DDSS - 12 al 17

¿Cuál de las siguientes afirmaciones refleja mejor la relación entre eventos e incidentes de seguridad?. Todo evento es un incidente. Todo incidente de seguridad es un evento, pero no todo evento es un incidente. Los eventos solo existen si se ha producido una brecha. Evento e incidente son sinónimos según la ISO/IEC 27001.

¿Cuál de los siguientes ejemplos NO se consideraría un incidente de seguridad según lo explicado?. Acceso no autorizado a una base de datos. Fallo eléctrico que detiene un servidor crítico. Usuario olvidando cerrar sesión. Malware que cifra archivos de un equipo.

¿Qué característica debe tener un procedimiento de notificación de incidentes para ser eficaz?. Estar limitado al personal técnico. Ser informal y flexible. Estar documentado, accesible y probado. Delegado en los equipos de redes únicamente.

¿Qué objetivo busca la clasificación de un incidente según nivel de criticidad?. Ocultarlo si afecta a reputación. Activar respuestas proporcionales al impacto potencial. Determinar culpables internos. Evitar su notificación externa.

¿Qué elemento NO suele formar parte del contenido mínimo de un informe de incidente?. Descripción del hecho y origen. Medidas adoptadas. Identificación de personal responsable del incidente para sanción directa. Consecuencias o impactos detectados.

¿Qué control preventivo favorece la detección temprana de incidentes según lo tratado en clase?. Encriptación de discos. Auditoría de logs centralizados. Autenticación biométrica. Formación en ética digital.

¿Cuál es un riesgo de no tener un protocolo claro ante incidentes de seguridad?. Aumentar los tiempos de detección y contención. Incrementar el presupuesto de TI. Reducir la cobertura del antivirus. Disminuir los eventos de red.

¿Cuál de los siguientes ejemplos refleja mejor una brecha de seguridad?. Phishing recibido pero no abierto. Acceso exitoso de un actor externo a datos personales. Malware detenido por el antivirus. Simulación de ataque en un test de penetración.

¿Qué aspecto fue destacado como esencial tras la resolución de un incidente?. Olvidar lo ocurrido para proteger la imagen de la empresa. Evitar documentarlo si no se notificó externamente. Aprender del incidente e incorporar mejoras al SGSI. Sustituir a todos los implicados por otros empleados.

¿Qué aspecto influye directamente en la efectividad de la respuesta ante incidentes, según el profesor?. Que el equipo de ciberseguridad tenga jornada intensiva. Que existan protocolos, roles definidos y alertas configuradas. Que no haya supervisión externa. Que los sistemas se reinicien periódicamente.

¿Qué implicación tiene un incidente de seguridad mal documentado?. Permite reducir el tiempo de auditoría. Facilita una respuesta más flexible. Dificulta el aprendizaje organizativo y auditoría posterior. Mejora la confidencialidad interna.

¿Cuál sería una consecuencia de subestimar la severidad de un incidente?. Implementar más controles de los necesarios. Activar recursos innecesarios. No actuar con la urgencia necesaria, agravando el impacto. Disminuir la frecuencia de auditorías.

¿Qué rol cumple el personal no técnico en el proceso de gestión de incidentes, según lo discutido en clase?. Ninguno, ya que es un tema de ciberseguridad. Son actores pasivos que solo reciben órdenes. Pueden ser primeros detectores o puntos clave en la notificación. Deben evitar implicarse por falta de formación.

¿Qué afirmación sobre la cadena de custodia es correcta en el contexto de incidentes?. Es opcional y solo para entornos militares. Garantiza que las evidencias se mantengan íntegras y válidas legalmente. Solo se aplica a documentos físicos. Se delega únicamente en abogados.

¿Qué puede provocar un exceso de alertas automáticas no filtradas?. Mayor eficiencia en la detección. Reducción del tiempo de análisis. Saturación del equipo y pérdida de alertas reales. Mejora en la recopilación de KPIs.

¿Qué relación existe entre el análisis de impacto y el plan de respuesta a incidentes?. El primero se hace después del incidente, el segundo antes. El análisis de impacto alimenta el diseño del plan de respuesta. No están relacionados directamente. Ambos dependen de decisiones del equipo legal.

