MÁSTER EN SISTEMAS DE GESTIÓN DE

SEGURIDAD DE LA INFORMACIÓN

Evaluación del

DATOS DEL ALUMNO

PRIMER APELLIDO:

SEGUNDO APELLIDO:

NOMBRE:

D.N.I.:
 NORMAS PARA EL ENVÍO DE LAS PRUEBAS DE EVALUACIÓN A DISTANCIA

1. Utilice para resolver cada pregunta el espacio que estime oportuno para ello.

2. Una vez resuelta, la evaluación se enviará:

Por mail a: amunoza@cee.uned.es

Excepcionalmente, por Correo Postal a:

D. Ángel Muñoz Alamillos

Departamento de Economía Aplicada y Estadística

Facultad de CC. Económicas y Empresariales de la UNED

Despacho 1.27

Paseo Senda del Rey, nº 11

28040 Madrid.

3. Las evaluaciones pueden enviarse por separado a medida que se vayan cumplimentando, y
en todo caso, junto al trabajo fin de master, antes del 15 de septiembre de 2015; se ruega
no realizar envíos de evaluaciones durante el mes de agosto.

4. No olvidar nunca consignar los datos del alumno en cada una de las evaluaciones
entregadas

5. El alumno mantendrá OBLIGATORIAMENTE en su poder una copia del envío realizado, por
si se produjera extravío; en ese caso le sería requerida dicha copia.

6. Las pruebas en Word pueden bajarse de la página Web del curso o solicitarse por correo
electrónico.

Conteste las siguientes preguntas en el espacio que

estime oportuno para ello
 MÓDULO I

1. ASPECTOS LEGALES

1. Breve resumen esquema de la propiead intelectual.: Sujeto objeto.

Finalidad.

2. Si realizo un trabajo fin de carrera y quiero registrarlo, para evitar que la

idea sea copiada ¿he de patentarlo? ¿por qué?.

3. LOPD: explicación de los principales derechos que reconoce esta ley.

4. El derecho al olvido: fundamenta su importancia práctica.

5. Firma electrónica, firma electrónica avanzada, firma electrónica

reconocida: concepto y diferencias.

6. Definición de contrato electrónico: regulación y aspectos esenciales.

7. Ejemplo de conducta de SPAM y Phishing. Tipo penal en el se encuadra.

2. INTRODUCCIÓN A LA SEGURIDAD DE LA INFORMACIÓN

1. Copias de seguridad: Defina el concepto y la utilidad que tienen para la

seguridad de la información.

2. Resuma la importancia de la fiabilidad de un sistema informático y los

requisitos que ésta fiabilidad implica.

3. Enumere y describa los tipos de ataques a un sistema informático que

conozca.

4. ¿Cuál sería para usted un protocolo de actuación tipo ante un ataque a un

sistema informático?

5. Defina brevemente el concepto y los beneficios que de la ISO 27000.

6. Enumere los sistemas seguros que usted conozca, para identificar
correctamente y de forma segura a un usuario que accede a un sistema
informático.

3. SEGURIDAD EN REDES INFORMÁTICAS

1. Defina qué es una red informática.

2. Valore la importacia de las redes informáticas hoy en día teniendo en

cuenta sus problemas de seguridad.

3. Enumere los tipos de ataques informáticos más comunes.

4. Defina los ataques DOS.

5. Detalle cuál sería la gestión tras un ataque DOS a su sistema.

6. Explique el concepto de virus.

7. Enumere los tipos de virus.

8. ¿Cuáles son los efectos destructivos que puede desarrollar un virus?

9. Enumere las características principales y diferenciadoras de un troyano

sobre el resto de virus.

10. Enumere las principales diferencias entre un troyano y un gusano.

11. Razone el porqué del éxito hoy en día de los virus de email.

12. Técnicas de ocultación vírica. Explique su finalidad.

13. Enumere y defina las principales técnicas que conozca de ocultación vírica.

14. ¿Qué se entiende por ingeniería social?.

15. Explique y ejemplifique el concepto “SPAM”.

16. Defina SCAM. Conceptos y características y ejemplos.

17. Defina HOAX. Conceptos y características y ejemplos.

18. Enumere las tipologías de hackers y explique brevemente sus diferencias.

19. Comente brevemente lo que sepa sobre “Phreakers”

20. Explique origen del término “hacker”.

21. En su opinión: Qué es y para qué sirve un sistema de protección.

22. Explique en qué consisten las cinco técnicas principales de detección de

virus.

