Ejercicios de test - seguridad y auditoria

Oposiciones TIC. Ejercicios para la preparación del exámen de test de las
Oposiciones TIC.

PREGUNTAS SOBRE SEGURIDAD Y AUDITORÍA

1) Los ordenadores incluyen múltiples sistemas de seguridad que aseguran la
confidencialidad de la información. Entre los más extendidos se encuentran los
siguientes; ¿cuál de ellos no es un sistema de seguridad?:
a) Contraseña de arranque del ordenador.
b) Bloqueo físico del teclado bien por pulsación o por detección de un periodo de
inactividad.
c) Salvapantallas.
d) Arranque del ordenador con bloqueo automático del teclado para servidores de
red de área local.

2) SSL son las iniciales de Secure Socket Layer, S-HTTP son las siglas de Secure
HyperText Transfer Protocol, protocolos para la comunicación segura entre dos
ordenadores normalmente un cliente y un servidor y su objetivo es similar, pero:
a) SSL es más amplio que S-HTTP ya que puede ser utilizado como un
intermediario entre el TCP/ IP y cualquier otro protocolo (por ejemplo, el HTTP)
para añadir seguridad a cualquier tipo de comunicación entre un cliente y un
servidor.
b) SSL es menos amplio que S-HTTP ya que es una parte de este que puede ser
utilizada para añadir seguridad a cualquier tipo de comunicación http entre un
cliente y un servidor.
c) S-HTTP sustituye al protocolo HTTP, aunque el cliente no esté preparado para
utilizar ese nivel de seguridad, lo que no se puede conseguir con SSL, que
necesita cliente y servidor preparados para utilizar ese nivel de seguridad.
d) SSL sustituye al protocolo HTTP, aunque el cliente no esté preparado para
utilizar ese nivel de seguridad, lo que no se puede conseguir con S-HTTP, que
necesita cliente y servidor preparados para utilizar ese nivel de seguridad.

3) Indique cuál de los siguientes mecanismos NO incluye cifrado
a) SSL
b) IPSec
c) NAT

4) En el ámbito de la seguridad en Internet, el protocolo que opera a nivel de http
pero que no resuelve problemas de seguridad como ftp y telnet, es:
a) SSL.
b) MD-5.

Oposiciones TIC.

c) S-http.
d) PGP.

5) En el ámbito de la seguridad informática, la condición que garantiza que la
información es creada, modificada y borrada exclusivamente por el personal
autorizado, se denomina:
a) Disponibilidad.
b) Autenticación.
c) Confidencialidad.
d) Integridad.

6) ¿Cómo se denomina la tecnología en la que se basan los Sistemas de Alimentación
Ininterrumpida que entran en funcionamiento sólo cuando existe un corte de
suministro o una caída/bajada de tensión; en los que la carga, en funcionamiento
normal, recibe la alimentación directamente de la red eléctrica, incluyen un
regulador que compensa posibles subidas y bajadas de tensión sin recurrir a las
baterías y disponen de un microprocesador electrónico que controla el SAI y el
estabilizador de voltaje?:
a) Standby.
b) Línea Interactiva.
c) Doble conversión.
d) By-pass automático.

7) La seguridad informática versa sobre...
a) Disponibilidad, integridad y confidencialidad.
b) integridad, disponibilidad y seguridad de los equipos.
c) solo lo definido en la LOPD
d) a y b son ciertas

8) Como medida de seguridad, las salvaguardas garantizan...
a) disponibilidad de la información
b) integridad
c) a y b son falsas
d) a y b son ciertas.

9) Como medida de seguridad la redundancia garantiza...

Oposiciones TIC.

a) Disponibilidad
b) Integridad
c) a y b son falsas
d) a y b son ciertas.

10) La eliminación de puntos únicos de fallo se obtiene mediante...
a) redundancia de dispositivos críticos
b) salvaguarda de datos
c) utilización de sistemas de alta disponibilidad en almacenamiento (raid)
d) utilización de sistemas de alimentación ininterrumpida (S.A.I)

11) Un cortafuegos es:
a) Un software que impide los accesos indeseables a la intranet desde el exterior.
b) Un software cuya función principal es limitar el uso excesivo de Internet.
c) Un motor antivirus dedicado a impedir los virus que llegan de Internet.
d) Un elemento (que puede ser hardware o un software) cuya función principal es
limitar el acceso de los usuarios a determinadas páginas de Internet.

12) Hablando de seguridad informática ¿Cuál de las siguientes afirmaciones es cierta?:
a) Amenaza se define como ``los eventos que pueden desencadenar un incidente
en la organización produciendo daños materiales o pérdidas inmateriales en
sus activos'”
b) Impacto se define como ``daño producido a la organización por un posible
incidente''.
c) Riesgo se define como ``posibilidad de que se produzca un impacto dado en la
organización''.
d) Las tres afirmaciones son ciertas.

13) ¿Cuál de los siguientes sistemas de seguridad no es recomendable instalar en un
CPD donde se encuentren localizados nuestros servidores, unidades de
almacenamiento de datos y electrónica activa de red?:
a) Detectores de humo para prevenir un posible incendio.
b) Sistema de aspersores de agua para la extinción de incendios.
c) Detectores de humedad en el suelo para prevenir una posible inundación.
d) Cámara de vigilancia para detectar el acceso de posibles intrusos.

Oposiciones TIC.

14) El conjunto de procedimientos alternativos a la operación normal de una
organización cuya finalidad es permitir el funcionamiento de ésta cuando ocurre una
interrupción debida a algún incidente interno o ajeno se denomina;
a) análisis de riesgo
b) Plan de contingencia
c) Plan de auditoría

15) El efecto 2000 puso de manifiesto el alto riesgo de que los sistemas informatizados
fallaran debido a varias causas, entre ellas:
a) diseño y funcionamiento de registros binarios de la UAL de la CPU, al operar
con más ceros de los habituales en el campo fecha.
b) errores en la ordenación de registros de datos al estar el ejercicio identificado
por solamente dos posiciones.
c) ambas son correctas.