¿Cuál de los siguientes elementos NO forma parte de un sistema eficaz de gestión de incidentes según la clase?. Roles definidos y formalizados. Canales de notificación interna. Sanciones prediseñadas para infractores. Revisión post-mortem de los incidentes.

¿Por qué es relevante la trazabilidad en el proceso de gestión de incidentes?. Para poder escalar internamente la situación. Para identificar a los responsables jurídicos. Para reconstruir el incidente, validar decisiones y auditar. Para aplicar medidas disciplinarias.

¿Cuál es una señal de madurez en la gestión de incidentes según lo dicho en clase?. Tener más de 50 alertas diarias. Documentar cada incidente y extraer lecciones aprendidas. No informar incidentes menores. Externalizar toda la respuesta.

¿Cuál de los siguientes NO es un objetivo de un plan de respuesta a incidentes?. Contener y erradicar el incidente. Minimizar el impacto. Ocultar el incidente del auditor. Restaurar la normalidad lo antes posible.

¿Cuál es la principal diferencia entre un Plan de Continuidad del Negocio (PCN) y un Plan de Recuperación ante Desastres (DRP)?. El DRP está enfocado a la prevención y el PCN a la reacción. El DRP asegura continuidad sin interrupción alguna. El PCN contempla escenarios más amplios; el DRP se enfoca en recuperación específica. El PCN es técnico y el DRP, organizativo.

¿Qué representa el RTO (Recovery Time Objective)?. El tiempo máximo tolerado para perder datos. El periodo permitido antes de que la actividad sea restaurada tras una interrupción. El tiempo que tarda el sistema en detectar el fallo. El tiempo necesario para recuperar un backup.

¿Qué afirma el profesor sobre el RPO (Recovery Point Objective)?. Representa el tiempo que una empresa puede estar sin internet. Define el punto temporal al cual los datos pueden ser restaurados. Es la métrica para evaluar la frecuencia de las auditorías. Establece la duración del plan de recuperación.

¿Cuál de los siguientes eventos se considera crítico para activar un DRP?. Falta de personal por vacaciones. Migración a la nube. Incendio en el CPD que inutiliza los servidores. Cambio de CEO.

¿Qué error común señaló el profesor al elaborar un PCN?. Elaborarlo sin participación técnica. Basarlo únicamente en escenarios pasados. Redactarlo en inglés. Incluir pruebas de validación.

¿Cuál de estas fases NO forma parte del ciclo de vida habitual del PCN?. Diseño del plan. Implementación. Transferencia de personal a otras sedes. Mantenimiento y actualización.

¿Qué indicador refleja la eficacia de un DRP tras su aplicación?. Reducción de la plantilla. Tiempo total de parada tras incidente. Número de documentos generados. Cantidad de auditorías realizadas.

¿Qué criticidad tiene para el profesor la implicación de la alta dirección en el PCN?. Es útil pero opcional. Solo necesaria si hay fallo legal. Es esencial para la asignación de recursos y alineación organizativa. Se sustituye por un buen equipo técnico.

¿Qué práctica considera indispensable el profesor para mantener vigente el PCN?. Cambiar los responsables cada trimestre. Externalizar todos los procesos. Realizar pruebas periódicas del plan. Publicar el plan en la web de la empresa.

¿Qué afirmación es coherente con el enfoque del profesor sobre continuidad del negocio?. Un SGSI puede prescindir del PCN si tiene DRP. El PCN debe contemplar aspectos humanos, legales, técnicos y logísticos. Solo las grandes empresas deben tenerlo. No debe compartirse internamente por motivos de confidencialidad.

¿Qué factor es más decisivo para definir el contenido de un PCN, según el enfoque visto en clase?. La legislación internacional aplicable. Las tendencias tecnológicas del sector. El análisis de impacto en el negocio (BIA). El tipo de contrato con los proveedores de cloud.