23. ¿Qué se debe comprobar a la hora de evaluar un antivirus?

24. Enumere las diferencias entre antivirus, antispam y antimalware

25. Describa el uso del cortafuegos.

26. ¿Qué es una VPN?

27. Valore la importancia de la seguridad física del entorno.

28. ¿Qué soluciones hay para prevenir la pérdida de información en una

organización?
 MÓDULO 2

HACKING ÉTICO

HACKING ÉTICO

1. Enumere las distintas metodologías de pentesting y sus principales

diferencias.

2. ¿Qué se entiende por “inyección de código?.

3. ¿Qué 10 puntos componen una auditoría de seguridad completa?.

4. ¿En qué puntos están limitadas las pruebas de penetración?.

5. Defina “Active footprinting” y exponga algún método contenido en dicha

práctica.

6. ¿Cuáles son las diferencias entre “active footprinting” y “pasive

footprinting”?.

7. Definición de “escaneo de puertos”. ¿Qué información podemos recibir de

su uso?.

8. ¿Qué es la ingeniería social y por qué se dice que actúa sobre el punto más
débil de un sistema informático bien protegido?.

9. ¿Qué entendemos por “escalada de privilegios”?.

10. ¿Cuántos y cuáles deben ser los informes con los que finalizan las pruebas
de penetración?.
 MÓDULO 3

CRIPTOGRAFÍA

CRIPTOGRAFÍA

1. Describa el concepto de criptosistema.

2. Enumere y describa los tipos de sistema de cifrado que haya aprendido en
el módulo.
3. ¿Qué es un criptosistema de clave pública?
4. Enumere los cinco pasos del algoritmo de encriptación RSA.
5. ¿Qué es un criptosistema de clave privada?
6. Enumere las diferencias y semejanzas entre los criptosistemas de clave
pública y clave privada.
7. Describa el concepto de firma electrónica, firma electrónica avanzada y
firma electrónica reconocida.
8. ¿Qué diferencias existen entre firma electrónica y firma digital?
9. Resuma el proceso de autenticación de firma.
10. ¿En qué consiste la firma RSA?
11. ¿Qué se entiende por integridad en la información encriptada?
12. Enumere y describa brevemente cada uno de los componentes de la
infraestructura de clave pública.
13. ¿Qué es PKCS? Enumere alguno que conozca.
14. ¿Qué organismos de estandarización de clave pública conoce?. Cítelos y
descríbalos.
15. Enumere los datos básicos en un certificado.
16. Explique en qué consiste el modelo de certificado cruzado.
17. Defina el concepto: Revocación de un certificado.
18. ¿En qué consiste el cifrado de un disco duro
19. ¿Por qué es importante el transporte seguro de datos? Argumente su
respuesta.
 MÓDULO IV

REDES SEGURAS Y GESTIÓN DE RIESGOS

1. DISEÑO Y GESTIÓN DE REDES SEGURAS

1. ¿Qué diferencia hay entre seguridad activa y pasiva?

2. Comente brevemente las distintas zonas en que puede dividirse una red.

3. Explique qué ventajas ofrece el hardware específico para servidores.

4. Explique la diferencia entre software libre y software gratuito.

5. ¿Qué permite hacer una VPN? ¿Por qué es necesaria ésta tecnología?

6. Enumere las diferencias entre un ordenador que actúa de servidor y uno de

sobremesa

7. Un equipo Bastión actúa de puente entre la red interna y la externa.

¿Podría la red seguir funcionando si el equipo Bastión se apaga? ¿Y la
conexión a Internet?

8. ¿Qué ventajas aporta sustituir el firewall incorporado en el router por un

equipo bastión?

9. ¿Es necesaria una interfaz gráfica de usuario para un servidor? ¿qué

inconvenientes presenta? ¿y ventajas?

10. ¿Qué hace un router que no puede hacer un switch? ¿mediante qué
elementos?

11. Enumere los elementos que forman una VPN.

12. ¿Qué ventaja principal tiene un bastión dual-homed sobre un single-

homed?
13. De todos los tipos de servidores (archivos, copia de seguridad, web...)
¿cuáles son los más vulnerables, y por qué?

14. ¿Qué ventajas aporta segmentar una red?

15. Explique las diferencias entre un servidor interno y uno externo

16. ¿Qué servidores pondríamos en una DMZ conectada a Internet, pero

separada de la red interna?

