riesgos. b) Desde cualquier punto de vista. c) Llegar a un acuerdo con el encargado del proyecto. Respuesta: a) Es aconsejable adoptar un punto de vista basado en el riesgo y definir los objetivos de la auditoría según este punto de vista.

Tema: CLOUD COMPUTING 10. ¿Las aplicaciones que usan el Cloud Computing tienen implicaciones y riesgos similares para el negocio que una externalización tradicional?

a. Verdadero b. Falso Respuesta: Verdadero 11. Defina los modelos de servicio dentro de cloud computing:

c. IaaS d. PaaS e. SaaS 12. ¿Cuáles son los modelos de nubes definidos por NIST?

Respuesta: Privados, Públicos, Híbridos, Comunitarios. 13. ¿Por qué no se puede depender de un solo proveedor de servicios en la nube, y qué consideración se debe tomar en cuenta si se va a depender de estos servicios?

Respuesta: No se debe depender de un solo proveedor dado de que este puede salir del negocio y pueda dejar toda la información a la deriva. Se debe considerar en contratar dos o más proveedores simultáneamente. Los proveedores que se contraten deben garantizar la interoperabilidad de sus servicios y en caso de salida del negocio debe facilitar una efectiva migración de datos hacia otro proveedor.

Tema: BigData 14. En la Discriminación Predictiva ¿Dónde se encuentra el riesgo? A) Está en los datos en sí, y no en la interpretación y/o asociación que pueden llegar a hacer la empresa. B) No está en los datos en sí, más bien en la interpretación y/o asociación que pueden llegar a hacer la empresa. C) En que cada vez más empresas acumulan datos de clientes, herramientas online y dispositivos, datos. D) Está en que existen lagunas, inconsistencias y duplicidades de datos. 15. Seleccione la definición de Big Data A) Big Data es un término que describe el gran volumen de datos, tanto estructurados como no estructurados que las organizaciones generan todos los días. Lo que importa con el Big Data es lo que las organizaciones hacen con los datos, se puede analizar para obtener ideas que conduzcan a mejores decisiones y movimientos de negocios estratégicos. B) Big Data es un término que describe el gran volumen de datos que las organizaciones generan cunado se realiza un contrato. C) Big data tienen datos no estructurados que se caracterizan por no tener un formato específico que se almacenan en múltiples formatos como documentos PDF o Word, correos electrónicos, ficheros multimedia de imagen, audio o video. D) Big data se refiere a la calidad, la predictibilidad y la disponibilidad del dato.

16. Cuáles son las características de Big Data (4 V)

A) B) C) D)

Velocidad, Volumen, Variedad, Veracidad Volumen, Variedad, Veracidad, Volátil Velocidad, Volumen, Veracidad, Variable Volumen, Veracidad, Velocidad, Volátil

1. ISACA liberó 8 pasos para atacar los riesgos y mejorar la habilidad de usar Big Data para alcanzar las necesidades de los objetivos de negocio. Describa 3 de los 8 pasos planteados por ISACA. 17. Setear prioridades con los datos Para que los datos sean usados productivamente, la organización necesita considerar un proceso de ciclo de vida para los datos 18. Entender qué sucede con los datos Es fundamental proveer percepciones al monitorear todos los datos que corren en la compañía, para analizar y luego tomar acciones basadas en los resultados 19. Los datos son preciados, deberían ser asegurados. Las organizaciones deben tener un apropiado conocimiento en la performance de sus procesos de manejo de datos para minimizar dichos riesgos.