16) Si colocamos un sistema de vigilancia en la puerta exterior de la sala de
ordenadores del CPD descrito, suponiendo que ocupamos el ancho de banda de la
cinta en su totalidad con los algoritmos de prioridad adecuados y que las cintas se
cambian cada 78 horas, para poder cubrir un fin de semana completo, ¿de qué
duración estándar comercial serán éstas?
a) 1 hora.
b) 4 horas.
c) 39 horas.
d) 78 horas.

17) El CPD del IFAPA utiliza como sistema de backup una Librería de Cintas
autocargables, con capacidad para 40 cintas. El dispositivo utilizado es el cartucho o
cinta LTO. El Plan de Salvaguardia es el siguiente: hay tres conjuntos de datos
que se separan en tres conjuntos de cintas, uno para base de datos, otro para
copias de datos de los repositorios de los servidores windows2000, y otro para
sistemas unix, linux. El número de cintas necesarios para cada uno de estos
conjuntos es actualmente de 4 cintas, 4, y 2 respectivamente. El proceso de
copia se arranca automáticamente a las 22,00h de cada jornada. Los juegos de
cintas resultantes de cada día se reutilizan a la semana siguiente, salvo el que se
realiza el último viernes de cada mes, que se almacena como histórico y no se
reutilizará más. Considerando que el crecimiento neto de datos del organismo
es de un 10% anual, y que se dispone en este momento de un número de cintas
de 50 unidades en total en toda la instalación, ¿qué lote de entre los siguientes
considera mínimo necesario adquirir, para tener acopio suficiente para 12

Oposiciones TIC.

meses más a partir de este momento?. NOTA: La librería de cintas debe estar
cargada al 100%.
a) 100.
b) 150.
c) 200.
d) 300.

18) En el proceso anterior, para minimizar el impacto del backup sobre el proceso on-
line, antes de iniciar la escritura en la Librería de Cintas se realiza un copia previa
de los datos a disco, y posteriormente, se inicia la copia desde los discos a las
cintas. ¿Qué condición debe cumplirse obligatoriamente según la LOPD para
que esto sea correcto?
a) Que las copias sean automáticas, sin intervención del operador.
b) Que los fichero en disco estén declarados en la Agencia de Protección de
Datos.
c) Que las copias se realicen con el sistema operativo y no con ningún otro
producto adicional que pudiera enmascararlas.
d) Que las copias sean borradas después de usarlas en el paso siguiente de la
cadena establecida con éxito.

19) En los casos de actualización de sistemas tanto físicos como lógicos, ¿qué medidas
se deben tomar para garantizar la recuperación de los datos de los sistemas antiguos,
si estamos tilizando para las copias de transición un producto contratado
exclusivamente para ello?
a) El sistema nuevo debe garantizar la compatibilidad lógica con el anterior.
b) El sistema físico de almacenamiento debe ser compatible físicamente con el
nuevo.
c) El producto utilizado para las copias debe correr también en el nuevo sistema
que además admitirá los mismo soportes físicos.
d) Depende del sistema antiguo que en la ultima copia deberá preparar las cintas
para ser leídas por el nuevo.

20) ¿Cuáles son los sistemas críticos en caso de catástrofes y a cual se debe dirigir
mayor atención en pos de la seguridad?
a) Tanto los sistemas físicos como los sistemas lógicos.
b) Los sistemas y las comunicaciones con el exterior.
c) Especialmente debemos atender los sistemas de seguridad contra incendios y
corte de fluido eléctrico.

Oposiciones TIC.

d) Los datos ya que sin ellos será imposible el restablecimiento de las medidas de
recuperación.

21) Nos informan que el CPD de una Delegación Provincial de uno de los organismos
ha sufrido un gran contratiempo y que estará fuera de servicio durante cierto tiempo,
nos preguntan que medidas deben tomar, ¿qué diremos?
a) Ante todo tomar las medidas que permitan la recuperación de todos los
servicios lo antes posible.
b) Recuperar lo más rápidamente posible aquellas aplicaciones que sean
imprescindibles para el funcionamiento exterior del organismo y luego
paulatinamente recuperar el resto.
c) Montar lo más rápidamente posible las aplicaciones consideradas criticas y el
resto dejarlo a la espera de la recuperación total de las instalaciones.
d) Seguir las instrucciones que consten en el plan de contingencia.

22) La salvaguardia completa de los sistemas de una de nuestras instalaciones tarda 3
horas, hemos probado realizar una copia incremental y ha tardado solo veinte
minutos. Tenemos configurado el sistema de copias de forma que se realiza
automáticamente una diaria por la noche. Además tenemos previsto en el plan
de seguridad que todos los viernes se traslada una copia de seguridad semanal
a otras instalaciones. Dadas estas premisas que razonamiento consideras mas
correcto de los que se exponen a continuación:
a) Dado el ahorro considerable de tiempo de ejecución, se debe pasar a la copia
incremental.
b) Dado que debemos retirar la copia semanal, tendremos que realizar las copias
incrementales diarias y un día realizar una copia total para su retirada.
c) Mantener el sistema, ya que al estar automatizado el gasto real de tiempo es
nulo y tomar una cualquiera de las diarias como la idónea para la retirada, por
ejemplo la del miércoles.
d) El ahorro de tiempo es considerable y por lo tanto pasamos a la incremental y
retiramos una de estas por ejemplo la del miércoles para su traslado.

