DDSS - RESUMEN POWER POINT

¿Cuál de los siguientes conceptos se considera uno de los pilares de la seguridad de la información?. Disponibilidad. Conectividad. Rendimiento. Escalabilidad.

¿Qué significa “seguridad por diseño”?. Instalar antivirus después del desarrollo. Eliminar vulnerabilidades tras el despliegue. Integrar la seguridad desde las fases iniciales del desarrollo. Aislar los sistemas una vez en producción.

¿Qué característica describe mejor al principio de “mínimo privilegio”?. Aumentar privilegios ante errores. Asignar siempre permisos administrativos. Acceso solo a lo estrictamente necesario. Permitir acceso total por defecto.

¿Cuál de los siguientes es un ejemplo de autenticación fuerte?. Solo contraseña. Contraseña y usuario. Solo número de empleado. Contraseña y token físico.

¿Qué tipo de control se aplica para prevenir un incidente antes de que ocurra?. Preventivo. Correctivo. Detectivo. Reactivo.

¿Qué norma ISO está directamente relacionada con la gestión de seguridad de la información?. ISO 9001. ISO 14001. ISO 27001. ISO 45001.

¿Qué organismo en España tiene competencia sobre la seguridad en redes y sistemas de información del sector público?. INCIBE. CCN. RedIRIS. CNPIC.

¿Qué diferencia principal existe entre un incidente y una vulnerabilidad?. El incidente es una debilidad, la vulnerabilidad es un ataque. El incidente ya ha ocurrido, la vulnerabilidad es una posibilidad. Son sinónimos. La vulnerabilidad es más grave.

¿Cuál de estos es un ejemplo de medida técnica de seguridad?. Formación del personal. Cifrado de datos. Revisión de contratos. Definir roles organizativos.

¿Cuál es el propósito de realizar un análisis de riesgos en seguridad de la información?. Automatizar tareas. Controlar el presupuesto. Determinar vulnerabilidades y priorizar acciones. Evitar auditorías.

¿Cuál de las siguientes opciones refleja mejor una amenaza de tipo lógica sobre un sistema de información?. Caída del suministro eléctrico. Acceso remoto mediante malware. Terremoto que afecta al CPD. Robo físico de un portátil.

¿Qué componente de un sistema de información es considerado un “activo intangible”?. Servidor de almacenamiento. Cableado de red. Aplicación propietaria desarrollada a medida. Disco duro externo.

¿Cuál es una diferencia clave entre disponibilidad y resiliencia?. La disponibilidad se relaciona con el usuario, la resiliencia con el desarrollador. La disponibilidad implica evitar fallos, la resiliencia tolerarlos y recuperarse. Ambas son sinónimos. La resiliencia no aplica a sistemas, solo a redes.

¿Cuál de las siguientes afirmaciones sobre el ciclo PHVA (Plan-Do-Check-Act) es correcta?. “Act” es la fase donde se diseñan los controles de seguridad. “Check” verifica si las medidas están correctamente implementadas. “Plan” se aplica tras el incidente. “Do” consiste en hacer una auditoría.

Un sistema crítico debe cumplir con un nivel de disponibilidad del 99.999%. ¿Qué implica esto en términos anuales?. Permitir una caída de hasta 1 hora al año. Garantizar funcionamiento 24/7 sin ninguna interrupción. Tolerar una indisponibilidad de aproximadamente 5 minutos anuales. Estar operativo al menos 12 horas al día.

¿Cuál de los siguientes conceptos representa una técnica proactiva en seguridad de la información?. Registro de logs tras un incidente. Test de intrusión planificado. Cambio de contraseñas al detectar fuga. Backup tras ataque de ransomware.

¿Qué rol tiene un DPO (Delegado de Protección de Datos) en una organización?. Administrar redes y sistemas críticos. Coordinar backups cifrados. Supervisar el cumplimiento de la normativa de protección de datos. Diseñar políticas de firewall.

