DATOS PERSONALES FIRMA

Nombre: DNI:
Apellidos:
ESTUDIO ASIGNATURA CONVOCATORIA

MÁSTER UNIVERSITARIO 14131.- GOBIERNO DE LA

Ordinaria
EN CIBERSEGURIDAD CIBERSEGURIDAD Y ANÁLISIS
DE RIESGOS Número periodo 5732
(PLAN 2022)

CIUDAD DEL
FECHA MODELO
EXAMEN

03-05/03/2023 Modelo - 1

Etiqueta identificativa

INSTRUCCIONES GENERALES
1. Lee atentamente todas las preguntas antes de empezar.
2. La duración del examen es de 1 hora.
3. Escribe únicamente en color negro.
4. No está permitido utilizar más hojas de las que te facilita la UNIR.
5. El examen PRESENCIAL supone el 60% de la calificación final de la asignatura. Es
necesario aprobar el examen, para tener en cuenta la evaluación continua, aunque esta última
sí se guardará para la siguiente convocatoria en caso de no aprobar.
6. No olvides rellenar EN TODAS LAS HOJAS los datos del cuadro que hay en la parte
superior con tus datos personales.
7. El DNI/NIE/PASAPORTE debe estar sobre la mesa y disponible para su posible
verificación.
8. Apaga el teléfono móvil.
9. Las preguntas se contestarán en CASTELLANO.
10. El profesor tendrá muy en cuenta las faltas de ortografía en la calificación final.
11. Si en alguna de las respuestas se detecta un caso de copia de los materiales de la
asignatura, de cualquier otra fuente (por ejemplo, internet) o de otros compañeros, se
calificará el examen con 0 puntos.

Código de examen: 202339

 Puntuación
Test

 Puntuación máxima 4.00 puntos

Desarrollo

 Puntuación máxima 6.00 puntos

Responda a las siguientes 10 preguntas. Solo hay una respuesta correcta.

Cada respuesta correcta suma 0,4 puntos.
Cada pregunta incorrecta o sin responder no puntúa.
La pregunta que tenga más de una respuesta seleccionada quedará sin calificar.

1. ¿Qué es la declaración de aplicabilidad (también conocida como SoA)?

1. Un documento que contiene los controles definidos en el estándar ISO 27001, su

aplicabilidad y la justificación de su inclusión o exclusión en el SGSI.
2. Un documento que contiene únicamente los controles incluidos en el alcance del
SGSI.
3. Un documento que define de qué forma se aplicarán e implementarán los controles
definidos en el estándar ISO 27001.
4. Una declaración de intenciones para la implantación del SGSI por parte de la Alta
Dirección.

2. En el contexto de una métrica de seguridad, ¿qué es un atributo?

1. Objeto tangible o intangible que será caracterizado a través de mediciones.

2. Propiedad o característica de un objeto de medida, que puede ser distinguida
cuantitativa o cualitativamente.
3. Variable a la que se le asigna un valor como resultado de una medición.
4. Medida que ofrece una estimación o evaluación en un modelo de referencia de
acuerdo a unas necesidades de información definidas.

3. Indica que no es cierto sobre ITIL

1. ITIL recoge prácticas probadas de aplicabilidad general.

2. ITIL es propietario.
3. ITIL no es prescriptivo.
4. ITIL consiste en buenas prácticas.

4. ¿Qué no es cierto respecto a la Política de seguridad?

1. Recoge los principios y la estrategia de seguridad.

2. Traduce la cultura organizativa a cultura de seguridad.

Código de examen: 202339

 3. Es el documento de mayor jerarquía en el ámbito de la seguridad.
4. Debe ser actualizada al menos anualmente.

5. En el cuerpo normativo, ¿qué niveles se suelen especificar?:

1. Nivel estratégico, de operación y funcional.

2. Nivel estratégico, táctico/gestión y de operación.
3. Nivel estratégico, táctico y global.
4. Nivel global, de gestión y de operación.

6. Respecto al análisis de riesgos cuantitativo señale la respuesta incorrecta:

1. Apoya de una manera más efectiva los análisis coste/beneficio.

2. Dificulta la priorización de los riesgos
3. Utiliza métodos en función de valores numéricos
4. La subjetividad es difícil de plasmar

7. De acuerdo a la ISO 27005, la probabilidad de que se materialice una amenaza específica

no depende de:

1. La facilidad de explotación de la vulnerabilidad.

2. El número de activos.
3. La facilidad de obtención de beneficio por parte del atacante.
4. El atractivo del bien o el posible impacto.

8. Magerit es:

1. Una metodología centrada en la amenaza.

2. Una metodología centrada en el activo.
3. Una metodología centrada en las partes interesadas.
4. Una metodología centrada en la vulnerabilidad.

