Amenazas y Análisis de Riesgos - VIU

Según la norma ISO 31000:2018, el riesgo se define como: El grado de exposición a una amenaza tecnológica. El efecto de la incertidumbre sobre los objetivos. La posibilidad de que ocurra un evento fortuito sin impacto. La suma de vulnerabilidades detectadas en los activos.

¿Cuál de las siguientes afirmaciones describe mejor la gestión del riesgo?. Un proceso puntual para reaccionar ante incidentes. Un conjunto de medidas técnicas sin participación humana. Un proceso continuo de identificación, análisis y tratamiento de amenazas. Una acción limitada al departamento de TI.

¿Qué propósito principal tiene el análisis de riesgos en una organización?. Sustituir los controles de auditoría. Detectar empleados con bajo rendimiento. Minimizar la incertidumbre en la toma de decisiones. Aumentar los costos de seguridad.

¿Qué norma internacional se centra específicamente en la gestión de riesgos de seguridad de la información?. ISO 22301. ISO 27005. ISO 31000. ISO 9001.

¿Qué significa la sigla AARR dentro del contexto de seguridad?. Auditoría Avanzada de Riesgos Residuales. Análisis y Administración de Riesgos Residuales. Análisis y Gestión de Riesgos. Asociación de Analistas de Riesgos y Resiliencia.

En un análisis de riesgos, los activos representan: Solo los equipos informáticos. Cualquier recurso con valor para la organización. Los empleados del área de seguridad exclusivamente. Únicamente los datos personales.

¿Qué relación existe entre amenaza, vulnerabilidad y riesgo?. La amenaza elimina el riesgo si se detecta a tiempo. El riesgo se origina cuando una amenaza explota una vulnerabilidad. La vulnerabilidad neutraliza la amenaza automáticamente. La amenaza es consecuencia del riesgo.

¿Qué tres dimensiones fundamentales conforman el modelo CID en seguridad de la información?. Confidencialidad, Integridad y Disponibilidad. Comunicación, Innovación y Defensa. Control, Integración y Detección. Confianza, Identidad y Durabilidad.

¿Cuál de las siguientes NO es una dimensión adicional de la seguridad de la información según ISO 27001?. Autenticidad. Trazabilidad. Transparencia. No repudio.

¿Qué documento español se considera una referencia clave para el análisis de riesgos tecnológicos?. MAGERIT. ENS. GDPR. COBIT.

En el marco del análisis de riesgos, ¿qué representa el impacto?. El nivel de dificultad técnica de una amenaza. La medida del daño causado a un activo. La probabilidad de detectar una intrusión. El número de vulnerabilidades conocidas.

¿Qué establece la fórmula básica del riesgo según MAGERIT?. Riesgo = Vulnerabilidad / Amenaza. Riesgo = Amenaza x Activo. Riesgo = Probabilidad x Impacto. Riesgo = Salvaguarda – Activo.

¿Cuál es la principal característica de un ataque de ransomware?. Borrar información sin previo aviso. Cifrar archivos y exigir un rescate para liberarlos. Copiar información confidencial sin dañar los sistemas. Bloquear la conexión a Internet de forma temporal.

¿Qué significa APT (Advanced Persistent Threat)?. Amenaza Prolongada Tolerable. Amenaza Persistente Avanzada. Ataque Programado Temporal. Análisis de Penetración Técnica.

¿Qué tipo de ataque busca manipular interfaces web para que el usuario haga clic sin saberlo en elementos ocultos?. Clickjacking. Cross-Site Scripting. SQL Injection. Spoofing.

¿Cuál de los siguientes ataques compromete la autenticación sin contraseña mediante datos biométricos?. Man-in-the-Middle. Passwordless Hijacking. Credential Stuffing. Phishing de voz.

¿Qué técnica se utiliza para alterar datos de entrenamiento de un modelo de IA con el fin de manipular su comportamiento?. Data Poisoning. Deepfake Injection. Prompt Spoofing. Model Hijacking.

¿Cuál es la mejor defensa frente a ataques de phishing?. Instalar antivirus. Evitar abrir correos desconocidos. Implementar MFA y campañas de concienciación. Usar siempre contraseñas largas.

¿Qué tipo de ataque usa códigos QR para redirigir a sitios falsos?. Quishing. Smishing. Pharming. Doxing.

¿Qué es un ataque de “Prompt Injection”?. Un intento de forzar contraseñas mediante repetición de entradas. Manipular la entrada de texto para alterar el comportamiento de un sistema de IA. Envenenar los datos de entrenamiento de un modelo. Suplantar servidores DNS.