¿Cuál de los siguientes elementos representa una vulnerabilidad y no una amenaza?. Usuario con permisos innecesarios. Ataque de inyección SQL. Intento de phishing. Malware en un adjunto.

¿Qué es un “activo primario” en el contexto de análisis de riesgos?. El hardware más caro. El personal de seguridad. Las medidas de respaldo. La información esencial para el negocio.

¿Qué implica el principio de “trazabilidad” en la gestión de la seguridad?. Tener constancia verificable de todas las acciones y accesos. Permitir auditorías externas cada año. Registrar solo errores críticos. Conservar una copia de seguridad.

¿Cuál de estas opciones se ajusta mejor a una medida organizativa en un SGSI, según el ENS?. Configurar un firewall de capa 7. Designar un responsable de seguridad de la información. Cifrar los discos duros de los portátiles. Implementar antivirus en todos los endpoints.

¿Qué afirmación es incorrecta en relación con el principio de “defensa en profundidad”?. Supone establecer múltiples capas de protección. Garantiza que si una barrera falla, otras seguirán protegiendo. Se basa exclusivamente en controles técnicos. Incluye medidas técnicas, organizativas y físicas.

¿En qué escenario sería más adecuado implementar un control compensatorio en lugar de un control directo?. Cuando la auditoría lo exige. Cuando el riesgo ya ha ocurrido. Cuando se quiere reforzar una medida ya existente. Cuando el control directo no es viable por coste o impacto.

¿Qué ISO define un vocabulario común para la seguridad de la información y apoya el marco normativo 27000?. ISO/IEC 27002. ISO/IEC 27005. ISO/IEC 27000. ISO/IEC 27004.

En un análisis de riesgos, ¿cuál de estas combinaciones representa una estimación directa del nivel de riesgo?. Impacto x Probabilidad. Valor del activo + probabilidad de impacto. Nivel de amenaza + nivel de vulnerabilidad. Activo x Vulnerabilidad x Amenaza.

¿Qué afirmación sobre la seguridad lógica es verdadera?. Incluye la gestión de acceso físico a los servidores. Se aplica únicamente a sistemas operativos. Controla el acceso a recursos mediante credenciales y roles. No contempla la protección de aplicaciones web.

En un entorno ENS, ¿cuál es el principal objetivo del Documento de Aplicabilidad?. Describir las funciones del responsable de seguridad. Establecer qué medidas de seguridad son obligatorias y cuáles no. Determinar la arquitectura lógica de red. Contener el plan de recuperación ante desastres.

¿Qué elemento debe identificarse primero en un proceso de análisis de riesgos según MAGERIT?. Amenazas potenciales. Activos del sistema. Controles existentes. Vulnerabilidades explotables.

¿Cuál de las siguientes afirmaciones describe una debilidad común del análisis cualitativo frente al cuantitativo?. Requiere datos económicos exactos. Permite decisiones rápidas sin justificar. Solo puede aplicarse a sistemas financieros. Depende de escalas subjetivas para medir riesgo.

Un sistema esencial para la continuidad del negocio debe priorizar qué principio de la tríada CIA?. Confidencialidad. Integridad. Trazabilidad. Disponibilidad.

¿Qué principio busca evitar conflictos de interés al distribuir funciones críticas entre varias personas o roles?. Control cruzado. Mínimo privilegio. Delegación jerárquica. Separación de funciones.

¿Cuál de estas situaciones representa una deficiencia en el principio de “necesidad de saber”?. Un técnico solo accede a los sistemas que mantiene. Un becario tiene acceso al ERP de la empresa. Un directivo no tiene permisos en la red Wi-Fi del laboratorio. El personal de RRHH solo puede ver nóminas.

En un entorno de alta seguridad, ¿qué control sería más adecuado para reforzar la autenticación?. Política de contraseñas cada 6 meses. Inclusión de CAPTCHA en el login. Doble factor con token físico + huella. Validación de usuario vía email.