23) Un usuario ``listillo'', el mismo que anuló el servicio de DHCP en su ordenador
personal, nos solicita una grabadora de CD porque según él, al ser los soportes muy
baratos y la cantidad de datos que pueden alojar muchísimo mayor que la de
los disquetes es un sistema de salvaguardia ideal para el usuario de PC.
Estamos en una red de área local de un organismo oficial, ¿Qué razonamiento
le parece el más correcto administrativamente hablando, para decirle que no se
le va a instalar la referida unidad?
a) El grabador de CD permite además, hacer copias de discos con música, etc.. y
eso podría ir contra la ley de propiedad intelectual.

Oposiciones TIC.

b) El grabador también es lector y eso le daría vía libre para escuchar música,
leer programas, etc y eso no es correcto pues se pierde tiempo de trabajo y
concentración.
c) Los datos deben estar en la red, protegidos por los mecanismos adecuados y
no facilitársele a nadie el hacer copias no controladas de ninguna clase, ni
siquiera de respaldo. (CORRECTO)
d) Solo se podría permitirse el uso de CD para salvaguardia de datos propios y
como no podemos garantizar esta exclusividad, mejor no usarlo para esos
fines.

24) ¿Qué es un sistema tolerante a fallos?
a) Aquel que detecta los fallos antes de que se produzcan.
b) Aquel que falla, pero no lo notifica al exterior.
c) El que está preparado para, ante un fallo, seguir funcionando.
d) El que ante un fallo, da mensajes de error menos graves.

25) ¿Para qué sirve un Sistema de Alimentación Ininterrumpida (SAI)?
a) Para que funcione el ordenador.
b) Para que funcione la red.
c) Para garantizar la alimentación eléctrica aunque haya fallos de suministro.
d) Para sincronizar el ordenador y la impresora.

26) ¿Qué es el TCSEC?
a) Trusted Computing Security Evaluation Criteria.
b) Trusted Computing SECurity.
c) Total Computing Security Center.
d) Trusted Computing Security Center.

27) Según el ITSEC, ¿cuál sería la clase de funcionalidad apropiada para sistemas con
elevados requisitos de disponibilidad?
a) F – IN.
b) F – AV.
c) F – DI.
d) F – DX.

28) En el ámbito de la seguridad informática, un Plan de Contingencia contendrá

Oposiciones TIC.

medidas de:
a) Prevención encaminadas a minimizar la probabilidad de ocurrencia de
incidentes.
b) Estudio de las probabilidades de ocurrencia de contingencias que alteren el
normal desarrollo delas funciones informáticas.
c) Corrección orientadas a reducir los daños una vez que un incidente se ha
producido.
d) Análisis que permita identificar cuáles son los sistemas informáticos más
críticos.

29) ¿Cuál de los siguientes conceptos no tiene que ver con la tolerancia a fallos?
a) Redundancia.
b) RAID 5.
c) SSL.
d) Balanceo de cargas en granja de servidores.

30) De acuerdo con el modelo de elementos de MAGERIT, el conjunto de
consecuencias derivadas de la materialización de una amenaza sobre un activo, se
denomina:
a) Vulnerabilidad.
b) Riesgo.
c) Salvaguarda.
d) Impacto.

31) MAGERIT es la metodología que la administración general del estado ha
desarrollado para:
a) El análisis y la gestión de riesgos de los sistemas de información.
b) La ordenación de la contracción de bienes informáticos.
c) La gestión del registro de actuaciones en los sistemas de información y
tratamiento de datos.
d) Desarrollar el manual de gestión para la interconexión de redes en la
Administración Publica.

32) En MAGERIT se define el impacto de una amenaza en un activo como:
a) El riesgo de una amenaza de un activo vulnerable.
b) La consecuencia sobre el activo de la materialización de una amenaza.

Oposiciones TIC.

c) El efecto sobre el activo al implantar una medida de contingencia.
d) Es la potencialidad o posibilidad de ocurrencia de la materialización de una
amenaza sobre dicho activo.

33) Según MAGERIT un impacto forma parte del submodelo de:
a) Elementos
b) Eventos
c) Procesos.

34) El IFAPA, en una de las fases iniciales del desarrollo de su Plan Director de
Seguridad, utilizó la metodología MAGERIT para realizar un Análisis de Riesgos,
en particular, de todo lo que rodea al servicio de firma electrónica prestado desde
Firm@. ¿Cuál de los siguientes no fue considerado un objetivo en el análisis de
riesgos del IFAPA?
a) Proporcionar un método para priorizar y justificar acciones de mejora gracias a
la reducción de riesgo que aportan.
b) Restaurar los recursos informáticos y técnicos necesarios para soportar las
funciones de un sistema de información o servicio informático.
c) Proporcionar un método para medir la evolución del nivel de riesgo.
d) Identificar el nivel de riesgo actual, y las vulnerabilidades más críticas.

35) “Magerit” es el nombre de la metodología que la Administración General del
Estado propone para:
a) el análisis y la gestión de riesgos de sistemas de información.
b) La determinación de la oferta que cumple en mayor medida las prescripciones
del Pliego de Cláusulas Técnicas.
c) La interconexión de Bases de Datos administrativas.
d) El desarrollo de sistemas de información de aplicación a las Administraciones
Públicas.

36) Según MAGERIT, un evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus activos
es:
a) Una situación problemática
b) Una crisis.
c) Una amenaza.
d) Un fallo del sistema de seguridad.

Oposiciones TIC.

