• Author / Uploaded
• Jeliza Arias

Citation preview

1. ¿Qué representa el término BYOD? • trae tu propio dispositivo/ bring your own device 2. ¿Qué significa el término vulnerabilidad? • una debilidad que hace que un objetivo sea susceptible a un ataque/ a weakness that makes a target suscep.. 3. ¿Cuál es la categoría del marco de la fuerza laboral que incluye una revisión y evaluación altamente especializadas de la información entrante de seguridad cibernética para determinar si es útil para la inteligencia? • Analizar/ analyze 4. ¿Qué nombre se le da a un hacker aficionado? Amateur hacker • script kiddie 5. Frustrar a los ciberdelincuentes incluye ¿cuál de los siguientes? (Escoge dos.) • compartir información de inteligencia cibernética/ sharing cyber intelligence • establecer sistemas de alerta temprana/ establishing early warning 6. ¿Qué representa el acrónimo IoE? • Internet de todo/ Internet of Everything 7. ¿Cuál es un ejemplo de un dominio de datos de Internet? Linkedin 8. ¿Qué tipo de ataque usa muchos sistemas para inundar los recursos de un objetivo, haciendo que el objetivo no esté disponible? • DDoS 9. ¿Qué tipo de ataque puede desactivar una computadora forzándola a usar memoria o sobrecargando su CPU? • algoritmo 10. Elija tres tipos de registros que los ciberdelincuentes estarían interesados en robar a las organizaciones. (Elige tres.) • empleo • médico • educación 11. ¿Qué nombre se les da a los piratas informáticos que piratean por una causa? • hactivista cap 2 1. ¿Qué nombre se le da a un dispositivo de almacenamiento conectado a una red? • NAS 2. ¿Qué nombre se les da a los cambios en los datos originales, como los usuarios que modifican manualmente los datos, los programas que procesan y cambian los datos, y las fallas de los equipos? / such as users manually modifying.. • modificación 3. ¿Cuáles son los tres estados de datos? (Elige tres.) • en reposo/ at rest • en proceso/ in-process • En tránsito/ in-transit 4. ¿Qué principio impide la divulgación de información a personas, recursos y procesos no autorizados? disclosure of .. • Confidencialidad

5. ¿Qué mecanismo pueden usar las organizaciones para evitar cambios accidentales por parte de usuarios autorizados? • control de versiones 6. ¿Cuáles son los tres principios fundamentales del dominio de ciberseguridad? (Elige tres.) • Disponibilidad/ Avaibility • Confidencialidad / Confidentiality • Integridad / integrity 7. ¿Qué tipo de leyes de ciberseguridad lo protegen de una organización que quiera compartir sus datos confidenciales? • Intimidad/ privacy 8. ¿Cuáles son los tres tipos de información confidencial? (Elige tres.) • Clasificado/ classified • PII • Negocio/ business 9. ¿Cuáles son los tres servicios de seguridad de control de acceso? (Elige tres.) • Contabilidad/ accounting • Autenticación/ authentication • Autorización/ authorization 10. ¿Qué tres principios de diseño ayudan a garantizar una alta disponibilidad? (Elige tres.) three design principles.. • detectar fallas a medida que ocurren • proporcionar un cruce confiable / provide • eliminar puntos únicos de falla 11. ¿Cuáles son dos funciones hash comunes? (Escoge dos.) • SHA • MD5 12. ¿Cuáles son dos métodos que garantizan la confidencialidad? (Escoge dos.) ensure confidentiality…. • Cifrado/ encryption • Autenticación / authentication 13. ¿Cuál es un método para enviar información de un dispositivo a otro utilizando medios extraíbles? • red de zapatillas/ sneaker net 14. ¿Qué dos métodos ayudan a garantizar la disponibilidad del sistema? (Escoge dos.) • mantenimiento de equipo / equipment maintenance • sistemas operativos actualizados / up-to-date operating systems 15. ¿Qué dos métodos ayudan a garantizar la integridad de los datos? (Escoge dos.) ensure data integrity… • hashing • verificaciones de consistencia de datos / data consistency checks 16. ¿Qué tres tareas lleva a cabo una política de seguridad integral? (Elige tres.) accomplished by a comprehensive.. • establece reglas para el comportamiento esperado / sets rules for expected behavior • brinda al personal de seguridad el respaldo de la gerencia / gives security staff the backing • multas consecuencias legales de violaciones / fines legal consequences 17. ¿Qué identifica la primera dimensión del cubo de ciberseguridad? • Metas/ goals

18. Para fines de autenticación, ¿qué tres métodos se utilizan para verificar la identidad? (Elige tres.) • algo que eres/ something you are • algo que tienes/ something you have • algo que sabes/ something you know 19. ¿Cómo se llama una red virtual segura que utiliza la red pública? • VPN 20. ¿Qué servicio determina a qué recursos puede acceder un usuario junto con las operaciones que puede realizar un usuario? • autorización CAP3 1. ¿Qué es una vulnerabilidad que permite a los delincuentes inyectar secuencias de comandos en páginas web vistas por los usuarios? allows criminals to inject... • Secuencias de comandos entre sitios/ cross-site scripting 2. ¿Qué tipo de ataque apunta a una base de datos SQL usando el campo de entrada de un usuario? • inyección SQL 3. ¿Qué dos razones describen por qué WEP es un protocolo débil? (Escoge dos.) • La clave es estática y se repite en una red congestionada / The key is static and repeats… • La clave se transmite en texto claro / The key is transmitted 4. ¿Cuál es la diferencia entre un virus y un gusano? / between a virus and a worm… • Los gusanos se autorreplican pero los virus no / Worms self-replicate.. 5. Un criminal está usando un software para obtener información sobre la computadora de un usuario. ¿Cuál es el nombre de este tipo de software? obtain information about the… • Spyware 6. ¿Cuál es el significado del término bomba lógica? •

un programa malicioso que usa un disparador para despertar el código malicioso / a malicious program that uses a trigger

