gsi

En relación con la seguridad de los sistemas de información, selecciones la respuesta correcta: Amenaza es la debilidad de un sistema de información que puede ser explotada mediante un ataque. Impacto es la probabilidad de que se produzca un daño en la organización. Mecanismos de seguridad son las acciones llevadas a cabo encaminadas a reducir el riesgo sobre alguna vulnerabilidad. Vulnerabilidad es un evento que puede desencadenar un incidente en la organización, produciendo daños materiales o pérdidas inmateriales.

En cuál de las etapas del proceso de gestión de riesgos se decide quién es el responsable o propietario de cada riesgo?. Comunicación y consulta. Determinación del contexto. Tratamiento de riesgos. Valoración de riesgos.

Cuál de las siguientes opciones es una metodología de evaluación de amenazas?. Threat-attacks trees. Threat tailoring. Data-flow tres. APT identification.

Ignorar quien accede a que dato y cuando lo hace, afecta a la dimensión de la seguridad denominada: confidencialidad. disponibilidad. trazabilidad. integridad.

Qué significan las siglas GRC?. Gobernanza, Riesgo, Cumplimiento. Gestión, Riesgo, Control. Gobernanza, Rasgos, Control. Gestión, Riesgo, Cuidado.

Se entiende por disponibilidad de la información: La información utilizada será la última, exacta, autorizada y completa. Que cada persona accederá únicamente a la que le corresponda. Aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la información y sus activos asociados. Procedimiento o mecanismo tecnológico que reduce el riesgo.

La serie ISO 27000 contiene las mejores prácticas recomendadas en Seguridad de la información para desarrollar, implementar y mantener especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI). Respecto a las diferentes normas de esta serie es CIERTO: La ISO 27001 es la norma principal de la serie y contiene os requisitos del sistema de gestión de seguridad de la información. El Anexo A de la ISO 27001 enumera en forma de resumen los objetivos del control y controles que desarrolla. Es obligatoria la implementación de todos los controles enumerados en dicho anexo. La ISO 27002 es una guía para el desarrollo y utilización de métricas y técnicas de medida aplicables para determinar la eficacia de un SGSI y de los controles o grupos de controles implementados. La ISO 27003 es la única norma certificable de la serie.

Cuál de las siguientes afirmaciones es falsa?. NIST está orientado a EEUU mientras que ISO 27001 es internacional. NIST ofrece normas específicas mientras que ISO es más general y ofrece buenas prácticas. Tanto NIST como ISO 27001 disponen de organismos de certificación independientes. NIST ofrece normas flexibles y voluntarias mientras que ISO indica controles obligatorios para poder estar certificado.

En la herramienta PILAR, los activos esenciales son: La información, los servicios ofrecidos por los sistemas y los equipos hardware o de comunicaciones que los soportan. La información, las personas que manejan los sistemas y los servicios que proporcionan los sistemas. La información y los servicios manejados por los sistemas. Ninguna de las anteriores.

El contenido de la norma ISO 27001 se divide en secciones. Cuál de las siguientes NO se corresponde con una sección de la misma?. Mejoras del SGSI. Auditorías internas. Responsabilidad de la dirección. Plan de seguridad.

Cuál de los siguientes NO es un principio de protección de datos personales?. Exactitud. Integridad y Seguridad. Determinación. Limitación del plazo de conservación.

Qué es importante controlar es una buena gestión de BCPs?. Determinar cómo los riesgos afectarán a las operaciones. Implementación de salvaguardas y procedimientos para mitigar los riesgos. Procedimientos de prueba para asegurarse de que los controles funcionan. Todas las anteriores.

Para determinar el nivel aceptable de seguridad hay que llegar a un equilibrio entre: El coste de los daños VS El coste de sus consecuencias. El coste de las medidas de seguridad VS El presupuesto disponible. Los costes y la probabilidad de los daños VS El coste de las medidas y seguridad para evitarlos. El coste de los daños VS Los daños que somos capaces de aceptar.

A qué hace referencia el término TEMPEST?. A la realización de tests de penetración acotados en el tiempo para observar la degradación de la disponibilidad de los sistemas. A las investigaciones y estudios de emanaciones relacionadas con la información clasificada cuando se transmite, recibe, maneja o procesa de alguna manera por medios electrónicos. A la realización de estudios estadísticos temporales sobre los ataques que recibe una empresa. Ninguna de las anteriores.

Qué es un perfil de protección?. Un usuario con competencias especiales para proteger la seguridad de sistemas de gestión de información. Un conjunto de requisitos de seguridad (SFRs) para una categoría de productos o sistemas. Por ejemplo, para firma electrónica. Un tipo especial de software antivirus. Un conjunto de controles para asegurar la seguridad de un sistema.

Cuál de las siguientes afirmaciones sobre evaluación de riesgos NO es cierta?. La evaluación cuantitativa requiere un gran esfuerzo para la realización de cálculos. La evaluación semi-cualitativa permite la comparación de valores en cuanto a su orden relativo. La evaluación cualitativa se basa en el uso de escalas. La evaluación semi-cualitativa es la más habitual debido a su compromiso entre rigor y facilidad de utilización.

Cuál de los siguientes factores se pueden utilizar para determinar la probabilidad de que se materialice una amenaza según OWASP?. El nivel de habilidad que se requiera para llevar a cabo la amenaza, la existencia de motivaciones del atacante, la oportunidad para el atacante y la cantidad de posibles atacantes. La pérdida de confidencialidad, integridad o disponibilidad. El daño financiero, a la reputación, el no cumplimiento o la violación de privacidad. La combinación del impacto técnico y del impacto al negocio.