17. ¿Es suficiente con un servidor de copias de seguridad? ¿Dónde es

conveniente que esté físicamente situado?

2. GESTIÓN DE RIESGOS

1. Explique las razones y utilidades que hacen necesario contar con un Plan
de Gestión de Riesgos en una organización.

2. Resuma los pasos básicos de un programa de Gestión de Riesgos.

3. Definición de activo.

4. ¿Qué tipos conoce?. Indique algún ejemplo.

5. Enumere los campos que son considerados en una valoración cualitativa

de los activos respondiendo a criterios objetivos.

6. Defina el término amenaza.

7. Haga una breve clasificación de las amenazas.

8. Razone la importancia del análisis de las posibles amenazas de una

organización.

9. ¿Qué expresa la vulnerabilidad?. Concepto y finalidad de su estudio.

10. Definición de impacto.

11. Consecuencias de un posible impacto en una organización.

12. Definición de riesgo.

13. Explicación del término “nivel de riesgo aceptable”

14. ¿Qué es la cuantificación de un riesgo?.

15. Valore la diferencia entre la amenaza y la oportunidad desde la óptica del

riesgo.

16. Realice una enumeración y clasificación de los riesgos. Ponga ejemplos.

17. Resuma la importancia del macroentorno y del microentorno en el ámbito

de la Gestión de Riesgos.

18. ¿Qué son las variables de riesgos?.

19. ¿Qué personas se encargan del control de la Gestión de Riesgos en una

organización?.

20. Enumere y describa las fases que componen el proceso de Gestión de

Riesgos.

21. ¿Qué implica el desarrollo de un plan de Gestión de Riesgos?

22. Dentro de este plan enumere los elementos básicos a analizar e identificar
para poder determinar:

a. el costo de la materialización de un amenaza sobre un activo.

b. el estudio de los riesgos: su origen y consecuencias.

23. Explique en qué consiste el análisis de riesgos y cuáles son sus

consecuencias.

24. ¿Cómo se controlan y monitorizan los riesgos?

25. ¿Para qué sirve el cierre de la Gestión de riesgos?¿Qué consecuencias

podemos desprender de tal cierre?.

26. Enumere y describa brevemente las metodologías de análisis de riesgos

que conozca.

27. Magerit: ¿Qué es? ¿Cuál es su finalidad?.

28. Describa la estructura básica de la versión 2.0 de Magerit.

29. ¿Por qué considera usted que es tan importante en el momento actual,
contar con un plan de seguridad que gestione y disminuya los riesgos tanto
en la información digital como en los sistemas informáticos?.
 MÓDULO V

IMPLANTACIÓN DE UN SGSI SEGÚN LAS NORMAS ISO 27000

IMPLANTACIÓN DE UN SGSI SEGÚN LAS NORMAS ISO 27000

1. ¿Qué es y cuáles son los objetivos de un Sistema de Gestión de Seguridad

de la Información?

2. Origen y objetivos de las normas ISO 27000.

3. Enumere los componentes que se incluyen en un Sistema de Gestión de

Seguridad de la Información.

4. Resuma brevemente el sistema “Plan -Do- Check- Act”.

5. Describa la fase DO.

6. Valore la importancia de la fase CHECK.

7. Enumere y describa las fases para establecer y gestionar un SGSI según la

norma UNE/ISO-IEC 27001.

8. Dentro de la documentación asociada a un SGSI, ¿que implican las

políticas y objetivos de seguridad?

9. ¿Cuál es la finalidad del control de toda la documentación asociada a un

SGSI?.

10. ¿Qué se pretende en una organización con el inventario y análisis de los

activos de seguridad de la información?.

11. ¿Qué es la declaración de aplicabilidad o SOA?

12. Diferencie las acciones correctoras / preventivas / de mejora, tal y como lo

hace la versión 2005 de la UNE/ISO-IEC 27001.
13. Concepto y finalidad del Plan de Continuidad de negocio.

14. Describa las Fases del Plan de Continuidad de negocio.

15. En qué consiste el proceso de certificación de un SGSI.

16. Describa brevemente y de forma esquemática, el ciclo de vida de un SGSI

certificado y las auditorías, internas y/o externas que habrá que realizar en
el mismo.

17. Fases de una Auditoría de Certificación. Principales aspectos a considerar

en cada una de ellas