7. ¿Cuál es el término utilizado cuando una parte maliciosa envía un correo electrónico fraudulento disfrazado de una fuente legítima y confiable? used when a malicious party… • suplantación de identidad/ pishing 8. ¿Cuáles son dos formas de proteger una computadora del malware? (Escoge dos.) • Utiliza software antivirus / Use antivirus software • Mantenga el software actualizado / Keep software up to date. 9. ¿Qué ocurre en una computadora cuando los datos van más allá de los límites de un búfer? occurs on a computer… • un desbordamiento de búfer/ a buffer overflow 10. ¿Cuál es el término utilizado para describir un correo electrónico dirigido a una persona específica empleada en una institución financiera? targeting a specific.. • phishing de lanza/ spear phishing 11. Un atacante está sentado frente a una tienda y copia de forma inalámbrica correos electrónicos y listas de contactos de dispositivos de usuarios desprevenidos cercanos. ¿Qué tipo de ataque es este? sitting in front of a store… • bluesnarfing

12. ¿Cuáles son dos de las tácticas utilizadas por un ingeniero social para obtener información personal de un objetivo desprevenido? (Escoge dos.) tactics used by a social engineer… • intimidación / intimidation • urgencia / urgency 13. ¿Cuáles son dos indicadores comunes del correo no deseado? (Escoge dos.) •

El correo electrónico tiene palabras mal escritas o errores de puntuación o ambos / The email has misspelled words..

•

El correo electrónico no tiene línea de asunto / The email has no subject line

14. ¿Qué término describe el envío de un mensaje SMS corto y engañoso utilizado para engañar a un objetivo para que visite un sitio web? • smishing 15. Una computadora presenta a un usuario una pantalla que solicita el pago antes de que el mismo usuario pueda acceder a los datos del usuario. ¿Qué tipo de malware es este? presenting a user… • un tipo de ransomware 16. ¿Cuál es el nombre del tipo de software que genera ingresos al generar ventanas emergentes molestas? revenue.. • adware 17. ¿Qué modifica un nekit? • sistema operativo 18. ¿Cuál es el nombre dado a un programa o código de programa que omite la autenticación normal? bypasses.. • puerta trasera/ backdoor CAP 4 1. Une la descripción con el término correcto. (No se utilizan todos los objetivos). • • • •

esteganalisis—> descubriendo que existe información oculta dentro de un archivo gráfico / discovering esteganografía—> ocultar datos dentro de un archivo de audio / hiding datat esteganografía social —> crear un mensaje q dice una cosa pero significa otra cosa para un público específico/crea ofuscación -> hacer un mensaje confuso para que sea más difícil de entender / making

2. ¿Qué tipo de cifrado es capaz de cifrar un bloque de texto plano de longitud fija en un bloque de texto cifrado de 128 bits en cualquier momento? cipher is able.. • Bloquear 3. ¿Qué término describe la tecnología q protege el software dl acceso o modificación no autorizados? unauthorized ac • marca de agua / watermarking 4. ¿Cuáles son tres ejemplos de controles de acceso administrativo? (Elige tres.) administrative Access… • Políticas y procedimientos / policies and procedures • prácticas de contratación / hiring practices} • erificaciones de antecedentes / background checks 5. ¿Qué dos términos se usan para describir claves de cifrado? (Escoge dos.) cipher keys… • espacio clave / key space • longitud clave / key lenght 6. ¿Cuál es el nombre del método en el que se reorganizan las letras para crear el texto cifrado? which letters • transposición / transposition

7. Haga coincidir el tipo de autenticación multifactor con la descripción. • un llavero de seguridad/a security key fob ————> algo que tienes/something you have • un escaneo de huellas digitales/ a fingerprint scan ————> algo que eres/something you are • una contraseña/ a password ————> algo que sabes/something you now 8. ¿Qué algoritmo criptográfico utiliza la NSA e incluye el uso de curvas elípticas para la generación de firma digital y el intercambio de claves? • ECC 9. ¿Qué término se usa para describir el ocultamiento de datos en otro archivo como un gráfico, audio u otro archivo de texto? Concealing… • Esteganografía / steganography 10. ¿Qué algoritmo de cifrado en bloque de 128-bits utiliza el gobierno de los Estados Unidos para proteger la información clasificada? US government… • AES 11. ¿Qué término se usa para describir la tecnología que reemplaza la información confidencial con una versión no sensible? describe the technology… • Enmascaramiento/ masking 12. ¿Qué tres dispositivos representan ejemplos de controles de acceso físico? (Elige tres.) examples of physical… • cámaras de vídeo / video cameras • tarjetas magnéticas / swipe cards • cabellos / locks 13. ¿Qué algoritmo asimétrico proporciona un método de intercambio electrónico de claves para compartir la clave secreta? Electronic key… • Diffie-Hellman 14. ¿Qué algoritmo de cifrado usa la misma clave precompartida para cifrar y descifrar datos? Same pre-shared… • Simétrico / Symmetric 15. ¿Qué tres protocolos usan algoritmos de clave asimétrica? (Elige tres.) use asymmetric… • Shell seguro (SSH) • Bastante buena privacidad (PGP) • Capa de sockets seguros (SSL) 16. ¿Qué tres procesos son ejemplos de controles de acceso lógico? (Elige tres.) examples of logical… • cortafuegos para controlar el tráfico / firewalls to monitor traffic • sistema de detección de intrusos (IDS) para detectar actividad sospechosa en la red / instrusion detection • biometría para validar características físicas/ firewalls to monitor traffic 17. ¿Cuál es el término utilizado para describir la ciencia de hacer y romper códigos secretos? science of making.. • criptología / cryptology 18. ¿Qué algoritmo de cifrado utiliza una clave para cifrar datos y una clave diferente para descifrar datos? uses one.. • Asimétrico / Asymmetric 19. ¿Qué tipo de cifrado cifra el texto plano un byte o un bit a la vez? encrypts plaintext… • Corriente/ stream