¿Qué caracteriza a un ataque de “Man-in-the-Middle”?. El atacante se interpone entre dos partes que se comunican. El atacante introduce malware en la BIOS. Se explota una vulnerabilidad en la nube. El atacante bloquea la red Wi-Fi.

¿Cuál es el principal objetivo de un ataque DDoS?. Interceptar contraseñas. Sobrecargar un servicio para dejarlo inoperativo. Robar datos cifrados. Obtener acceso físico a un servidor.

¿Qué vulnerabilidad aprovecha un ataque SQL Injection?. Validación incorrecta de entrada en consultas a bases de datos. Fallos en la configuración del servidor DNS. Envío masivo de correos no deseados. Cifrado débil en canales SSL.

¿Qué representa el “Insider Threat”?. Amenazas provenientes del exterior de la organización. Ataques automatizados por inteligencia artificial. Riesgos generados por empleados o colaboradores internos. Amenazas de proveedores externos.

¿Qué tipo de amenaza interna es la más común según estudios?. Fallos humanos no intencionados. Espionaje físico en oficinas. Instalación voluntaria de malware. Robo de credenciales por ex empleados.

¿Cuál de las siguientes es una amenaza externa común según el INCIBE?. Robo de contraseñas internas. Uso de software pirata. Desconfiguración intencional del firewall. Mal uso de políticas internas.

¿Qué elemento clave diferencia un ataque APT de un malware común?. Su corta duración. Su ejecución automática sin interacción humana. Su persistencia y sigilo en el tiempo. Su dependencia de ingeniería social.

¿Qué es un rootkit?. Un conjunto de herramientas que obtiene privilegios de administrador y oculta su presencia. Un virus de correo electrónico que se propaga automáticamente. Un exploit para navegadores web. Una técnica de phishing dirigida.

¿Qué caracteriza a los ataques de Ingeniería Social?. Explotan fallos técnicos del software. Se basan en la manipulación psicológica de las personas. Utilizan inteligencia artificial para crear deepfakes. Involucran hackeo de hardware físico.

¿Qué tipo de ataque busca engañar a un empleado para que autorice una transferencia fraudulenta mediante un correo simulado?. Phishing clásico. Business Email Compromise (BEC). Smishing. Watering Hole.

¿Qué es un activo según la norma UNE 71504:2008?. Un elemento de hardware con valor económico. Cualquier componente o funcionalidad de un sistema susceptible de ser atacado. Un documento de políticas internas de seguridad. Solo los datos personales del cliente.

¿Cuál de los siguientes se considera un activo esencial?. El mobiliario de oficina. La información y los servicios que presta la organización. Las contraseñas temporales. Los archivos temporales del sistema.

¿Qué relación existe entre activos esenciales y activos de soporte?. No hay relación directa. Los activos de soporte dependen del valor asignado a los esenciales. Los activos esenciales se evalúan solo si fallan los de soporte. Los de soporte son opcionales en el análisis.

¿Qué representa una vulnerabilidad?. Una medida de impacto financiero. La debilidad que puede ser explotada por una amenaza. Un evento sin consecuencias. Un tipo de activo físico.

¿Qué papel desempeñan las salvaguardas dentro del análisis de riesgos?. Son medidas que eliminan totalmente el riesgo. Son mecanismos que mitigan la probabilidad o el impacto de una amenaza. Son procedimientos administrativos sin efecto técnico. Son indicadores financieros del riesgo residual.

¿Cuál de los siguientes tipos de control pertenece a la categoría “preventivo”?. Un sistema de detección de intrusos. Una auditoría posterior a un incidente. Un firewall configurado correctamente. Un plan de recuperación ante desastres.

¿Qué tipo de control busca descubrir eventos o irregularidades después de que ocurren?. Correctivo. Preventivo. Detectivo. Disuasorio.

¿Qué caracteriza a un control correctivo?. Evita que ocurra un incidente. Permite recuperar el sistema tras un evento. Supervisa los logs del sistema. Detecta ataques en tiempo real.

¿Qué se entiende por “riesgo residual”?. El riesgo completamente eliminado por las contramedidas. El riesgo que queda después de aplicar las salvaguardas. El riesgo aceptado por los proveedores externos. El riesgo potencial antes de aplicar controles.