¿Cuál de estas opciones define mejor el concepto de “riesgo residual”?. Riesgo que surge al aplicar controles inadecuados. Riesgo que permanece después de aplicar todas las medidas de mitigación. Riesgo externo no evaluado. Riesgo provocado por proveedores.

¿Qué tipo de medida representa una política de acceso que obliga a cambiar la contraseña cada 30 días?. Preventiva. Legal. Correctiva. Técnica.

¿Cuál de las siguientes amenazas se considera de origen natural según el modelo de análisis de riesgos?. Errores humanos. Ataques de ransomware. Fallo eléctrico por tormenta. Sabotaje interno.

¿Qué rol tiene el inventario de activos en el proceso de gestión de la seguridad?. Determinar qué proteger y cómo priorizar. Evitar ataques externos. Calcular los ingresos anuales por activo. Eliminar vulnerabilidades.

Si una organización declara un nivel de riesgo “moderado” pero no toma medidas, ¿qué tipo de tratamiento está aplicando?. Mitigación. Transferencia. Aceptación. Eliminación.

¿Cuál es un objetivo del plan de continuidad de negocio (BCP)?. Garantizar la disponibilidad de aplicaciones no críticas. Minimizar el impacto de interrupciones en servicios esenciales. Responder ante incidentes cibernéticos de bajo impacto. Sustituir automáticamente todos los servidores afectados.

¿Qué característica define a un activo clasificado como “crítico”?. Solo puede ser accedido por el administrador. No requiere respaldo. Es de alto coste económico. Su pérdida afecta directamente a la misión principal del negocio.

¿Qué es lo primero que debe hacer una organización antes de definir sus medidas de seguridad según el enfoque basado en riesgos?. Clasificar la información. Estimar el presupuesto. Establecer controles técnicos. Identificar activos y procesos clave.

¿Cuál de las siguientes afirmaciones describe mejor el concepto de “valoración del impacto”?. Determinar cuánto costaría reponer el activo. Medir el daño que una amenaza puede causar a un activo. Calcular la probabilidad de que ocurra una vulnerabilidad. Cuantificar los usuarios expuestos al riesgo.

Una auditoría detecta que los empleados no reciben formación en seguridad desde hace tres años. ¿Qué tipo de fallo representa?. Fallo técnico. Vulnerabilidad organizativa. Ataque lógico. Error de configuración.

¿Qué control es más eficaz para reducir el riesgo de suplantación en accesos remotos a sistemas corporativos?. Autenticación multifactor (MFA). Pregunta de seguridad personalizada. Contraseña de al menos 12 caracteres. Bloqueo automático tras 3 intentos fallidos.

¿Qué relación existe entre amenazas internas y el principio de separación de funciones?. Separar funciones reduce el riesgo de abuso de privilegios. Separar funciones aumenta la complejidad y el riesgo. Las amenazas internas no se mitigan con controles organizativos. No se relacionan directamente.

En el contexto del SGSI, ¿qué representa la mejora continua?. Una revisión anual del software antivirus. Mantener el ciclo PHVA de forma iterativa para adaptar la seguridad. Eliminar todo riesgo residual. Cambiar de norma de seguridad periódicamente.

¿Cuál sería el mejor ejemplo de un control de tipo “detectivo”?. Autenticación de doble factor. Registro de logs y alertas ante accesos no autorizados. Mecanismos de cifrado. Copia de seguridad diaria.

¿Qué estándar internacional ofrece directrices específicas para realizar una evaluación de riesgos en seguridad de la información?. ISO/IEC 27002. ISO/IEC 27005. ISO/IEC 27701. ISO/IEC 20000.

¿Qué implicación tiene una baja “madurez de seguridad” en una organización?. Pérdida de competitividad inmediata. Altos costes de operación. Procesos de seguridad poco formalizados y reactivos. Cumplimiento automático de estándares.

¿Cuál de estos elementos es esencial para garantizar la trazabilidad en un SGSI?. Firewall perimetral. Copias de seguridad mensuales. Segmentación de red. Registro de eventos con sellado temporal.