20. Una pancarta de advertencia que enumera los resultados negativos de romper la política de la compañía se muestra cada vez que un usuario de la computadora inicia sesión en la máquina. ¿Qué tipo de control de acceso se implementa? • Disuasorio/ deterrent Cap 5 1. Un correo electrónico reciente enviado a toda la compañía indicó que habría un cambio en la política de seguridad. El oficial de seguridad que presuntamente envió el mensaje declaró que el mensaje no fue enviado desde la oficina de seguridad y que la compañía puede ser víctima de un correo electrónico fraudulento. ¿Qué podría haberse agregado al mensaje para asegurar que el mensaje realmente vino de la persona? email sent throughout… • firma digital / digital signature 2. Un investigador encuentra una unidad USB en la escena del crimen y quiere presentarla como evidencia en la corte. El investigador toma la unidad USB y crea una imagen forense de la misma y toma un hash tanto del dispositivo USB original como de la imagen que se creó. ¿Qué intenta probar el investigador sobre la unidad USB cuando la evidencia se presenta en la corte? finds a USB.. • Los datos en la imagen son una copia exacta y el proceso no ha alterado nada. / the data in the image is an exact 3. Un usuario se conecta a un servidor de comercio electrónico para comprar algunos widgets para una empresa. El usuario se conecta al sitio y nota que no hay bloqueo en la barra de estado de seguridad del navegador. El sitio solicita un nombre de usuario y contraseña y el usuario puede iniciar sesión. ¿Cuál es el peligro al proceder con esta transacción? is connecting to an… • El sitio no está utilizando un certificado digital para asegurar la transacción, con el resultado de que todo está claro. / The site is not using a digital certificate to secure 4. ¿Cuáles son los tres criterios de validación utilizados para una regla de validación? (Elige tres.) validation criterial.. • Distancia/ range • Tamaño/ size • Formato/ format 5. ¿Cuál es el estándar para una infraestructura de clave pública para administrar certificados digitales? standard for a. • x.509 6. ¿Cuál es el proceso paso a paso para crear una firma digital? Step by step.. • Crea un resumen del mensaje; cifrar el resumen con la clave privada del remitente; y agrupar el mensaje, el resumen encriptado y la clave pública para firmar el documento. / Create a message digest; encrypt 7. ¿Cuáles son los tres algoritmos de firma digital aprobados por el NIST? (Elige tres.) NIST-approved.. • ECDSA • RSA • DSA 8. Un usuario está evaluando la infraestructura de seguridad de una empresa y se da cuenta de que algunos sistemas de autenticación no utilizan las mejores prácticas a la hora de almacenar contraseñas. El usuario puede descifrar contraseñas muy rápido y acceder a datos confidenciales. El usuario desea presentar una recomendación a la empresa sobre la implementación adecuada de la salazón para evitar las técnicas de descifrado de contraseñas. ¿Cuáles son las tres mejores prácticas para implementar la salazón? (Elige tres.) evaluating the security… • Un salto no debe reutilizarse. / A salt should not be reused. • Un salto debe ser única para cada contraseña. / A salt should be unique for each password • Un salto debe ser única. / A salt must be unique.

9. Un jefe le indica a un usuario que busque un mejor método para proteger las contraseñas en tránsito. El usuario ha investigado varios medios para hacerlo y se ha decidido a usar HMAC. ¿Cuáles son los elementos clave necesarios para implementar HMAC? by a boss to… • clave secreta y resumen del mensaje / secret key and message digest 10. ¿Qué método prueba todas las contraseñas posibles hasta que se encuentre una coincidencia? tries all posible.. • fuerza bruta / brute force 11. Un usuario es el administrador de la base de datos de una empresa. Se le ha pedido al usuario que implemente una regla de integridad que establezca que cada tabla debe tener una clave principal y que la columna o columnas elegidas para ser la clave principal deben ser únicas y no nulas. ¿Qué requisito de integridad está implementando el usuario? • integridad de la entidad/ entity integrity 12. ¿Cuáles son los tres tipos de ataques que se pueden prevenir mediante el uso de sal? (Elige tres.) preventable .. • mesas multicolor / rainbow tables • tablas de búsqueda inversa / reverse lookup tables • tablas de búsqueda / lookup tables 13. Identifique tres situaciones en las que se puede aplicar la función hash. (Elige tres.) the hashing… • CHAP • PKI • IPsec 14. ¿Cuál es el propósito de CSPRNG? • para generar sal / to generate salt 15. Una violación reciente en una empresa se atribuyó a la capacidad de un hacker de acceder a la base de datos corporativa a través del sitio web de la empresa mediante el uso de datos con formato incorrecto en el formulario de inicio de sesión. ¿Cuál es el problema con el sitio web de la empresa? recent breach • validación de entrada deficiente / poor input validation 16. Un usuario ha creado un nuevo programa y quiere distribuirlo a todos en la empresa. El usuario quiere asegurarse de que cuando se descarga el programa, el programa no se cambie mientras está en tránsito. ¿Qué puede hacer el usuario para asegurarse de que el programa no se cambia cuando se descarga? new program… • Cree un hash del archivo de programa que pueda usarse para verificar la integridad del archivo después de descargarlo. / Create a hash of the program file that can be used to 17. Alice y Bob usan la misma contraseña para iniciar sesión en la red de la empresa. Esto significa que ambos tendrían exactamente el mismo hash para sus contraseñas. ¿Qué se podría implementar para evitar que ambos hashes de contraseña sean iguales? use the same password… • Salazón / salting 18. Se le ha pedido a un usuario que implemente IPsec para conexiones externas entrantes. El usuario planea usar SHA-1 como parte de la implementación. El usuario quiere garantizar la integridad y autenticidad de la conexión. ¿Qué herramienta de seguridad puede usar el usuario? inbound external.. • HMAC 19. Un usuario descarga un controlador actualizado para una tarjeta de video desde un sitio web. Aparece un mensaje de advertencia que dice que el controlador no está aprobado. ¿Qué le falta a este software? updated driver • firma digital / digital signature 20. ¿Cuál es la fuerza de usar una función de hashing? Strength… • Es una función unidireccional y no reversible. / It is a one-way function and not reversible.

