IC 03

Señalar el tipo de información que tiene mayor volatilidad: a. Configuración física y topología de la red. b. Información temporal del sistema. c. Logs del sistema. d. Registros y contenido de la caché.

¿Qué características deben tener los procesos que recopilan información con valor legal?: a. Deben ser conocidos, replicables y no deben alterar la información al recogerla. b. Deben estar previamente validados por los analistas legales. c. Deben estar previamente validados por los auditores de calidad.

El triaje es: a. Un filtrado primario de incidentes con base en informacion preliminar. b. La búsqueda de ternas de patrones. c. La agrupación de incidentes en conjuntos de tres. d. La recopilación de al menos tres evidencias de un incidente.

¿Cuáles son las claves del procedimiento de almacenamiento de evidencias?: a. La Cadena de Custodia de la información. b. Ambas cosas son claves en este proceso. c. El almacén lógico/físico de la información.

Los Pilares Fundamentales para la Recopilación de Evidencias son: a. La Tecnología. b. Los Procedimientos. c. Todos los anteriores. d. Las Personas.

La mejor ventaja posible en la contención de incidentes es: a. El factor tiempo. b. La precisión de la información recopilada. c. Ninguna de las anteriores. d. Los metadatos contenidos en la información.

La labor del Equipo Morado se efectúa: a. Durante la manifestación del incidente. b. Tras la finalización del incidente. c. Antes de la aparición del incidente en el entorno.

La labor del Equipo Azul se efectúa: a. Antes de la aparición del incidente en el entorno. b. Durante la manifestación del incidente. c. Tras la finalización del incidente.

Señalar el tipo de información que tiene mayor volatilidad: a. Configuración física y topología de la red. b. Información temporal del sistema. c. Logs del sistema. d. Registros y contenido de la caché.

Un Sistema de Almacenamiento en red: a. Tiene por defecto un cifrado de dos niveles. b. Tiene por defecto un cifrado simple. c. Por defecto no tiene ningún tipo de cifrado. d. Tiene por defecto un cifrado de tres niveles.

El estándar para la recopilación de información de incidentes de Ciberseguridad es: a. La Norma ISO 9001. b. La Norma ISO/IEC 27032. c. La Norma ISO 27001. d. La Norma RFC3227.

¿Cuál es el último paso de la recolección de evidencias, que además se suele olvidar?: a. Fijar el orden de volatilidad para cada sistema. b. Comprobar el grado de sincronización del reloj del sistema. c. Documentar cada paso. d. No olvidar a las personas involucradas.

Un Kit de Análisis debe incluir los siguientes tipos de herramientas: a. Programas para examinar el estado del sistema. b. Programas para listar y examinar procesos. c. Programas para realizar copias bit a bit. d. Todas las anteriores.

Los Pilares Fundamentales para la Recopilación de Evidencias son: a. Todos los anteriores. b. La Tecnología. c. Las Personas. d. Los Procedimientos.

El grupo de defensa proactiva de los sistemas frente a los incidentes es el: a. Equipo Blanco. b. Equipo Morado. c. Equipo Azul. d. Equipo Rojo.

La mayor parte de las labores de investigación de incidentes tienen por objeto: a. Enviar información al Sistema de Gestión de Compliance. b. Identificar Patrones para Prevención de Intrusiones. c. Búsqueda de Firmas del Malware involucrado. d. Obtener Información con Valor Legal.

La labor del Equipo Rojo se efectúa: a. Tras la finalización del incidente. b. Antes de la aparición del incidente en el entorno. c. Durante la manifestación del incidente.

Un Sistema de Almacenamiento en red: a. Tiene por defecto un cifrado de dos niveles. b. Tiene por defecto un cifrado simple. c. Tiene por defecto un cifrado de tres niveles. d. Por defecto no tiene ningún tipo de cifrado.

¿Qué se debe hacer con la información recopilada una vez concluido el análisis del incidente?: a. Una vez constatada la necesidad de guardar la información, descartar los datos inútiles. b. Respaldar cuidadosamente todos los datos, de cara a las auditorías. c. Respaldar la información personal durante 7 años, por imperativo legal.

Para evitar el potencial deterioro de información valiosa se deberá: a. Recoger la información inmediatamente y analizarla después. b. Analizar la información directamente sobre el sistema y recoger después lo que resulte relevante. c. Primero estabilizar el sistema y luego recoger la información.

¿Qué es lo más importante cuando una evidencia cambia de condiciones de custodia?: a. Indicar quién ha custodiado la evidencia, cuánto tiempo y cómo la ha almacenado. b. Indicar dónde, cuándo y quién manejó la evidencia. c. Indicar dónde, cuándo y quién descubrió y recolectó la evidencia. d. Indicar cuándo y cómo se realizó el intercambio.

¿Qué es la Gestión de Incidentes de Ciberseguridad de la Información?: a. Son todas las acciones anteriores. b. Es el conjunto de acciones que se centran en la restauración de los niveles de operación. c. Es el conjunto de acciones que se centran en la prevención de ciberincidentes.

¿Qué es ser un "Diógenes del Dato"?: Recopilar datos personales indiscriminadamente sin autorización. Recopilar datos personales indiscriminadamente, aunque sea con autorización. Recopilar datos personales de forma indiscriminada, con o sin justificación.

El Principio de Incertidumbre de Heisenberg propugna que: El gato puede estar simultáneamente vivo y muerto. Toda medida causa una interferencia. El universo está en plena expansión. El caos siempre va en aumento.

¿Cuáles son las fases del procedimiento del CSIRT de referencia?: Notificación, Análisis y Conclusiones. Apertura, Priorización y Resolución. Detección, Alerta y Migigación.

¿Qué se debe hacer para no invalidar el proceso de recolección de información?: No ejecutar programas que modifiquen la fecha y hora de acceso de los ficheros del sistema. No confiar en la información proporcionada por los programas del sistema. Todas las anteriores. No apagar el ordenador hasta que se haya recopilado toda la información.

¿En qué consiste la correlación de información durante el análisis de evidencias?: En complementar la información filtrada con información adicional que resulte valiosa o imprescindible. Ninguna de las anteriores. En enlazar la información con otra información semejante que pueda facilitar la extracción de conclusiones.

¿Qué características deben tener los procesos que recopilan información con valor legal?: Deben estar previamente validados por los auditores de calidad. Deben ser conocidos, replicables y no deben alterar la información al recogerla. Deben estar previamente validados por los analistas legales.

¿Cuál es el documento más utilizado cuando se trata de recolectar información confidencial?: El documento de autorización expresa. El acuerdo de hacking ético. El acuerdo de no divulgación. El contrato formal con el pentester.