¿Qué riesgo implica diseñar un DRP sin considerar los procesos críticos de negocio?. Aumenta el presupuesto de forma innecesaria. Dificulta la estandarización del plan. Permite que se recupere tecnología, pero no la continuidad real. Mejora los indicadores de auditoría.

¿Cuál es una diferencia clave entre un RPO y un backup?. El backup solo se aplica en planes de continuidad. El RPO define el margen de pérdida; el backup es un medio para reducirlo. El backup siempre es inferior al RPO. El RPO se aplica a sistemas, y el backup a personas.

¿Por qué podría fracasar un DRP que nunca ha sido probado?. Porque no incluye documentos legales. Porque los responsables no conocen sus roles ni los procedimientos. Porque los servidores no están cifrados. Porque depende de la ISO 27001.

¿Qué elemento sería el más disruptivo para el éxito de un PCN bien diseñado?. Actualización constante del hardware. Falta de pruebas reales y mantenimiento del plan. Exceso de documentación técnica. Uso de redes internas segmentadas.

¿Qué parte del proceso del PCN permite determinar qué actividades pueden tolerar más tiempo de inactividad?. Pruebas de estrés. Estudio forense. Análisis de impacto en el negocio (BIA). Auditoría interna.

¿Qué sugiere el profesor como buena práctica para aumentar la resiliencia organizacional?. Subcontratar todos los procesos TI. Mantener planes de continuidad específicos por área crítica. Evitar compartir el plan con el personal operativo. Usar el mismo DRP en todas las sedes.

¿Qué métrica podría usarse para validar que un DRP ha sido eficaz en una simulación?. El número de empleados involucrados. Tiempo de restauración vs. RTO establecido. Número de reuniones celebradas. Impacto reputacional estimado.

¿Cuál es un error común al redactar un PCN, según lo observado en clase?. Delegar su validación al equipo legal. Incluir referencias a estándares como ISO/IEC 22301. Redactarlo sin involucrar a las áreas operativas. Traducirlo a más de un idioma.

¿Qué elemento puede complementar eficazmente un PCN para escenarios de desastre físico severo?. Un DRP centrado en ciberataques. Una póliza de seguros y copia en papel del plan. Plan de contingencia para localizaciones alternativas. Cierre temporal de la actividad.

¿Cuál de las siguientes afirmaciones define mejor la continuidad de los servicios TIC?. Capacidad de los sistemas de realizar backups semanales. Conjunto de medidas para garantizar la seguridad lógica. Reducción de costes de infraestructura. Habilidad para mantener la operación de los sistemas TIC ante incidentes o interrupciones.

¿Qué estándar internacional se relaciona directamente con la continuidad de servicios TIC?. ISO/IEC 27001. ISO/IEC 20000. ISO/IEC 27031. ISO/IEC 22301.

¿Qué aspecto distingue principalmente la continuidad del negocio de la continuidad operativa TIC?. El primero es preventivo, el segundo reactivo. El primero abarca toda la organización; el segundo se enfoca en tecnologías y sistemas. La continuidad TIC excluye medidas de seguridad. La continuidad del negocio no requiere soporte TI.

¿Cuál es una función clave del SGSI en relación con la continuidad TIC?. Certificar proveedores. Centralizar todos los firewalls. Integrar las TIC como soporte estructural de los planes de continuidad. Eliminar auditorías externas.

¿Qué puede suceder si los sistemas TIC no están alineados con los SLA definidos?. Aumenta la productividad. Se incumplen compromisos contractuales con impacto directo en la organización. Mejora la disponibilidad. Se reduce el riesgo tecnológico.

¿Qué error es frecuente al diseñar estrategias de respaldo en TIC, según la clase?. Realizar backups automáticos. No considerar el tiempo necesario para la restauración efectiva. Usar almacenamiento en la nube. Separar backups por departamento.

¿Cuál de estas prácticas complementa mejor la continuidad TIC?. Incrementar el número de cortafuegos. Simulacros periódicos de fallo de infraestructura. Revisión del código fuente. Outsourcing total del soporte.

¿Qué concepto está más directamente ligado al tiempo que puede estar un sistema fuera de servicio sin causar impacto grave?. RPO. MTTF. RTO. TCO.