CAP 6 1. Se le ha pedido a un equipo que cree un plan de respuesta a incidentes para incidentes de seguridad. ¿En qué fase de un plan de respuesta a incidentes obtiene el equipo la aprobación del plan por parte de la gerencia? team has been • Preparación / preparation 2. Un usuario es un consultor que es contratado para preparar un informe al Congreso sobre qué industrias deberían estar obligadas a mantener cinco nueve disponibilidad. ¿Qué tres industrias debe incluir el usuario en un informe? (Elige tres.) consultant who… • cuidado de la salud / healthcare • financiar / finance • seguridad Pública / public safety 3. Al CEO de una empresa le preocupa que si se produce una violación de datos y se exponen los datos del cliente, la empresa podría ser demandada. El CEO toma la decisión de comprar un seguro para la empresa. ¿Qué tipo de mitigación de riesgos está implementando el CEO? CEO of… • Transferencia / transference 4. Un usuario ha completado un proyecto de seis meses para identificar todas las ubicaciones de datos y catalogar la ubicación. El siguiente paso es clasificar los datos y producir algunos criterios sobre la sensibilidad de los datos. ¿Qué dos pasos puede tomar el usuario para clasificar los datos? (Escoge dos.) six month.. • Establecer el propietario de los datos. / Establish the owner of the data. • Identificar la sensibilidad de los datos. / Identify sensitivity of the data. 5. Se le pide a un usuario que realice un análisis de riesgo de una empresa. El usuario solicita la base de datos de activos de la compañía que contiene una lista de todos los equipos. El usuario utiliza esta información como parte de un análisis de riesgos. ¿Qué tipo de análisis de riesgo podría realizarse? perform a risk.. • Cuantitativo / Quantitative 6. Se le pide a un usuario que evalúe la postura de seguridad de una empresa. El usuario observa los intentos anteriores de entrar en la empresa y evalúa las amenazas y exposiciones para crear un informe. ¿Qué tipo de análisis de riesgo podría realizar el usuario? evaluate the security… • Cualitativo / qualitative 7. Se le pide a un usuario que cree un plan de recuperación ante desastres para una empresa. El usuario debe tener algunas preguntas respondidas por la gerencia para continuar. ¿Qué tres preguntas debe hacer el usuario a la gerencia como parte del proceso de creación del plan? (Elige tres.) a disaster… • ¿Dónde realiza el proceso el individuo? / Where does the individual perform the process? • ¿Quién es responsable del proceso? / Who is responsible for the process • Cual es el proceso / What is the process? 8. Un usuario necesita agregar redundancia a los enrutadores de una empresa. ¿Cuáles son las tres opciones que puede usar el usuario? (Elige tres.) redundancy to… • GLBP • HSRP • VRRP 9. Un usuario fue contratado como el nuevo oficial de seguridad. Uno de los primeros proyectos fue hacer un inventario de los activos de la empresa y crear una base de datos integral. ¿Qué tres datos le gustaría capturar al usuario en una base de datos de activos? (Elige tres.) hired as the new… • estaciones de trabajo / workstations • sistemas operativos / operating systems • dispositivos de red de hardware / hardware network devices