20. Proveer guías claras de seguridad Las organizaciones necesitan considerar todas las fuentes de información de las cuales están obteniendo sus análisis y evaluar las vulnerabilidades de cada una 21. Asegurar futuros sistemas de prueba Las compañías deberían invertir en herramientas que ayuden a asegurar que sus datos sean acertados, actualizados y limpios cada vez 22. Tomar la nube en consideración La nube ofrece una nueva opción en almacenamiento y uso de los datos, aparte de las opciones de compra. Los controles apropiados deben ser puestos en su lugar para confiar en el proveedor de servicios. 23. Encontrar un director de datos Se debe pedir por el consejo y las guías de expertos en datos externos cuando sea necesario. Hablar con compañías y servicios integradores en la nube, y considerar las compañías que corren plataformas para el análisis de Big Data 24. Asegurar conformidad con las relevantes regulaciones y leyes actuales. Controles de seguridad lógicos y físicos de acceso son necesarios para prevenir acceso sin autorización a los datos sensibles y valiosos

TEMA: Ciudades inteligentes 25.Escriba 3 características de ciudades inteligentes y describa Instrumentada: Capacidad de obtener e integrar datos en tiempo real. Interconectada: integración de estos datos en una plataforma para su comunicación entre los servicios ciudadanos Inteligente: Incluir de servicios de análisis, optimización, visualización para tomar mejores deciciones operacionales. 26.Escriba 4 riesgos que existan en ciudades inteligentes ·

Sensores defectuosos.

·

Bloqueo del software.

·

Datos incompletos o corruptos.

·

Leaks de datos.

·

Piratería

·

Invasión a la privacidad.

·

Invasión a datos confidenciales.

·

Provocar un asedio cibernético.

27. Fases para la implementación del modelo de implementación asset managmment smart cities. AMENDOLA l. 2016 1. 2. 3. 4. 5. 6.

assessment alignment implementing y learning sustainability Certification Improvement

En español: 1. evaluación 2. alineación 3. implementando y aprendiendo 4. sostenibilidad 5. Certificación 6. Mejora 28.Escriba como esta divida una ciudad inteligente según normalización de AENOR (CTN 178) 1. 2. 3. 4. 5. 6.

El comité técnico de

Infraestructura Indicadores y semántica Movilidad y plataformas de transforme Energía y medio ambiente Destinos turísticos Gobierno y servicios públicos 4.0

TEMA: Mejora Continua 29. ¿Por qué la seguridad debe tener una correlación con las técnicas de marketing? Porque al adaptar las normas de seguridad con las técnicas que los equipos de marketing utilizan para medir el conocimiento de su marca, la empresa puede obtener un mayor compromiso de los usuarios finales y lograr de manera más confiable los resultados que se buscan en las campañas de concienciación sobre seguridad.

30. ¿Cuáles son las fases para segmentar un programa de concientización de seguridad? Describa o

Planificación de campañas: desarrollo de campañas diseñadas para educar a los usuarios sobre un mensaje específico o para reforzar un mensaje

o

Creación (o adaptación) colateral: crear o adaptar la capacitación u otro material a campañas

o

Ejecución de la campaña: realización de capacitación y difusión de materiales.

o

Gestión y seguimiento de campañas: seguimiento de asistencia o medición del rendimiento del programa

Tema: Plan Auditoria AWS 31. De acuerdo con el plan de auditoría uno de las sub áreas planteadas es Acceso Lógico. ¿Cuál es la actividad que corresponde a la sub área de “Cuentas de acceso de roles de seguridad”? a. Mantener la integridad de las cuentas root AWS mediante la implementación de autenticación de múltiples factores. b. Mantener la confidencialidad y la integridad del medio ambiente mediante la limitación de las herramientas administrativas disponibles para el personal. c. Una vez identificado, el acceso inadecuado (por ejemplo, acceso que ya no sirve una necesidad de negocio) se elimina por completo en el momento oportuno. d. La empresa aplica la confidencialidad y la integridad de las aplicaciones de AWS al requerir autenticación multifactor. Respuesta: a. 32. De acuerdo a ISACA, seleccione las tres herramientas recomendadas en AWS para el cifrado de datos. e. Amazon DybaniDB f. SNS Amazon Web Services g. Amazon cloudfront h. Amazon S3 i. Amazon REDSHIFT Respuesta: a,d,e.