¿Qué afirmación refleja mejor la postura del profesor respecto a la gestión de continuidad TIC?. Puede dejarse a criterio exclusivo del departamento de sistemas. Es responsabilidad compartida y debe alinearse con la estrategia organizativa. Solo aplica a empresas de más de 100 empleados. Puede improvisarse en función de la urgencia.

¿Qué se mencionó como barrera habitual para implantar una estrategia de continuidad TIC eficaz?. Redundancia de redes. Costes asociados y falta de compromiso organizacional. Uso de software libre. Tener más de un datacenter.

¿Qué función cumple la documentación en los planes de continuidad TIC según el enfoque del profesor?. Proteger el plan ante ataques legales. Servir como evidencia de cumplimiento normativo y facilitar la ejecución. Justificar ante el consejo directivo el gasto en TI. Sustituir la necesidad de formación del personal.

¿Qué relación directa existe entre disponibilidad y continuidad TIC?. La disponibilidad se refiere a datos, la continuidad a hardware. La disponibilidad es el objetivo, y la continuidad es el medio para lograrla. Son conceptos excluyentes. La continuidad es parte de la seguridad lógica, no física.

¿Por qué no basta con disponer de backups para asegurar la continuidad TIC?. Porque suelen ser muy caros. Porque los backups no garantizan restauración rápida ni completa. Porque ocupan mucho espacio físico. Porque su formato no es compatible con auditorías.

¿Qué importancia tiene la implicación de usuarios clave en los simulacros de continuidad?. Puede generar resistencia al cambio. No es necesaria si el área técnica está bien entrenada. Es esencial para validar los procedimientos en escenarios reales. Sirve solo como campaña de sensibilización.

¿Qué medida podría mejorar la robustez de un plan de continuidad TIC sin elevar demasiado el coste?. Eliminar redundancia de hardware. Documentar solo en papel los procedimientos. Identificar dependencias internas y puntos únicos de fallo. Aumentar la cantidad de cortafuegos.

¿Cuál de estos elementos sería más útil para evaluar si un plan de continuidad TIC es realista?. Su extensión en páginas. Su número de anexos legales. Los resultados de simulacros y pruebas técnicas. El número de empleados que lo conocen.

¿Qué factor condiciona la elección de soluciones técnicas para continuidad, según el profesor?. Nivel de cifrado requerido. Cultura organizacional y tolerancia al riesgo. Velocidad de CPU y RAM. Si los técnicos lo aprueban.

¿Qué implicación tiene que el DRP esté mal integrado con el PCN?. Mejora la descentralización. Aumenta la eficiencia. Puede recuperar sistemas sin garantizar operaciones. Hace más fácil el mantenimiento de ambos planes.

¿Cuál es una señal clara de que el plan de continuidad TIC no está actualizado?. Referencias a versiones antiguas de software y hardware. Inexistencia de logs detallados. Copias de seguridad cada 24h. Planes separados por áreas funcionales.

¿Qué actitud del profesor se intuye respecto a la externalización de la continuidad TIC?. Debe evitarse completamente. Solo es válida si se acompaña de SLAs rigurosos y control documental. Es preferible a la gestión interna. Solo debe aplicarse en multinacionales.

¿Qué diferencia clave establece el profesor entre un evento y un incidente de seguridad?. Un evento requiere siempre contención. Un incidente puede generar impacto; un evento no necesariamente. Un evento implica malware; un incidente, errores humanos. Un incidente es temporal; un evento es permanente.

¿Cuál de estas fases del proceso de gestión de incidentes debe aplicarse inmediatamente tras su detección?. Erradicación. Contención. Documentación final. Evaluación de SLA.

¿Qué rol tiene el CSIRT dentro del SGSI?. Validar backups. Garantizar la respuesta organizada a incidentes de seguridad. Redactar las políticas de privacidad. Actualizar las contraseñas del dominio.

¿Qué criterio se utiliza para priorizar la atención de un incidente en función de su impacto y urgencia?. El nivel de responsabilidad del afectado. El tiempo estimado de resolución. La prioridad. La probabilidad de ocurrencia.