37) Los subestados de seguridad de un activo o recurso del sistema de información
son:
a) Autenticación, confidencialidad y corrección.
b) Capacidad de operación, capacidad de modificación y capacidad de
adaptación.
c) Autenticación, confidencialidad, corrección y aislamiento.
d) Autenticación, confidencialidad, integridad y disponibilidad.
38) ¿Cuál de los siguientes tipos de información no está contenida en un certificado
digital X.509?:
a) La clave pública del titular.
b) Datos personales de identificación del titular.
c) La URL del directorio LDAP contenedor de claves públicas.
d) La firma electrónica de la Autoridad de Certificación que emitió el certificado.

39) En el contexto de una infraestructura de clave pública (PKI), en una comunicación
origen-destino de un documento firmado electrónicamente y cifrado, ¿cuál de las
siguientes afirmaciones es la correcta?:
a) Se utilizará la clave privada del destino para firmar y la clave pública del
origen para el cifrado.
b) Se utilizará la clave privada del origen para firmar y la clave privada del
destino para el cifrado.
c) Se utilizará la clave pública del origen para firmar y la clave pública del
d) Se utilizará la clave privada del origen para firmar, y la clave pública del

40) La técnica criptográfica basada en un conjunto de métodos que permiten tener
comunicación segura entre las partes, siempre y cuando previamente ambas partes
hayan intercambiado una clave privada, se denomina:
a) Criptografía asimétrica.
b) Criptografía simétrica.
c) Criptografía de clave pública.
d) Criptografía paralela.

41) Las técnicas orientadas a garantizar la seguridad en las operaciones relacionadas
con los servicios de certificación y firma electrónica, deben cumplir los principios

Oposiciones TIC.

de:
a) Confidencialidad, Seguridad, Integridad, y Autenticación.
b) Confidencialidad, Integridad, Autenticación, y No Repudio.
c) Disponibilidad, Integridad, Autenticación, y No Repudio.
d) Disponibilidad, Seguridad, Integridad, y Autenticación.

42) ¿Cuál de las siguientes afirmaciones referentes a un sistema criptográfico de clave
pública o asimétrico es FALSA?:
a) Cada usuario posee dos claves denominadas pública y privada, independientes
entre sí. La clave publica es la usada en el servicio de confidencialidad (cifrado).
b) La gestión de claves de los sistemas criptográficos asimétricos es sencilla,
comparada con la existente en los sistemas convencionales simétricos de clave
secreta.
c) La criptografía de clave pública se usa para la implantación de servicios de
seguridad avanzados como: autenticidad (firma digital), no repudio, prueba de
entrega e integridad, entre otros.
d) El uso de criptografía de clave pública, por ejemplo R.S.A., para servicios de
confidencialidad (cifrado) proporciona un rendimiento muy superior (caracteres
cifrados / segundo) al proporcionado por los algoritmos simétricos como el
D.E.S.

43) De los siguientes algoritmos de cifrado simétricos, cuál cifra bloques de 64 bits con
una clave de 128 bits:
a) IDEA
b) DES
c) Triple DES
d) SAFER.
44) ¿Cuál de las siguientes opciones no constituye un método de control de acceso a un
recurso de red?:
a) Los permisos y la membresía de grupo.
b) Los programas de control remoto utilizados para el acceso al recurso.
c) Las políticas de seguridad y directivas del sistema.
d) El bloqueo de puertos utilizados por los recursos compartidos para impedir el
acceso indeseable desde Internet.

45) En Criptografía, si el emisor escribe un mensaje y lo cifra con una clave que
previamente ha acordado con el receptor (que es la misma que se usa para
descifrarlo) hablamos de....

Oposiciones TIC.

a) Criptografía de clave asimétrica
b) Criptografía de clave embebida o solapada
c) Criptografía de clave simétrica.

46) El principal inconveniente de los algoritmos de clave pública es su lentitud, que
crece con el tamaño del mensaje a cifrar. Para evitar esto el cifrado se aplica sobre
un resumen de los datos, obtenido mediante una operación unívoca denominada:
a) función hash
b) función zip
c) función hammilton

Se va a ejecutar un proyecto de implantación de una plataforma de Firma Digital
en un organismo autónomo de la Junta de Andalucía denominado Instituto de
Investigación y Formación Agraria y Pesquera de Andalucía (IFAPA), y la
integración de esta plataforma con un sistema informático para la Gestión de
Subvenciones a Proyectos de Investigación, aplicativo denominado ASPA. El
objetivo fundamental del proyecto es eliminar el movimiento de documentos en
soporte papel que existe entre las Delegaciones Provinciales y los Servicios
Centrales del IFAPA, sustituyéndolos por archivos electrónicos firmados
digitalmente. La plataforma de Firma Digital la denominaremos Firm@. Este
sistema estará constituido por un Servidor de Firma y un sistema de Custodia de
documentos firmados. Los certificados digitales que utilizará serán los de tipo
X.509 emitidos por la Fábrica Nacional de Moneda y Timbre -- Real Casa de la
Moneda (FNMT-RCM), que ejerce de Autoridad de Certificación para el IFAPA.
La plataforma Firm@ realizará los procesos de validación de certificados digitales
a través del LDAP de la FNMT-RCM. El alcance del proyecto es el siguiente:
Instalación y puesta en servicio de la plataforma Firm@ en el IFAPA, Adaptación
de la arquitectura tecnológica, interfaces y servicios centralizados prestados por
Firm@, necesarios para dar soporte al sistema ASPA: notario electrónico, LDAP,
sistema de custodia de objetos firmados, y otros, Integración de las operaciones de
firma digital en ASPA La plataforma de Firm@ realizará las siguientes funciones:
Firma de documentos, Custodia y almacenamiento de documentos, Verificación de
validez de certificados digitales, Multifirma de documentos (firma de un
documento por varios usuarios), y firma en bloque (un usuario firma
simultáneamente un conjunto de documentos).