Cuál de las siguientes afirmaciones sobre organismos de ciberseguridad NO es cierta?. NIST está orientado a EEUU mientras que ISO 27001 es internacional. El INCIBE se enfoca en las personas y en las empresas privadas y el CCN en el sector público español. Las empresas del sector privado que presten servicios para el sector público español deben cumplir con los requerimientos del CCN. Tanto el INCIBE como el CCN reconocen a la ISO 27001 como la norma de referencia en seguridad de información.

Cuál de los siguientes NO es un control a nivel temporal?. Control preventivo. Control correctivo. Control para la detección. Control físico.

Por qué se establece en MAGERIT que las aplicaciones dependen de los datos y no al revés?. Porque los datos tienen más valor que las aplicaciones. No es cierto, en MAGERIT los datos dependen de las aplicaciones porque son las que permiten acceder a los datos. Es una decisión arbitraria, sin ninguna justificación clara. No es cierto, las dependencias en MAGERIT se establecen por este orden: instalaciones (facilities), equipamiento, aplicaciones y datos.

Qué norma de la familia ISO 27000 ofrece una metodología de gestión de riesgos?. ISO 27001. ISO 27002. ISO 27004. ISO 27005.

Indique cual de las siguientes afirmaciones es la correcta: La ciber-resiliencia es la capacidad de una empresa de adaptarse y continuar con sus funciones y su trabajo en situaciones de riesgo. Uno de los problemas en España es que todavía el CCN-CERT no tiene guías específicas para la medición de la ciber-resiliencia. A nivel europeo, la ciber-resiliencia no está contemplada como una de las prioridades. Las principales metas para que una empresa consiga ser ciber-resiliente son: respuesta adaptada, monitorización analítica, defensa coordinada y señuelos.

De las herramientas que exponemos a continuación, cuál de ellas no forma parte del stack ELK?. Elastic Search. Log4j. Kibana. Ninguna es correcta.

Con respecto a las lecciones aprendidas dentro de los frameworks de respuesta ante incidentes, cuál de las siguientes afirmaciones es correcta?. ISO 27035 las considera muy importantes, pero NIST 800-61 no las considera importantes. Ambas, tanto ISO 27035 como NIST 800-61, no las consideran importantes. Ambas, tanto ISO 27035 como NIST 800-61, las consideran muy importantes. Ni ISO 27035 ni NIST 800-61 hacen referencia a las lecciones aprendidas, por lo que se puede hacer consideraciones acerca de la importancia que les otorgan a las lecciones aprendidas.

Cómo se denomina al sistema que permite únicamente recolectar y almacenar los registros de logs pero no tiene capacidades de seguridad?. SIM (Security Information Management). SLM (Security Log Management). SEM (Security Event Management). SIEM (Security Information and Event Management).

Con respecto a los SOP, cuál de las siguientes afirmaciones es verdadera?. Los SOP deben ser razonablemente completos y detallados para asegurar que las prioridades de la organización se reflejen en operaciones de respuesta. Los SOP deben ser muy breves ya que ante un incidente no hay mucho tiempo para la lectura. Los SOP deben ser altamente inaccesibles. Los SOP no deben contemplar tareas que tengan que ver con la contención de un incidente.

Cuál de las siguientes sentencias sobre una línea temporal en la respuesta de incidentes de seguridad es incorrecta?. Una línea temporal se utiliza únicamente para conocer lo que están analizando los técnicos para resolver un incidente. En una línea temporal obligatoriamente se debe almacenar el timestamp (momento temporal concreto) en el que se produjeron todos los eventos que se creen relevantes sobre el incidente en cuestión. El objetivo de una línea temporal es formar un relato de lo ocurrido en el incidente, correlacionar los datos y buscar colaboración del equipo de resolución. Una línea temporal suele ser una herramienta interna que no suele presentar tal cual a los niveles intermedios o gerenciales.

Si en nuestra empresa estamos siguiendo el framework de respuesta ante incidentes NIST 800-61. Cuál sería en el orden correcto de las fases del proceso de respuesta ante incidentes?. 1. Preparación 2. Detección 3. Análisis 4. Contención, erradicación y recuperación 5. Actividad post-incidente. 1. Detección 2. Preparación y análisis 3. Contención, erradicación y recuperación 4. Actividad post-incidente. 1. Preparación 2. Detección y análisis 3. Contención, erradicación y recuperación 4. Actividad post-incidente. 1. Detección y análisis 2. Preparación 3. Contención, erradicación y recuperación 4. Actividad post-incidente.

Cuál de las siguientes funciones se encuentran dentro de las que se puede atribuir a un SIEM?. Gestión de logs. Chequeo de normativa. Correlación de eventos. Todas las anteriores.

Según la NIST 800-61, en qué fase deberíamos realizar la tarea de "Desplegar herramientas y recursos para tratar los incidentes"?. Preparación. Actividad post-mortem. Detección y análisis. Contención, erradicación y recuperación.

Cuál de las siguientes afirmaciones es incorrecta?. El grupo CSIRT.es tiene como fin ofrecer una respuesta coordinada ante ataques globales. Está compuesto por los principales equipos de respuesta a incidentes de seguridad de las entidades públicas españolas. El grupo CSIRT.es permite compartir información relevante sobre incidentes de seguridad. El grupo CSIRT.es lanza acciones coordinadas y recomendaciones ante situaciones que lo requieran.