¿Cuál de los siguientes sería un ejemplo de "erradicación"?. Detectar el origen de un ataque DDoS. Restaurar el backup completo. Eliminar el malware de todos los sistemas afectados. Documentar el incidente en el registro de seguridad.

¿Cuál es el objetivo principal de la fase de “lecciones aprendidas”?. Castigar al responsable del incidente. Archivar los logs. Identificar mejoras para evitar recurrencia. Repetir el mismo análisis de riesgos.

¿Qué situación obliga legalmente a comunicar un incidente a la AEPD según el RGPD?. Ataques de denegación de servicio sin robo de datos. Filtración de datos personales con riesgo para derechos de los afectados. Cortes de servicio por mantenimiento. Cambios de contraseña masivos.

¿Qué acción NO corresponde a la fase de recuperación en la gestión de incidentes?. Reinstalar sistemas comprometidos. Reanudar servicios tras verificación. Establecer nuevas medidas de protección. Asegurar que los sistemas son estables.

¿Qué peligro señala el profesor si no hay una clara definición de roles ante incidentes?. Reducción del tiempo de reacción. Saturación de los canales de comunicación. Mejora en la resiliencia. Aumento de presupuesto en ciberseguridad.

¿Qué representa el enfoque del profesor al hablar de “cultura de reporte de incidentes”?. Incentivar a los usuarios a resolver incidentes por su cuenta. Hacer públicos los incidentes en medios. Fomentar que cualquier usuario reporte eventos sospechosos sin miedo. Evitar registrar incidentes menores.

¿Cuál de estos elementos no forma parte directa del proceso técnico de gestión de incidentes?. Contención. Recuperación. Evaluación económica del daño reputacional. Erradicación.

El profesor insiste en que una buena clasificación del incidente debe considerar…. El tipo de malware y su autoría. Impacto, urgencia y recursos disponibles. Impacto, urgencia y criticidad de los sistemas afectados. El historial del responsable del fallo.

¿Qué recomendación específica hace el profesor para el examen en relación a los conceptos de incidente y evento?. Que se memoricen ambos como sinónimos. Que se identifique la diferencia con ejemplos prácticos. Que se ignore la definición ISO y se use solo la del RGPD. Que se estudien únicamente los eventos relacionados con ciberataques.

¿Qué función tiene el registro de incidentes en un SGSI maduro?. Clasificar responsabilidades legales. Identificar qué empleados necesitan formación. Facilitar la trazabilidad, la mejora continua y la auditoría del proceso. Justificar inversiones tecnológicas.

¿Qué indicador permitiría a una organización saber si está mejorando en su respuesta a incidentes?. Número de informes anuales redactados. Reducción del tiempo entre detección y contención. Incremento de llamadas al help desk. Aumento de personas involucradas en el CSIRT.

¿Por qué el profesor alerta sobre confundir recuperación con erradicación?. Porque ambas requieren acción humana intensiva. Porque erradicación es parte del DRP y recuperación del SGSI. Porque erradicación elimina la amenaza; recuperación restablece el entorno. Porque recuperación es inmediata y erradicación no.

¿Qué elemento del entorno organizativo dificulta frecuentemente la gestión efectiva de incidentes?. Uso de sistemas legacy. Falta de roles definidos y protocolos claros. Falta de antivirus actualizado. Redundancia de registros de logs.

¿Qué práctica se sugiere para reforzar la preparación ante incidentes, incluso fuera del CSIRT?. Rotación de contraseñas cada 15 días. Simulacros o escenarios controlados con personal general. Establecer VPN obligatoria. Desconectar sistemas no esenciales por la noche.

¿Qué crítica hace el profesor respecto al exceso de burocracia en la gestión de incidentes?. Hace perder el foco en la parte legal. Dificulta el cumplimiento de los plazos normativos. Reduce la eficiencia del firewall. Elimina la motivación del CSIRT.

¿Qué parte del ciclo PDCA encaja mejor con la fase de “lecciones aprendidas”?. Plan. Do. Check. Act.