47) Los ficheros firmados electrónicamente desde el ASPA seguirán el estándar
PKCS#7 (Public-Key Cryptography Standards, especificación 7). ¿Qué regula este
estándar?
a) El método de integración con el protocolo seguro de transmisión empleado
(IP-Sec, SSH, ...).
b) El tipo de factorización matemática utilizada en el proceso de generación de la

Oposiciones TIC.

pareja de claves pública-privada de los certificados.
c) La sintaxis general para datos a los que va a aplicar criptografía.
(CORRECTO)
d) Las especificaciones de negocio con el canal de sellado de tiempo utilizado.

48) Se pretende que las Delegaciones Provinciales (DD.PP.) del IFAPA puedan tramitar
el proceso de obtención de certificados digitales para usuarios del ASPA, sin
necesidad de que éstos tengan que realizar ningún trámite fuera del recinto. ¿Cuál
de las siguientes afirmaciones es correcta?
a) Es posible sin cumplir ningún requisito.
b) Es posible siempre que previamente estén constituidas en Oficinas de
Acreditación de Certificación Digital.
c) Legalmente las DD.PP. solo pueden tramitar la solicitud de los certificados,
quedando en el ámbito de la Autoridad de Certificación el proceso de
identificación de la persona y la elaboración del certificado. No es posible pues
el supuesto.
d) Las DDPP no pueden participar en ninguna fase del proceso. La tramitación
del certificado se obtiene exclusivamente mediante una relación directa usuario-
Autoridad de Certificación.

49) Uno de los servidores objetos del expediente de compra descrito anteriormente,
tiene como destino servir de entorno hardware de la plataforma Firm@. Una de las
funciones que tendrá este sistema será la de verificar la validez de certificados
digitales utilizados en operaciones de firma electrónica. ¿Cuál de las siguientes
funciones de validación de certificados no podrá realizarse por Firm@?
a) Verificación de que el certificado digital está emitido por una Autoridad de
Certificación de confianza.
b) Verificación de que el certificado está registrado desde una Autoridad de
Registro de confianza.
c) Verificación de que el certificado no está caducado.
d) Verificación de que el certificado no está revocado.

50) Se plantea la siguiente situación: desde el IFAPA se pierde la conexión LDAP con
la FNMT-RCM. ¿Cuáles de las verificaciones anteriores podrán realizarse por
Firm@?
a) Ninguna.
b) Exclusivamente la verificación de certificado emitido por una Autoridad de
Certificación de confianza.
c) Exclusivamente la verificación de certificado registrado por una Autoridad de

Oposiciones TIC.

Registro de confianza.
d) Todas.

51) ¿Cuál de los siguientes es requisito obligatorio de Firm@ para estar facultado para
el proceso de validación de certificados digitales?
a) Tener habilitado un Certificado Digital para firma de software, emitido a
nombre del IFAPA.
b) Tener habilitado un Certificado Digital de Servidor SSL, emitido a nombre del
IFAPA
c) Tener habilitado un generador de claves públicas y privadas PKCS#10,
suministrado por la FNMT-RCM.
d) Disponer de módulo de sellado de tiempo (``time stamping'').

52) A partir del certificado digital, la clave privada del usuario firmante, y el
documento electrónico a firmar, la operación de firma electrónica en ASPA genera
un archivo en formato PKCS#7 que se almacena en el sistema de Custodia. De esta
forma se garantiza que el contenido una vez firmado por el usuario, no se puede
manipular sin dejar rastro. ¿Qué información contendrá este fichero PKCS#7?
a) La firma digital del documento.
b) La firma digital del documento y el documento original.
c) La firma digital del documento, el documento original, y los certificados
digitales utilizados (de usuario, de servidor, otros).
d) La firma digital del documento, el documento original, los certificados
digitales utilizados (de usuario, de servidor, otros), y las marcas de verificación
de los certificados utilizados.

53) ¿En qué consiste el proceso de ``firma digital'' de un documento firmado
electrónicamente a través de Firm@?
a) Obtención de un resumen hash del documento a firmar, encriptación del
resultado con la clave pública del destinatario, y encriptación del resultado final
con la clave privada del firmante.
b) Encriptación del documento a firmar con la clave privada del firmante, y
obtención del resumen hash del resultado.
c) Encriptación del documento con la clave pública del firmante, obtención del
resumen hash, y encriptación del resumen con la clave privada del firmante.
d) Obtención de un resumen hash del documento a firmar y encriptación del
resultado con la clave privada del firmante.

54) Para algunos usuario de ASPA con responsabilidad alta en su firma, se decide

Oposiciones TIC.

adoptar tarjetas criptográficas para el uso del certificado, en lugar de hacerlo desde
el propio navegador. ¿Cuál es la diferencia más significativa en cuanto al uso del
certificado a través de estos dos sistemas?
a) La tarjeta aporta la ventaja de la portabilidad; es el medio idóneo cuando se
requiere instalar el certificado digital en más de un puesto.
b) Con la tarjeta solo se puede usar un certificado digital, mientras que desde
navegador puede usarse más de uno.
c) La tarjeta mantiene interno el material sensible criptográfico; la clave privada
no puede ser usada ni copiada desde el exterior.
d) La diferencia principal es la seguridad; el uso de certificados desde navegador
es más seguro que mediante tarjetas. En este caso pues, se debería haber
adoptado la medida opuesta.