9. En función de cómo actúen las salvaguardas, estas pueden ser:

1. Preventivas y reactivas
2. Preventivas y correctivas
3. Preventivas y adaptativas
4. Correctivas y reactivas

10. Al seleccionar una metodología de gestión del riesgo debemos asegurarnos que sea:

1. Objetiva, eficaz, medible y replicable

2. Replicable, fiable, medible y objetiva
3. Replicable, fiable, medible y subjetiva
4. Objetiva, fiable, medible y flexible

Código de examen: 202339

 PLANTILLA DE RESPUESTAS
Preguntas / Opciones 1 2 3 4

1 X

2 X

3 X

4 X

5 X

6 X

7 X

8 X

9 X

10 X

Código de examen: 202339

Esta sección del examen corresponde a dos preguntas en las cuáles deberá desarrollar y
justificar lo indicado en el enunciado. El peso máximo de las preguntas es de 3 puntos cada
una.

1. Describa brevemente los siguientes conceptos relacionados con aspectos

económicos de la seguridad:

 Coste de ruptura: Se refiere los costos que un atacante necesita asumir para
comprometer o vulnerar un activo de información.
 Coste de construcción: Es el costo asociado a la contrucción o implementación de
un activo de información.
 Coste de protección: Costo asociado a la protección de un activo de información
para mitigar el riesgo de ser vulnerado
 Pérdida de beneficio: Son los costos asociados a la perdidas que ocasione la
ausencia del activo al haber sido comprometido por un ataque
 Coste de reconstrucción: Son los gastos asociados a reconstruir un activo de
información para su operación normal, luego de que fue afectado por un ataque.

A continuación, indique un situación para cada uno de ellos a modo de ejemplo.

Ejemplo: En un escenario en el que el activo es una pagina de Ecomerce, la cual cuenta con un
WAF, Servicio de backups, servicio de monitoreo de seguridad y antivirus. Un atacante logra
comprometer la pagina web con un ransomware.

 Costo de ruptura: En este tipo de costos se debe considerar los recursos que se
necesitaron por parte del atacante para comprometer la pagina web: por ejemplo el
tiempo invertido por el atacante para atacar la pagina, el costo de las herramientas que
ha usado, entre otros.
 Coste de construcción: En este tipo de costo se debe considerar todos los recursos que
la empresa necesito para construir la pagina web, por ejemplo: Tiempo de trabajadores,
costos de infraestructura, costos de desarrollo, etc.
 Coste de protección: Se refiere a la inversión que realiza la empresa para proteger la
pagina web, teniendo en cuenta nuestro ejercicio aquí entrarian los costos asociados a:
o El costo del WAF
o El costo del servicio de monitoreo de seguridad
o El costo del servicio de backups
o El costo del antivirus
 Perdida de beneficio: Se refiere a los costos generados por la indisponibilidad de la
pagina web, por ejemplo: si en promedio nuestra pagina vende 1000 USD por hora y la
pagina tiene una indisponibilidad de 12 horas el costo perdida de beneficio seria de
12.000 USD.
 Coste de reconstrucción: En esta categoria se contemplan los costos que la empresa
debería contemplar para reconstruir su pagina web en caso de ser afectada por un
atacante, por ejemplo el costo del tiempo invertido por los especialistas para
reestablecer los backups, el costo del tiempo invertido por especialistas para asegurar la
aplicación.

Código de examen: 202339

(Responder en 1 caras)

2. En el proceso de la gestión del riesgo, enumere las etapas de la evaluación del riesgo
y describa detalladamente los factores a considerar en la etapa de análisis de riesgo,
según la ISO 31000 (Responder en 1 caras)

La evaluación de riesgos se compone por tres etapas:

 Identificación del riesgo: Se refiere a la identificación de los factores que pueden generar
un riesgo, el objetivo es generar un listado de los posibles riesgos.
 Analisis del riesgo: En esta etapa se realiza el estudio de los riesgos y sus
caracteristicas con el fin de validar la probabilidad de que ocurran y el impacto que
causarían si se materializan. La finalidad de esta etapa es tener un listado de riesgos
con el nivel correspondiente de riesgo calculado de acuerdo a una relación entre la
probabilidad y el impacto.
 Valoracion del riesgo: En esta etapa se realiza una validación de los riesgos que se
encuentran fuera del apetito de riesgo de la empresa, por lo que se valida si el nivel de
cada uno de los riesgos esta por encima de lo definido por la entidad o no. En esta etapa
se pretende identificar los riesgos que requieren tratamiento.

Factores a considerar en la etapa de analisis de riesgos:

 Probabilidad: Que tan probable es que se presente el riesgo. Existen diversas formas de
estimar dicha probabilidad y dependera de lo que defina la empresa de acuerdo a su
metodologia. Hay que recordar que existen metodologias cualitativas y cuantitativas.
 Impacto: El efecto que puede tener el riesgo para la empresa u objetivos de negocio. De
igual manera depende de la metodologia propia adoptada por la empresa ya que se
puede medir de manera cualitativa o cuantitativa y usando varios enfoques, como por
ejemplo: Economico, operativo, reputacional, legal, entre otros.

Código de examen: 202339