GAR - T1

¿Cuál es la diferencia fundamental entre seguridad de la información y seguridad informática?. La seguridad informática abarca los procesos de negocio, mientras que la de la información solo se centra en el hardware. Son términos sinónimos y se pueden intercambiar indistintamente en cualquier contexto. La seguridad de la información protege la confidencialidad, integridad y disponibilidad en cualquier soporte, mientras que la seguridad informática se centra en la técnica de los sistemas. La seguridad de la información se ocupa exclusivamente de los datos impresos y la informática de los digitales.

En el marco de la gestión de sistemas de información, ¿qué perspectiva se encarga del cumplimiento de regulaciones sobre privacidad y propiedad intelectual?. La perspectiva técnica. La perspectiva organizativa. La perspectiva socio-técnica. La perspectiva legal.

¿Cuáles son los tres principios fundamentales (tríada) de la seguridad de la información?. Autenticación, Autorización y Trazabilidad. Prevención, Detección y Respuesta. Confidencialidad, Integridad y Disponibilidad. Hardware, Software y Personal.

¿Qué principio de gestión de la integridad establece que para una tarea crítica no debe haber un solo usuario responsable?. Need-to-know (Menor privilegio). Rotación de obligaciones. Separación de obligaciones (Duties). Análisis de código estático.

¿En qué consiste la técnica de "taint analysis" mencionada en el contexto de la integridad?. En rotar a los empleados de puesto cada seis meses. En cifrar los datos en reposo para evitar su lectura. En explorar cómo los valores de entrada de la interfaz de usuario se utilizan en el código para modificar datos. En realizar copias de seguridad incrementales de la base de datos.

Según Donn B. Parker, ¿cuál de las siguientes es una de las "siete principales fuentes de pérdidas físicas"?. Obsolescencia programada. Gases (incluyendo gases de guerra y partículas en suspensión). Errores de sintaxis en el código. Falta de presupuesto.

En el modelo económico de seguridad de Mizzi, ¿qué significan las siglas ROSI?. Risk of Security Intrusion. Return on System Implementation. Return on Security Investment. Ratio of Safe Information.

¿Qué condición se debe cumplir generalmente para que un atacante desista (según el análisis económico del ataque)?. Que el Costo de Reconstrucción (R) sea bajo. Que el beneficio esperado sea igual a la inversión. Que el Costo de Ruptura (CTB) sea superior a los beneficios de su acción. Que la empresa tenga un seguro de ciberseguridad.

¿Cuál es el rol del "Propietario" (Owner) en la clasificación de la información?. Realizar las copias de seguridad y el mantenimiento técnico. Utilizar la información para su trabajo diario. Establecer la criticidad de la información y decidir su clasificación. Auditar el cumplimiento de las normas de seguridad.

¿Qué diferencia principal existe entre un Estándar y una Directriz?. El estándar es opcional y la directriz es obligatoria. El estándar es obligatorio y uniformiza el uso de tecnologías; la directriz es una recomendación. El estándar define la estrategia de alto nivel y la directriz la operativa técnica. No hay diferencia, son dos formas de llamar a los procedimientos.

En la jerarquía de políticas, ¿qué documento describe paso a paso cómo llevar a cabo una tarea específica?. Política funcional. Estándar. Línea base. Procedimiento.

¿Qué es una "Línea base" (Baseline) en seguridad?. El presupuesto mínimo para seguridad. Una descripción de cómo configurar determinados elementos de seguridad de manera uniforme. El nivel de riesgo cero al que aspira la empresa. Una lista de empleados autorizados.

Según la clasificación de información gubernamental mostrada, ¿qué define a la información "Secreta"?. Su difusión no causa ningún daño. Su difusión causaría un daño extremadamente grave (el máximo nivel). Su difusión causaría un daño importante. Puede difundirse internamente pero no externamente.

¿Qué es la ingeniería social?. El diseño de redes sociales seguras. Un ataque de denegación de servicio distribuido (DDoS). La práctica de obtener información confidencial manipulando a usuarios legítimos. La programación de robots para sustituir a humanos.

¿Qué implica el principio de "defensa en profundidad" o la idea de que la seguridad es un proceso?. Que una vez instalado el firewall, el sistema es seguro para siempre. Que las políticas y controles deben revisarse, probarse y adecuarse continuamente ante nuevos riesgos. Que se debe contratar a muchos guardias de seguridad física. Que la seguridad solo depende del departamento de TI.

En el contexto de disponibilidad, ¿qué son los "sitios alternativos de proceso"?. Infraestructuras físicas que permiten continuar la operación del negocio tras un desastre. Páginas web espejo para balanceo de carga. Oficinas de la competencia donde se alquila espacio. Servidores virtuales en la misma sala de servidores principal.

¿Cuál es el "eslabón más débil" habitual en la cadena de seguridad según el texto?. El cifrado AES de 256 bits. Los firewalls de nueva generación. El factor humano. Los sistemas operativos Linux.

¿Qué tipo de información se clasifica como "Uso interno" en un entorno empresarial típico?. La que puede publicarse en la web de la empresa. Las fórmulas secretas del producto estrella. Información que puede circular dentro de la empresa pero no salir (ej. eficiencia de proveedores). Datos médicos de los empleados.