10. Una empresa está preocupada por el tráfico que fluye a través de la red. Existe la preocupación de que pueda existir malware que no esté siendo bloqueado o erradicado por el antivirus. ¿Qué tecnología se puede implementar para detectar el posible tráfico de malware en la red? traffic that flows… • IDS 11. Se ha producido una violación de seguridad en una gran empresa. El equipo del incidente respondió y ejecutó su plan de respuesta al incidente. ¿Durante qué fase se aplican las lecciones aprendidas? breach has • post-incidente / post-incident 12. Un usuario está rediseñando una red para una empresa pequeña y quiere garantizar la seguridad a un precio razonable. El usuario despliega un nuevo firewall que reconoce las aplicaciones con capacidades de detección de intrusos en la conexión del ISP. El usuario instala un segundo firewall para separar la red de la empresa de la red pública. Además, el usuario instala un IPS en la red interna de la empresa. ¿Qué enfoque está implementando el usuario? • en capas / layered 13. Se le pide a un usuario que evalúe el centro de datos para mejorar la disponibilidad de los clientes. El usuario se da cuenta de que solo hay una conexión ISP, parte del equipo está fuera de garantía, no hay piezas de repuesto y nadie estaba monitoreando el UPS que se disparó dos veces en un mes. ¿Qué tres deficiencias en alta disponibilidad ha identificado el usuario? (Elige tres.) evaluate the data… • puntos únicos de falla / single points of failure • falla al detectar errores a medida que ocurren / failure to detect errors as they occur • falla al diseñar para confiabilidad / failure to detect errors as they occur 14. Un usuario ejecuta una auditoría de rutina del hardware del servidor en el centro de datos de la empresa. Varios servidores están utilizando unidades individuales para alojar sistemas operativos y múltiples tipos de soluciones de almacenamiento conectadas para almacenar datos. El usuario quiere ofrecer una mejor solución para proporcionar tolerancia a fallas durante una falla del disco. ¿Qué solución es la mejor? Routine… • RAID 15. Un usuario está evaluando la infraestructura de red de una empresa. El usuario observó muchos sistemas y dispositivos redundantes, pero no una evaluación general de la red. En un informe, el usuario enfatizó los métodos y configuraciones necesarios en su conjunto para hacer que la red sea tolerante a fallas. ¿Cuál es el tipo de diseño que el usuario enfatiza? the network infrastructure.. • Elástico / resilient 16. Un usuario está comprando un nuevo servidor para el centro de datos de la compañía. El usuario quiere bandas de disco con paridad en tres discos. ¿Qué nivel de RAID debe implementar el usuario? purchasing a … Respuesta: 5 17. Una empresa contrató a un usuario para proporcionar una infraestructura de red de alta disponibilidad. El usuario desea generar redundancia en la red en caso de falla del conmutador, pero quiere evitar el bucle de capa 2. ¿Qué implementaría el usuario en la red? was hired by… • Protocolo Spanning Tree / Spanning Tree Protocol CAP 7 1. Un usuario propone la compra de una solución de administración de parches para una empresa. El usuario quiere dar razones por las cuales la compañía debería gastar dinero en una solución. ¿Qué beneficios ofrece la gestión de parches? (Elige tres.) proposing… • Los administradores pueden aprobar o denegar parches. / Administrators can approve or deny patches. • Las actualizaciones se pueden forzar en los sistemas de inmediato. / Updates can be forced on systems • Las actualizaciones no se pueden eludir. / Updates cannot be circumvented.

2. Un usuario llama a la mesa de ayuda quejándose de que se instaló una aplicación en la computadora y que la aplicación no puede conectarse a Internet. No hay advertencias antivirus y el usuario puede navegar por Internet. ¿Cuál es la causa más probable del problema? that an application… • firewall de la computadora / computer firewall 3. Las empresas pueden tener diferentes centros de operación que manejan diferentes problemas con las operaciones de TI. Si un problema está relacionado con la infraestructura de red, ¿qué centro de operaciones sería responsable? • NOC 4. ¿Por qué es WPA2 mejor que WPA? WPA2 better… • uso obligatorio de algoritmos AES / mandatory use of AES algorithms 5. Una empresa quiere implementar el acceso biométrico a su centro de datos. A la compañía le preocupa que las personas puedan burlar el sistema al ser aceptadas falsamente como usuarios legítimos. ¿Qué tipo de error es la falsa aceptación? implement biometric… • Tipo II 6. Un administrador de un pequeño centro de datos desea un método flexible y seguro para conectarse de forma remota a los servidores. ¿Qué protocolo sería mejor utilizar? small data… • Cubierta segura / Secure Shell 7. ¿Qué servicio resolverá una dirección web específica en una dirección IP del servidor web de destino? resolve a.. • DNS 8. ¿Qué tres elementos son malware? (Elige tres.) items are… • virus • caballo de Troya / trojan horse • keylogger 9. El CIO quiere asegurar los datos en las computadoras portátiles de la compañía mediante la implementación de cifrado de archivos. El técnico determina que el mejor método es cifrar cada disco duro con Windows BitLocker. ¿Qué dos cosas son necesarias para implementar esta solución? (Escoge dos.) secure data.. • al menos dos volúmenes / at least two volumes • TPM 10. Un usuario realiza una solicitud para implementar un servicio de administración de parches para una empresa. Como parte de la solicitud, el usuario debe proporcionar una justificación para la solicitud. ¿Qué tres razones puede utilizar el usuario para justificar la solicitud? (Elige tres.) request to… • no hay oportunidades para que los usuarios eludan las actualizaciones / no opportunities for users to circumvent • la capacidad de obtener informes sobre sistemas / the ability to obtain reports on systems • la capacidad de controlar cuándo ocurren las actualizaciones / the ability to control when updates occur 11. El gerente de soporte de escritorio desea minimizar el tiempo de inactividad para estaciones de trabajo que se bloquean o tienen otros problemas relacionados con el software. ¿Cuáles son las tres ventajas de usar la clonación de disco? (Elige tres.) desktop.. • puede proporcionar una copia de seguridad completa del sistema / can provide a full system backup • más fácil de implementar nuevas computadoras dentro de la organización / easier to deploy new computers • asegura una máquina limpia con imágenes / ensures a clean imaged machine 12. Se le pide a un usuario que analice el estado actual de un sistema operativo de computadora. ¿Con qué debe comparar el usuario el sistema operativo actual para identificar posibles vulnerabilidades? asked to analyze… • una línea de base / baseline