¿Cuál es la diferencia principal entre análisis cualitativo y cuantitativo del riesgo?. El primero usa escalas descriptivas y el segundo valores numéricos. El cuantitativo se basa en entrevistas, el cualitativo en cifras. Ambos son idénticos pero en distinto orden. El cualitativo siempre requiere herramientas especializadas.

¿Qué se debe evaluar para determinar el nivel de impacto de una amenaza?. La frecuencia del ataque. El valor del activo afectado y la degradación que sufriría. La cantidad de vulnerabilidades detectadas. El tipo de malware utilizado.

¿Qué representa el “efecto cascada” en un análisis de impacto?. Un tipo de ataque en cadena a varios sistemas. La propagación del daño desde un activo base hacia otros dependientes. La suma de vulnerabilidades acumuladas en el tiempo. El aumento exponencial del riesgo residual.

¿Qué norma establece los principios generales para la gestión de riesgos aplicables a cualquier organización?. ISO/IEC 27005. ISO 31000. ISO/IEC 27001. NIST SP 800-53.

¿Cuál es el principal propósito de la norma ISO/IEC 27005?. Definir los requisitos de seguridad física. Establecer los principios para la gestión de riesgos de la información. Regular los controles de privacidad de datos personales. Sustituir los procesos de auditoría.

¿Qué metodología española se basa en la ISO 31000 y la ISO 27005?. CRAMM. MAGERIT. OCTAVE. MEHARI.

¿Cuáles son las tres fases principales de MAGERIT?. Planificación, Análisis y Tratamiento del Riesgo. Evaluación, Ejecución y Revisión. Contextualización, Auditoría y Corrección. Identificación, Control y Recuperación.

¿Qué herramienta se utiliza comúnmente para aplicar la metodología MAGERIT?. RiskMapper. PILAR. COBIT. OCTAVE Analyzer.

¿Qué enfoque adopta NIST SP 800-30 para la evaluación de riesgos?. Cuantitativo exclusivamente. Cualitativo basado en juicio de expertos. Enfoque estructurado para identificar amenazas, vulnerabilidades y controles. Método de auditoría post-incidente.

¿Qué función tiene el marco NIST Cybersecurity Framework (CSF)?. Regular las auditorías financieras. Estandarizar las medidas de seguridad en infraestructuras críticas. Definir controles obligatorios para empresas europeas. Sustituir las normas ISO en ciberseguridad.

¿Qué distingue a la metodología OCTAVE?. Está orientada a vulnerabilidades técnicas exclusivamente. Se enfoca en los activos críticos y es autodirigida por la organización. Es aplicable solo al sector financiero. Requiere la certificación ISO previa.

¿Qué modelo se considera el estándar cuantitativo para medir el riesgo de información?. FAIR. MEHARI. CRAMM. COBIT.

¿Cuál es la principal finalidad de la norma ISO/IEC 27001?. Implementar un sistema de gestión de seguridad de la información (SGSI). Definir controles físicos en data centers. Estandarizar la ciberseguridad en la nube. Regular la privacidad en redes sociales.

¿Qué estándar se aplica principalmente en entornos industriales (OT/ICS)?. ISO 27017. ISA/IEC 62443. NIST SP 800-171. COBIT 5.

¿Qué marco proporciona un conjunto de buenas prácticas globales desarrollado por el ISF?. SOGP. CCM. FAIR. GDPR.

¿Qué objetivo persigue el tratamiento del riesgo?. Eliminar completamente todas las amenazas. Reducir el riesgo a niveles aceptables para la organización. Transferir toda la responsabilidad al área de TI. Documentar incidentes sin mitigarlos.

¿Cuál de las siguientes NO es una opción de tratamiento del riesgo según ISO 27005?. Mitigar. Evitar. Transferir. Ignorar.

¿Qué se entiende por “riesgo tolerable”?. Aquel que se puede eliminar con controles automáticos. El nivel de riesgo que la organización acepta conscientemente. Un riesgo que no necesita monitoreo. El riesgo residual no documentado.

¿Cuál es el criterio principal para decidir si se implementa una salvaguarda?. La complejidad técnica del control. Que su costo sea menor que el valor del activo protegido. Que sea obligatoria por ley. Que esté de moda en la industria.

¿Qué principio establece que el riesgo cero no existe?. Teoría del riesgo aceptable. Principio de resiliencia cibernética. Postulado de MAGERIT. Ley de probabilidad residual.

¿Qué representa el nivel de madurez de una salvaguarda en un modelo de evaluación?. Su coste financiero. El grado de implementación y eficacia en el tiempo. El tipo de activo al que se aplica. La frecuencia con la que se audita.