55) Para eliminar el tránsito de documentos en soporte papel con el solicitante de la
subvención, la plataforma de firma permitirá enviar un correo electrónico
informando de la existencia de un documento firmado digitalmente de su interés.
Este correo contendrá un texto estándar de ``aviso de recepción de documento'',
incorporando un link web particular para cada caso en cuestión. Este link representa
una conexión web con una aplicación web publicada en Firm@, que permite al
receptor del correo visualizar un documento firmado digitalmente desde ASPA, así
como sus firmantes. Incluso podrá descargarlo. ¿Qué medida se deberá tomar para
asegurar que el emisor del correo es el IFAPA?
a) Al estar emitido desde un sistema (ASPA) certificado, no es necesaria ninguna
medida.
b) La conexión entre el usuario web y la aplicación de la plataforma de firma se
establecerá por protocolo HTTPS.
c) Firm@ deberá firmar el correo con el certificado de Servidor.
d) El correo deberá emitirse desde Firm@ en formato SMIME.

56) El proceso de Firma en Bloque de Documentos de ASPA se puede resumir de la
siguiente forma: la plataforma Firm@ firma individualmente cada documento, se
constituye un bloque con estas firmas, identificadas por un identificador único para
su localización posterior desde Custodia, el fichero resultante se almacena en
Custodia en formato estándar ASN1, y por último, el usuario firma el fichero ASN1
y se genera un fichero PKCS7 con la firma del usuario y el fichero ASN1 del bloque
de firmas. Igualmente, dado un documento individual firmado como parte de un
bloque, se tendría que poder verificar su firma. Este proceso comienza con la
verificación del fichero PKCS7 de firma generado en el proceso de firma en bloque.
¿Qué es lo que se comprueba en esta fase? (Lea las dos siguientes preguntas, antes
de contestar ésta)

Oposiciones TIC.

a) La firma individual del usuario de cada uno de los documentos individuales y
del bloque de firmas.
b) La firma individual de Firm@ de cada uno de los documentos individuales, y
la del bloque de firmas por parte del usuario.
c) La firma individual de Firm@ de cada uno de los documentos individuales.
d) La firma del bloque de firmas por parte del usuario.

57) En el contexto de la pregunta anterior, ¿Por qué el sistema Firm@, sin disponer del
certificado de usuario firmante, puede realizar tal comprobación?
a) Porque Firm@ firmó cada uno de los documentos individuales incluidos en el
bloque de documentos.
b) Porque el usuario utilizó su certificado para firmar individualmente cada uno
de los documentos, antes de generarse el PKCS7
c) Porque el certificado del usuario también está incluido en el PKCS7 desde el
momento que firma el bloque ASN1.
d) Porque cada documento está firmado doblemente por los certificados de
Firm@ y del usuario.

58) El proceso de verificación de un documento individual firmado en un bloque
continua como sigue; se recupera desde el fichero del bloque de firmas la firma
individual del documento (haciendo uso del identificador citado anteriormente), y
una vez obtenida la firma del documento individual, ¿en qué consistirá el último
paso de este proceso?
a) Se verificará la firma del documento, con el resultado de la firma por Firm@
del documento analizado.
b) Se verificará la firma del documento, con el resultado de la firma del
documento analizado por el certificado del usuario.
c) Se verificará la firma del documento, con la firma del bloque ASN1, que al ser
la del usuario, deberán coincidir.
d) El último paso consistirá en la validación por parte de Firm@ del certificado
de usuario.

59) En el Catálogo de requisitos del sistema ASPA, en la definición de los casos de
usos se define el caso, ``Firma en Bloque de Documentos''. ¿Cuál de los siguientes
enunciados considera que no debe constar dentro del apartado ``Precondición'' de
este caso?
a) El sistema ASPA dispone de al menos un documento para firmar.

Oposiciones TIC.

b) Los documentos estarán firmados de forma individual y registrados en
Custodia.
c) El usuario posee un certificado digital válido instalado en su sistema o en una
tarjeta criptográfica.
d) Firm@ tendrá disponible la transacción Firma de Documento.
60) Se presenta el siguiente caso; un usuario de ASPA con cliente tipo web, cambia de
ubicación física dentro de su unidad administrativa. Su certificado digital está
directamente instalado en su navegador web (no existe copia del certificado en
ningún otro soporte), con nivel de seguridad de protección de la clave privada Alto.
Se necesita la instalación de su certificado en el navegador de otro PC. ¿Cuál de las
siguientes afirmaciones es la correcta?
a) Al estar la clave privada instalada con nivel alto no se puede realizar el
transporte desde un PC a otro; solo se podrá reinstalar el certificado
solicitándolo nuevamente y repitiendo el proceso de instalación.
b) El nivel alto de la clave privada implica que fue instalada en el navegador
como 'no exportable', de tal forma que se podrá exportar el certificado
parcialmente (la parte pública), pero no la clave privada.
c) El nivel alto es a los efectos de uso de la clave privada; no impide que desde el
navegador pueda exportarse el certificado y posteriormente importarse en el
nuevo equipo.
d) Para transportar un certificado de un PC a otro es indiferente el modo en que
fue instalado inicialmente en el navegador; las contraseñas de transporte y de
protección del uso de la clave privada, o la marca de 'clave privada no
exportable' no influyen para nada en esta operación.

61) La firma digital son una serie de bits que se calculan en función de:
a) Sólo del documento que se firma.
b) Sólo de la clave privada del firmante.
c) De la clave privada del firmante y del documento.
d) De las claves públicas y privada del firmante.
62) Los sistemas de cifrado asimétrico precisan de la existencia de:
a) Una clave pública y una clave privada.
b) Un protocolo SET.
c) El uso de la técnica SSL.
d) Una tarjeta inteligente.

63) Acerca del protocolo Kerberos v. 5 (IETF RFC 4120):
a) Tiene extensiones que permiten el empleo de criptografía de clave pública y
secreta.