13. ¿Cuál es la diferencia entre un HIDS y un firewall? HIDS and • Un HIDS monitorea los sistemas operativos en las computadoras host y procesa la actividad del sistema de archivos. Los firewalls permiten o niegan el tráfico entre la computadora y otros sistemas / An HIDS monitors operating systems on . 14. ¿Cuáles son los tres tipos de problemas de energía que deben preocupar a un técnico? (Elige tres.) types of power • Apagón / blackout • Apagón / brownout • Espiga / spike 15. Se saca una PC nueva, se inicia y se conecta a Internet. Los parches fueron descargados e instalados. El antivirus fue actualizado. Para fortalecer aún más el sistema operativo, ¿qué se puede hacer? new PC… • Eliminar programas y servicios innecesarios. / Remove unnecessary programs and services. 16. La compañía tiene muchos usuarios que teletrabajan. Se necesita encontrar una solución para que se pueda establecer un canal de comunicación seguro entre la ubicación remota de los usuarios y la empresa. ¿Cuál es una buena solución para esta situación? Telecommute.. • VPN 17. ¿Por qué no se debe usar WEP en redes inalámbricas hoy? should WEP • fácil de romper / easily crackable 18. Un usuario llama a la mesa de ayuda quejándose de que la contraseña para acceder a la red inalámbrica ha cambiado sin previo aviso. El usuario puede cambiar la contraseña, pero una hora después, ocurre lo mismo. ¿Qué podría estar pasando en esta situación? the password… • punto de acceso no autorizado / rogue access point 19. Un pasante ha comenzado a trabajar en el grupo de apoyo. Una tarea es establecer una política local para las contraseñas en las estaciones de trabajo. ¿Qué herramienta sería mejor usar? intern has… • secpol.msc 20. El gerente de un departamento sospecha que alguien está intentando ingresar a las computadoras por la noche. Se le pide que averigüe si este es el caso. ¿Qué registro habilitarías? suspects someone • auditoría / audit 21. Después de una auditoría de seguridad para una organización, se descubrió que varias cuentas tenían acceso privilegiado a sistemas y dispositivos. ¿Qué tres mejores prácticas para asegurar cuentas privilegiadas deben incluirse en el informe de auditoría? (Elige tres.) multiple accounts… • Hacer cumplir el principio del menor privilegio. / Enforce the principle of least privilege. • Almacenamiento seguro de contraseña. / unauthorized port scanning and network probing • Reduzca la cantidad de cuentas privilegiadas. / unlocked access to network equipment CAP 8 1. Se le pide a un auditor que evalúe la LAN de una empresa para detectar posibles amenazas. ¿Cuáles son tres amenazas potenciales que el auditor puede señalar? (Elige tres.) LAN of • un firewall mal configurado/ a misconfigured firewall • escaneo de puertos no autorizado y sondeo de red / unauthorized port scanning and network probing • acceso desbloqueado a equipos de red / unlocked access to network equipment 2. Como parte de la política de RR. HH. En una empresa, una persona puede optar por no compartir la información con un tercero que no sea el empleador. ¿Qué ley protege la privacidad de la información personal compartida? HR.. • GLBA

3. Como profesional de seguridad, existe la posibilidad de tener acceso a datos y activos confidenciales. ¿Cuál es un elemento que un profesional de seguridad debe comprender para tomar decisiones éticas informadas? understand in.. • leyes que rigen los datos / laws governing the data 4. Se le pide a un profesional de seguridad que realice un análisis del estado actual de la red de una empresa. ¿Qué herramienta usaría el profesional de seguridad para escanear la red solo en busca de riesgos de seguridad? perform an • escáner de vulnerabilidades / vulnerability scanner 5. Se contrata a un consultor para que haga recomendaciones sobre la gestión de amenazas de dispositivos en una empresa. ¿Cuáles son las tres recomendaciones generales que se pueden hacer? (Elige tres.) recommendations on.. • Deshabilitar los derechos administrativos para los usuarios. / Disable administrative rights for users • Habilitar escaneos antivirus automatizados. / Enable automated antivirus scans. • Activar bloqueo de pantalla. / Enable screen lockout. 6. ¿Qué tres servicios ofrece CERT? (Elige tres.) • Desarrollar herramientas, productos y métodos para analizar vulnerabilidades. / to analyse vulnerabilities • Desarrollar herramientas, productos y métodos para realizar exámenes forenses. / to conduct forensic • resolver vulnerabilidades de software / resolve software vulnerabilities 7. ¿Cuáles son los dos elementos que se pueden encontrar en el sitio web de Internet Storm Center? (Escoge dos.) • Informes de InfoSec / InfoSec reports • Ofertas de trabajo de InfoSec / InfoSec job postings 8. ¿Qué se puede usar para calificar las amenazas por un puntaje de impacto para enfatizar vulnerabilidades importantes? rate threats • NVD 9. Se produce un incumplimiento en una empresa que procesa información de tarjeta de crédito. ¿Qué ley específica de la industria regula la protección de datos de tarjetas de crédito? credit card data.. • PCI DSS 10. ¿Por qué Kali Linux es una opción popular para probar la seguridad de red de una organización? • Es una distribución de seguridad de Linux de código abierto y contiene más de 300 herramientas. 11. Una empresa está intentando reducir el costo de implementación de software comercial y está considerando un servicio basado en la nube. ¿Qué servicio basado en la nube sería mejor para alojar el software? is attempting • SaaS 12. Una organización ha implementado una infraestructura de nube privada. Se le pide al administrador de seguridad que proteja la infraestructura de posibles amenazas. ¿Qué tres tácticas se pueden implementar para proteger la nube privada? (Elige tres.) cloud infrastructure… • Actualice dispositivos con correcciones y parches de seguridad. / Update devices with security fixes and patches. • Probar el tráfico entrante y saliente. / Test inbound and outbound traffic. • Desactive el ping, el sondeo y el escaneo de puertos. / Disable ping, probing, and port scanning. 13. Un administrador de la escuela está preocupado con la divulgación de información del estudiante debido a una violación. ¿Bajo qué acto se protege la información del estudiante? school administrator • FERPA 14. ¿Cuáles son las tres categorías generales para los puestos de seguridad de la información? (Elige tres.) categories.. • Definidores / definers • Monitores / monitors • Constructores / builders