Tema: CIS Controls Microsoft Windows 10 Cyber Hygiene Guide 33. Detalle el propósito de Control de CIS 4.2: Cambiar las contraseñas predeterminadas 

●

Cambiar las contraseñas antes de implementar cualquier activo

34. Defina las características del grupo de implementación 1 de CIS: ● Organizaciones pequeñas y medianas con experiencia limitada en TI y ciberseguridad para proteger sus activos de TI. ● Mantener el negocio operativo ya que tienen una tolerancia limitada al tiempo de inactividad.

35. Que tecnología no cuenta con este protocolo de cifrado AES o WPA versión 2 o CRC o MIC o WPA versión 1

36. Indique la estructura de un documento de sub-control de CIS: o Categoría o Propósito o Automatizable o Guías Herramientas o Anexos/Instrucciones

Tema: Controles Cloud 37. De acuerdo al CIS 10: A que se refiera las Funciones de recuperación de datos a) Este control CIS hace referencia a la necesidad de realizar copias de seguridad del sistema para la capacidad de recuperación de datos. b) Este control CIS aborda la necesidad de administrar la configuración de todos los dispositivos de red mediante un proceso de control de cambios. c) Este control CIS se centra en la importancia de gestionar el flujo de información entre redes de diferentes niveles de confianza. d) Este control CIS se centra en la protección de datos y en garantizar la privacidad e integridad de la información confidencial.

38. De acuerdo al CIS 16: A qué se refiere el Monitoreo y control de Cuentas. a) Este control CIS se centra en la protección de cuentas y en garantizar la privacidad e integridad de la información confidencial. b) Este control de CIS se enfoca en educar y capacitar a la fuerza laboral de la empresa en una variedad de prácticas de seguridad. c) Este control CIS se centra en la seguridad de las aplicaciones (desarrolladas o adquiridas de forma interna o de desarrolladores externos) asociadas a las cuentas. d) Este control CIS se enfoca en la administración del ciclo de vida de las cuentas de sistemas y aplicaciones 39. De acuerdo al CIS 1: A qué se refiere Inventario y control de activos de hardware.

a) Este control CIS se centra en la protección de inventarios y en garantizar la privacidad e integridad de los mismos b) Este control se enfoca en comprender y resolver el inventario de activos y el problema de visibilidad del dispositivo. c) Este control CIS se centra en la seguridad de los inventarios asociadas a las cuentas. d) Este control CIS se enfoca en la administración del ciclo de vida de los inventarios de sistemas y aplicaciones. 40. De acuerdo a CIS 3: A qué se refiere Gestión continua de la vulnerabilidad

a) Este control CIS se centra en la protección contra vulnerabilidades de cuentas y en garantizar la privacidad e integridad frente a estas vulnerabilidades. b) Este control de CIS se enfoca en educar y capacitar a la fuerza laboral de la empresa en una variedad de prácticas de vulnerabilidades. c) Este control CIS aborda la necesidad de una administración continua de vulnerabilidades, que puede ser una tarea importante en la mayoría de las organizaciones. d) Este control CIS se enfoca en la administración del ciclo de vulnerabilidades de las cuentas de sistemas y aplicaciones.

Tema: Phishing Defense and Governance 41. ¿Qué actividades realizas las empresas para defenderse contra el phishing? Capacitación al personal sobre phishing. Aprendizaje en línea. Simulaciones de phishing Evaluación del conocimiento de los empleados. 42. Defina Phishing El phishing es un método que los ciberdelincuentes utilizan para engañarle y conseguir que revele información personal, como contraseñas o datos de tarjetas de crédito y de la seguridad social y números de cuentas bancarias. Lo hacen mediante el envío de correos electrónicos fraudulentos o dirigiéndole a un sitio web falso. Estos intentos pueden disfrazarse como originarios de un remitente de confianza en un intento de hacer que el éxito sea más probable....