¿Qué representa el concepto "Cost to Fix" (F) en el marco de Mizzi?. El coste que paga el atacante para romper la seguridad. Las pérdidas de beneficio inmediatas tras un ataque. El coste de protección, como la reparación de vulnerabilidades. El coste de reconstruir los sistemas desde cero.

¿Qué es Metasploit según el documento?. Un virus que borra discos duros. Una base de datos de exploits y herramientas para aprovechar vulnerabilidades. Un estándar de certificación ISO. Una política de gestión de contraseñas.

La privacidad es un subconjunto o una "cara" de qué principio de la tríada CIA?. Integridad. Disponibilidad. Confidencialidad. Autenticidad.

¿Qué control administrativo es fundamental para gestionar la seguridad del personal?. Instalar cámaras de seguridad en los baños. Controles administrativos al personal. Prohibir el uso de internet. Uso de tarjetas inteligentes para el café.

¿Por qué muchas empresas no invierten lo suficiente en seguridad hasta que sufren un ataque?. Porque el software de seguridad es gratuito. Porque es difícil estimar el retorno de la inversión y perciben los controles como un gasto o impedimento. Porque la ley les prohíbe invertir más de un porcentaje de sus beneficios. Porque los ataques nunca tienen impacto económico real.

¿Qué significa "transferir el riesgo" en la gestión de riesgos?. Ignorar el riesgo hasta que pase. Despedir al responsable de seguridad. Recurrir a un seguro para compensar económicamente el evento no deseado. Implementar un firewall para bloquear el ataque.

¿Qué ataque afecta principalmente a la Disponibilidad?. SQL Injection. Phishing. DoS. Sniffing.

¿Cuál es la responsabilidad del "Custodio" (Custodian) de la información?. La custodia efectiva técnica. Decidir si la información es pública o secreta. Utilizar los datos para tomar decisiones estratégicas de negocio. Redactar la política general de seguridad.

¿Qué relación existe entre vulnerabilidad, amenaza y riesgo?. Riesgo = Amenaza + Vulnerabilidad (conceptualmente). El riesgo es la probabilidad de que una amenaza explote una vulnerabilidad causando un impacto. La vulnerabilidad es el agente externo y la amenaza es el fallo interno. Son tres palabras para lo mismo.

¿Qué elemento NO forma parte de un Sistema de Información según la definición socio-técnica?. Personas. Estructura organizativa. Hardware y el software. Procesos de negocio.

¿Qué es un "ataque de día cero" (implícito en la necesidad de gestión proactiva)?. Un ataque que ocurre a las 00:00 horas. Un ataque que aprovecha una vulnerabilidad conocida y parcheada hace años. Un ataque que aprovecha una vulnerabilidad para la cual aún no existe parche. Un ataque físico al edificio.

¿Qué controles físicos se agrupan bajo "Controles del entorno y habitabilidad"?. Guardias jurados y tornos. Suministro eléctrico y detección de incendios. Contraseñas de BIOS y cifrado de disco. Políticas de contratación.

¿Qué se entiende por "Costo de Ruptura" (Cost to Break - CTB)?. El dinero que pierde la empresa cuando se rompe un servidor. El coste (tiempo, recursos, dinero) en el que debe incurrir un atacante para superar las defensas. El coste de despedir a un empleado negligente. El precio de una auditoría de seguridad fallida.

¿Cuál es el objetivo principal de la "rotación de obligaciones"?. Que los empleados no se aburran. Formar a todos en todo. Evitar que una persona tenga el control exclusivo de una tarea sensible indefinidamente, facilitando fraudes. Ahorrar costes de personal.

¿Qué afirmación es cierta sobre la seguridad física y lógica?. Son mundos separados que no interactúan. El mejor firewall es inútil si el atacante tiene acceso físico al servidor. La seguridad física es obsoleta en la era de la nube. La seguridad lógica protege contra incendios e inundaciones.

En la clasificación gubernamental, ¿qué nivel es superior a "Secreto"?. Confidencial. Uso Interno. Alto Secreto. Restringido.

¿Qué herramienta de gestión se sitúa en el nivel más alto (estratégico) de la jerarquía?. El manual del firewall. La política general de seguridad. Los estándares de configuración de Windows. Las directrices de uso del correo.

¿Qué tipo de controles son el "Inventario de equipos" y el "Control de acceso a instalaciones"?. Controles puramente lógicos. Controles técnicos y físicos. Controles de habitabilidad. Controles de RRHH.

Según el texto, ¿qué motiva a muchas empresas a implantar firewalls finalmente?. Que son muy caros y dan prestigio. Que son fáciles de implantar y los auditores los exigen (el coste de no tenerlos en auditoría es alto). Que garantizan el 100% de seguridad. Que eliminan la necesidad de contraseñas.

¿Qué es un ataque DoS mediante "botnets"?. Un ataque realizado por robots físicos que cortan cables. Una coordinación de equipos infectados (zombies) para saturar un servicio solicitándolo simultáneamente. Un robo de identidad en redes sociales. Un error de programación en el servidor web.

¿Cuál es la premisa básica del análisis coste-beneficio en seguridad?. La seguridad debe implementarse sin importar el coste. El coste de la seguridad no debe superar el coste probable de la pérdida. Siempre se debe gastar el 10% del presupuesto de IT en seguridad. Es mejor pagar el rescate de un ransomware que invertir en backups.