15. ¿Cuáles son dos amenazas potenciales para las aplicaciones? (Escoge dos.) threats to applications • pérdida de datos / date loss • Acceso no autorizadov/ unauthorized Access 16. Si una persona accede a sabiendas a una computadora del gobierno sin permiso, ¿a qué leyes federales estaría sujeta? • CFAA 17. Una compañía ha tenido varios incidentes que involucran a usuarios que descargan software no autorizado, usan sitios web no autorizados y dispositivos USB personales. El CIO quiere establecer un esquema para administrar las amenazas de los usuarios. ¿Qué tres cosas podrían implementarse para gestionar las amenazas? (Elige tres.) incidents • Desactivar el acceso a CD y USB. / Disable CD and USB access • Proporcionar capacitación sobre conciencia de seguridad. / Provide security awareness training. • Utilice el filtrado de contenido. / Use content filtering. 18. ¿Cuáles son las tres exenciones de divulgación que pertenecen a la FOIA? (Elige tres.) pertain.. • información comercial confidencial / confidential business information • información sobre seguridad nacional y política exterior / national security and foreign policy information • registros de aplicación de la ley que implican uno de un conjunto de preocupaciones enumeradas / law enforcmt 19. Visitantes no autorizados han ingresado a la oficina de una compañía y están caminando alrededor del edificio. ¿Qué dos medidas se pueden implementar para evitar el acceso de visitantes no autorizados al edificio? (Escoge dos.) • Establecer políticas y procedimientos para los huéspedes que visitan el edificio. / Establish policies and procedures • Lleve a cabo capacitaciones de concientización sobre seguridad regularmente. Conduct security awareness 1. Se le pide a un especialista en ciberseguridad que identifique a los posibles delincuentes que atacan a la organización. ¿Con qué tipo de piratas informáticos estaría menos preocupado el especialista en ciberseguridad? be least.. • hackers de sombrero blanco / white hat hackers 2. ¿Qué enunciado describe mejor la motivación de los hacktivistas? statement best… • Forman parte de un grupo de protesta detrás de una causa política. / They are part of a protest group behind 3. ¿Cuál es un ejemplo de sistemas de alerta temprana que pueden usarse para frustrar a los cibercriminales? • Proyecto Honeynet / Honeynet Project 4. ¿Qué tecnología se debe usar para hacer cumplir la política de seguridad de que un dispositivo informático se debe verificar con la última actualización de antivirus antes de que el dispositivo pueda conectarse a la red del campus? • NAC 5. ¿Qué estado de datos se mantiene en los servicios NAS y SAN? in NAS… • datos almacenados / stored data 6. ¿Cuáles son los tres estados de datos durante los cuales los datos son vulnerables? (Elige tres.) is vulnerable… • datos almacenados / stored data • datos en proceso / data in-process • datos en tránsito / data in-transit 7. ¿Qué tecnología se puede utilizar para garantizar la confidencialidad de los datos? • Cifrado / encryption 8. Un especialista en ciberseguridad está trabajando con el personal de TI para establecer un plan efectivo de seguridad de la información. ¿Qué combinación de principios de seguridad forma la base de un plan de seguridad? IT staff… • confidencialidad, integridad y disponibilidad / confidentiality, integrity, and availability

9. ¿Cuáles son las dos formas más efectivas de defenderse contra el malware? (Escoge dos.) ways to defend.. • Actualice el sistema operativo y otras aplicaciones de software. / Update the operating system and other app soft • Instalar y actualizar el software antivirus. / Install and update antivirus software. 10. ¿Qué es un ataque de suplantación que aprovecha una relación confiable entre dos sistemas? Impersonation… • suplantación de identidad / Spoofing 11. Los usuarios informan que el acceso a la red es lento. Después de interrogar a los empleados, el administrador de la red se enteró de que un empleado descargó un programa de escaneo de terceros para la impresora. ¿Qué tipo de malware podría introducirse que causa un rendimiento lento de la red? is slow … • gusano / worm 12. ¿Qué enunciado describe un ataque distribuido de denegación de servicio? Denial… • Un atacante construye una red de bots compuesta de zombis. / An attacker builds a botnet comprised of zombies 13. ¿Qué tipo de ataque a la aplicación ocurre cuando los datos van más allá de las áreas de memoria asignadas a la aplicación? of application attack… • desbordamiento de búfer / buffer overflow 14. ¿Qué tipo de ataque ha experimentado una organización cuando un empleado instala un dispositivo no autorizado en la red para ver el tráfico de la red? attack has… • Olfatear / Sniffing 15. Un servicio de pruebas de penetración contratado por la compañía informó que se identificó una puerta trasera en la red. ¿Qué medidas debe tomar la organización para averiguar si los sistemas se han visto comprometidos? penetratio • Busque cuentas no autorizadas. / Look for unauthorized accounts 16. El departamento de TI tiene la tarea de implementar un sistema que controle lo que un usuario puede y no puede hacer en la red corporativa. ¿Qué proceso debe implementarse para cumplir con el requisito? IT department is… • un conjunto de atributos que describe los derechos de acceso del usuario / a set of attributes that describes user 17. ¿Qué tipo de control de acceso se consideran las tarjetas inteligentes y la biometría? Smart • lógico / logical 18. ¿Qué control de acceso debe usar el departamento de TI para restaurar un sistema a su estado normal? control sh • correctivo / Corrective 19. Un usuario tiene una gran cantidad de datos que deben mantenerse confidenciales. ¿Qué algoritmo cumpliría mejor este requisito? Large.. • 3DES 20. Alice y Bob usan una clave previamente compartida para intercambiar un mensaje confidencial. Si Bob quiere enviar un mensaje confidencial a Carol, ¿qué clave debe usar? • una nueva clave precompartida / a new pre-shared key 21. ¿Qué sucede cuando aumenta la longitud de la clave en una aplicación de cifrado? increases in… • Keyspace aumenta exponencialmente. Keyspace increases exponentially. 22. ¿En qué situación se justificaría un control de detectives? Situation.. • cuando la organización necesita buscar actividades prohibidas / when the organization needs to look for prohib 23. Una organización ha implementado un software antivirus. ¿Qué tipo de control de seguridad implementó la empresa? control did.. • control de recuperación /recovery control