Oposiciones TIC.

b) Los tickets expiran tras un tiempo predeterminado en el protocolo.
c) El servidor de autenticación cifra el ticket que remite al cliente con una clave
que obtiene a partir del nombre y la contraseña del usuario.
d) Utiliza los algoritmos de cifrado bajo el modo de operación denominado CBC
(Cipher block chaining).
64) Indique cuál de los siguientes es un algoritmo criptográfico simétrico:
a) RSA.
b) Diffie-helmann.
c) IDEA.
d) DSA.

65) ¿Qué es una función hash?:
a) Un sistema criptográfico de clave privada.
b) Un sistema criptográfico de clave pública.
c) Es un algoritmo que equivale a una firma digital avanzada.
d) Es un algoritmo que crea una representación digital o huella de un mensaje-
Su resultado es de tamaño fijo y generalmente menor que el del mensaje original
y único para este.

66) Se desea utilizar un sistema criptográfico tipo DES para que un grupo de 8 usuarios
pueda intercambiar información confidencialmente ¿cuántas claves serán
necesarias?:
a) 2S.
b) 16.
c) Depende de la longitud de clave que se desee usar.
d) Aproximadamente 100.

67) En un sistema criptográfico asimétrico un usuario A dispone de su par de claves
pública Ea y privada Da y desea comunicarse con otro usuario B que dispone de su
clave pública Eb y privada Db . A desea enviar un mensaje M a B de manera que B
pueda estar seguro de que el autor de ese mensaje es A ¿cuál será el método
adecuado?:
a) Db(M).
b) Ea(M).
c) Da(M).
d) Eb(M).

Oposiciones TIC.

68) ¿Qué se entiende por autoridad de certificación?:
a) Un juez.
b) Una compañía que certifica la seguridad de sus sistemas. En la actualidad sólo
se puede considerar a Microsoft como tal
c) Son órganos administrativos dependientes del consejo superior de informática
que dictan las normas de certificación digital de acuerdo a las directivas de la
Unión Europea.
d) Son entidades que expiden certificados digitales de manera que garantizan la
correspondencia entre la identidad de un usuario y su par de claves.
69) En qué dispositivo debemos definir una regla de seguridad que permita el tráfico de
paquetes hacia una IP puerto 80 de su intranet, y se elimine cualquier otro paquete?
a) servidor NAT
b) switch de nivel 2 con configuraciones VLAN
c) cortafuegos

70) ¿Qué es un cortafuegos?
a) Un router.
b) Un sistema de seguridad para aislar la LAN de la WAN.
c) Un sistema contra incendios.
d) Un navegador seguro.

71) En la seguridad en las operaciones de red de bajo nivel de una intranet,
entendiéndose como tales la utilización de los conocimientos de los protocolos de
red como "armas de ataque", ¿cuál no es una de las cuestiones a tener en cuenta?:
a) Cifrado de enlace.
b) Protección contra tráfico enrulado desde la fuente-
c) Protección contra direccionamiento ICMP.
d) Consideraciones sobre scritps CGI.

72) De entre las medidas preventivas a seguir para asegurar la integridad de un
servidor de cara a las infecciones de virus informáticos, ¿cuál de las siguientes no es
una medida aconsejable a cumplir?:
a) Usar los privilegios de red para evitar modificaciones en archivos ejecutables.
b) Arrancar siempre desde disquete.
c) No utilizar el servidor como estación de trabajo eventual.

Oposiciones TIC.

d) No ejecutar programas en el servidor.

73) En el ámbito de la seguridad en redes, además de los protocolos englobados en
IPScc, se requieren otros que fijen procedimientos de negociación de claves,
algoritmos a utilizar y diversos parámetros entre los interlocutores que desean
establecer una comunicación segura. ¿Cuál de los siguientes permitiría alcanzar este
objetivo?:
a) Cabecera de autenticación.
b) Encapsulación segura del campo de carga.
c) IKE.
d) RSA.

74) SSL es:
a) Un estándar de certificado digital.
b) Un criptosistema simétrico.
c) Un estándar de pago digital a través de Internet.
d) Un protocolo de seguridad que proporciona privacidad de comunicaciones
sobre Internet.

75) Según sea el agente que realiza la función de auditoría informática, pueden existir
dos tipos de auditorías:
a) Auditorías Funcionales y Orgánicas.
b) Auditorías Externas o Internas.
c) Auditorías a petición propia o impuesta por un órgano superior.
d) Auditorías de revisión y evaluación y auditorías de diagnóstico y
recomendación.

76) revisión de los sistema de información automatizados de una Organización para
verificar si éstos son económicos, eficaces y eficientes, y comprobar que la
información que tratan es íntegra, fiable, precisa y segura, se denomina:
a) Plan General de Garantía de Calidad de los Sistemas de Información.
b) Auditoría de sistemas de información.
c) Reingeniería de procesos administrativos.
d) Control Interministerial de Adaptación de Buenos Servicios Informáticos
(CIABSI).

Oposiciones TIC.

77) En un sistema con 10 usuarios se plantea el uso de un sistema criptográfico para
asegurar las transferencias de datos entre todos ellos. ¿Cuál sería la diferencia entre
usar sistemas de claves simétricas o asimétricas?
a) No existe diferencia, en ambos casos se necesitarán 20 claves.
b) Con el sistema asimétrico hacen falta 20 claves y con el simétrico el doble, ya
que todas son secretas.
c) Con el sistema asimétrico hacen falta 20 claves y con el simétrico sólo 10, una
por cada usuario.
d) Con el sistema asimétrico hacen falta 20 claves y con el simétrico 45 claves.

78) El modelo de control de accesos donde es el sistema quien protege los recursos y
donde todo recurso del sistema tiene una etiqueta de seguridad se denomina:
a) De acceso discrecional.
b) De acceso mandatario.
c) Basado en roles.
d) De confidencialidad.

79) La norma ISO/IEC 15408 Evaluation Criteria for IT Security (informalmente
conocida como Common Criteria):
a) Establece una escala creciente de confianza en la seguridad del producto
evaluado, que va desde el Evaluation Assurement Level (EAL) 0 al EAL 7.
b) Establece perfiles de protección, que deben ser elaborados por ISO/IEC.
c) Permite certificar sistemas, productos y algoritmos criptográficos.
d) Figura como criterio de evaluación en la Orden PRE/2740/2007 por la que se
aprueba el Reglamento de evaluación y certificación de la seguridad de las TI.

80) Respecto al protocolo Ipsec:
a) Opcionalmente permite establecer una asociación de seguridad (SA, security
association) con los algoritmos a usar y parámetros y claves a emplear.
b) Comprende, entre otros, el protocolo AH (Authentication Header) que en
modo transporte autentica tanto las cabeceras cómo la carga útil del paquete del
nivel de transporte.
c) Comprende, entre otros, el protocolo ESP (Encapsulating security protocol)
que en modo túnel cifra todo el paquete del nivel de transporte.
d) Incluye el protocolo IKE v.2, que permite a una de las partes generar una clave
secreta y remitirla cifrada a la otra con la clave pública de ésta.

Oposiciones TIC.

81) NO figura entre los objetivos de las normas y procedimientos de seguridad:
a) La adecuación a aspectos de accesibilidad, usabilidad y utilización de lenguas
cooficiales.
b) La confidencialidad, disponibilidad e integridad de la información.
c) La necesidad de controles de acceso.
d) La adecuación a normativa de la Agencia de Protección de Datos.

82) Acerca de los dispositivos de firma digital:
a) Los basados en el DSS tardan menos en firmar, pero más en verificar la firma,
que los basados en el RSA.
b) Los implementados en un chip criptográfico (como el del DNI electrónico)
firman el resumen (hash) previamente obtenido en dicho chip.
c) Se denominan dispositivos de firma electrónica reconocida en la Ley 59/2003
de firma electrónica los que están basados en el DSS están normalizados por
ISO/IEC.
83) Acerca de las Autoridades de sellado de tiempo:
a) Para expedir su certificado precisan conocer en su integridad el documento.
b) En el modo de registros encadenados aplican iterativamente una función
resumen (hash) a la concatenación del resumen del mensaje a sellar con el
resultado de la iteración anterior.
c) En el modo de firma digital firman la concatenación de los mensajes a sellar
con el tiempo.
d) No pueden ser simultáneamente Prestadores de Servicios de Certificación
según la definición que de éstos da la Ley 59/2003 de firma electrónica.

84) ¿Cuál de los siguientes NO es un procedimiento adecuado para la consulta de la
validez de un certificado digital emitido por un prestador de servicios de
certificación?
a) Declaración de prácticas de certificación.
b) Listas de certificados revocados.
c) LDAP.
d) OCSP.

85) Indique cuál de las siguientes clasificaciones NO es aplicable a las
etiquetas RFID (Radio Frecuency Identification):
a) Activas.
b) Pasivas.

Oposiciones TIC.

c) Hiperactivas.
d) Semipasivas.

86) ¿Qué son las técnicas esteganográficas?
a) Son técnicas de firma electrónica, tipo XMLDSig.
b) Son técnicas dirigidas a ayudar en las auditorias informáticas y en particular
en la optimización de los sistemas de impresión.
c) Son técnicas de diseño asistido por ordenador y enfocadas a la producción de
material gráfico.
d) Son técnicas dirigidas al ocultamiento de mensajes u objetos dentro de otros.

87) ¿Cual es el estándar de la tarjeta física del DNI electrónico?
a) ISO-7816-1
b) PKCS#11
c) ISO17789
d) ISO-7815-1

88) ¿Qué algoritmo de cifrado fue designado por la Administración Federal Americana
como estándar de cifrado sucesor de DES?
a) Triple DES.
b) AES.
c) IDEA.
d) Blowfish.

89) Un programa que se aloja en el ordenador y permite el acceso a usuarios externos,
con el fin de obtener información o controlar la máquina de forma remota se
denomina:
a) Bot.
b) Virus.
c) Troyano.
d) Gusano.

90) ¿Cúal es el framework para aplicaciones desarrolladas con Spring asociado al
control y gestión de la seguridad?
a) Acegi.

Oposiciones TIC.

b) JSF
c) Struts.
d) Jbuilder.

91) Una tarjeta criptografica CERES puede almacenar como maximo:
a) 4 certificados.
b) 5 certificados.
c) 6 certificados.
d) 7 certificados.

92) En un esquema de certificacion y seguridad basado en clave publica (PKI), la
tercera parte confiable se denomina:
a) Autoridad de certificación
b) autoridad de registro.
c) centro de confianza
d) autoridad de revocación

93) Revocar un certificado electrónico significa:
a) Extender su validez más allá del tiempo limite inicialmente establecido
b) Anular su validez antes de la fecha de caducidad que consta en el mismo.
c) Agotar su vida útil, al haberse llegado al límite de vigencia del mismo
d) Desacoplar un certificado de la tarjeta criptográfica en que reside.

94) Los cortafuegos de filtrado de paquetes:
a) Funcionan a nivel de red.
b) Funcionan a nivel de aplicación.
c) Funcionan a nivel de enlace.
d) Funcionan a nivel de sesión.

Ejercicios de test - seguridad y auditoria

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a Ejercicios de test - seguridad y auditoria

Similar a Ejercicios de test - seguridad y auditoria (20)

Más de oposicionestic

Más de oposicionestic (8)

Último

Último (20)

Ejercicios de test - seguridad y auditoria