24. Se le ha pedido que describa la validación de datos a los empleados de entrada de datos en las cuentas por cobrar. ¿Cuáles de los siguientes son buenos ejemplos de cadenas, enteros y decimales? integers mujer, 9866, $ 125.50 25. ¿Qué tecnología de hashing requiere el intercambio de claves? hashing technology • HMAC 26. Su organización se encargará de los oficios del mercado. Se le pedirá que verifique la identidad de cada cliente que está ejecutando una transacción. ¿Qué tecnología se debe implementar para autenticar y verificar las transacciones electrónicas de los clientes? Trades.. • Certificados digitales / digital certificates 27. ¿Qué tecnología se debe implementar para verificar la identidad de una organización, para autenticar su sitio web y para proporcionar una conexión cifrada entre un cliente y el sitio web? its website… • certificado digital / digital certificate 28. Alice y Bob están usando una firma digital para firmar un documento. ¿Qué clave debe usar Alice para firmar el documento para que Bob pueda asegurarse de que el documento proviene de Alice? sign a.. • clave privada de Alice / private key from Alice 29. ¿Cuál es una característica de una función hash criptográfica? feature of… • La función hash es una función matemática unidireccional. / The hash function is a one-way mathematical func 30. Se usará una VPN dentro de la organización para dar a los usuarios remotos un acceso seguro a la red corporativa. ¿Qué utiliza IPsec para autenticar el origen de cada paquete para proporcionar una verificación de integridad de datos? used within… • HMAC 31. ¿Qué algoritmo de hash se recomienda para la protección de información confidencial no clasificada? hashing algorit • SHA-256 32. Su administrador de riesgos acaba de distribuir un cuadro que utiliza tres colores para identificar el nivel de amenaza para los activos clave en los sistemas de seguridad de la información. El rojo representa un alto nivel de riesgo, el amarillo representa el nivel promedio de amenaza y el verde representa un bajo nivel de amenaza. ¿Qué tipo de análisis de riesgo representa este gráfico? distributed a • analisis cualitativo / qualitative análisis 33. ¿Cómo se llama cuando una organización solo instala aplicaciones que cumplen con sus pautas y los administradores aumentan la seguridad al eliminar todas las demás aplicaciones? only installs • estandarización de activos / asset standardization 34. ¿Mantener copias de seguridad de datos fuera del sitio es un ejemplo de qué tipo de control de recuperación ante desastres? Keeping • preventivo / Preventive 35. ¿Cuáles son las dos fases de respuesta a incidentes? (Escoge dos.) two incident • detección y análisis / detection and analysis • contención y recuperación / containment and recovery 36. El equipo está en el proceso de realizar un análisis de riesgos en los servicios de la base de datos. La información recopilada incluye el valor inicial de estos activos, las amenazas a los activos y el impacto de las amenazas. ¿Qué tipo de análisis de riesgo realiza el equipo al calcular la expectativa de pérdida anual? Calculating… • análisis cuantitativo / quantitative análisis

37. ¿Qué enfoque de disponibilidad proporciona la protección más completa porque múltiples defensas se coordinan juntas para prevenir ataques? coordinate • Estratificación / Layering 38. ¿Ser capaz de mantener la disponibilidad durante los eventos disruptivos describe cuál de los principios de alta disponibilidad? Disruptive… • resistencia del sistema / system resiliency 39. Hay muchos entornos que requieren cinco nueves, pero un entorno de cinco nueves puede tener un costo prohibitivo. ¿Cuál es un ejemplo de dónde el ambiente de los cinco nueves podría ser prohibitivo? are many.. • la Bolsa de Nueva York / the New York Stock Exchange 40. ¿Qué estrategias de mitigación de riesgos incluyen servicios de outsourcing y compra de seguros? Strategies.. • transferencia / Transfer 41. ¿Qué utilidad utiliza el Protocolo de mensajería de control de Internet (ICMP)? • ping 42. ¿Qué tecnología se puede utilizar para proteger VoIP contra las escuchas? • mensajes de voz encriptados / encrypted voice messages 43. ¿Qué utilidad de Windows se debe usar para configurar reglas de contraseña y políticas de bloqueo de cuenta en un sistema que no es parte de un dominio? utility should.. • Herramienta de política de seguridad local / Local Security Policy tool 44. En una comparación de sistemas biométricos, ¿cuál es la tasa de error cruzado? Crossover.. • tasa de falsos negativos y tasa de falsos positivos / rate of false negatives and rate of false positives 45. ¿Qué protocolo se usaría para proporcionar seguridad a los empleados que acceden a los sistemas de forma remota desde su hogar? security for… • SSH 46. ¿Qué tres protocolos pueden usar el Estándar de cifrado avanzado (AES)? (Elige tres.) use Advanced • WPA • WPA2 • 802.11i 47. ¿La autenticación mutua puede prevenir qué tipo de ataque? Mutual.. • hombre en el medio / man-in-the-middle 48. ¿Qué sitio web ofrece orientación sobre cómo elaborar una lista de verificación para proporcionar orientación sobre cómo configurar y fortalecer los sistemas operativos? website offers.. • El sitio web de la Base de datos de vulnerabilidad nacional / The National Vulnerability Database website 49. ¿Qué amenaza se mitiga a través de la capacitación de concientización del usuario y la vinculación de la concientización de seguridad con las evaluaciones de desempeño? Mitigated… • amenazas relacionadas con el usuario / user-related threats 50. ¿En qué dominios de ciberseguridad se encuentran los sistemas de climatización, sistemas de agua y contra incendios? water system • Facilidades físicas / physical facilities