INCIDENTES 3EV T2.1+T2.2

¿Cuál de los siguientes se considera un incidente?. Un corte de energía. La caída de un servidor sin pérdida de datos. Un ataque de ransomware. Error humano sin impacto.

¿Qué diferencia principal hay entre un incidente y una incidencia?. La incidencia es siempre más grave. El incidente compromete la seguridad. El incidente es un error físico. La incidencia solo ocurre en redes.

El gusano Morris fue considerado el primer: Phishing exitoso. Ataque de denegación de servicio. Incidente informático registrado. Troyano gubernamental.

¿Qué entidad fue creada tras el gusano Morris?. INCIBE. NOC. CERT/CC. CNPIC.

¿Qué es un CERT?. Un sistema de monitoreo de red. Un equipo de respuesta a incidentes de seguridad informática. Un antivirus. Una ley europea.

¿Qué distingue principalmente a un CSIRT de un CERT?. Está enfocado a empresas u organizaciones concretas. Responde solo a fraudes. Es parte de un NOC. No responde a incidentes.

¿Qué función realiza el NOC?. Detectar malware. Supervisar amenazas. Mantener infraestructuras TI operativas. Coordinar CERTs.

¿Qué función realiza el SOC?. Coordina recursos humanos. Protege redes ante amenazas activas. Desarrolla software. Gestiona backups.

¿Cuál de los siguientes CERT da soporte a organismos públicos?. INCIBE-CERT. CCN-CERT. ESP-DEF-CERT. CNPIC.

¿Qué CERT depende del Ministerio del Interior?. CCN-CERT. ESP-DEF-CERT. INCIBE-CERT. CNPIC.

¿Cuál de estos CERT se encarga de la Defensa Nacional?. ESP-DEF-CERT. CSIRT.gal. INCIBE. FIRST.org.

¿Qué organización coordina CERTs europeos?. CSIRT.es. TF-CSIRT. NOC-EU. ENISA.

¿Cuál de los siguientes no es un servicio reactivo de un CERT?. Coordinación ante incidentes. Alertas. Herramientas de detección. Asistencia remota.

¿Cuál es un ejemplo de servicio proactivo?. Alertas. Coordinación de incidentes. Detección de intrusos. Tratamiento de vulnerabilidades.

¿Cuál de estas no es una estrategia de tratamiento de riesgos?. Transferir. Duplicar. Aceptar. Evitar.

¿Qué componente no forma parte de la definición de riesgo?. Activo. Amenaza. Firewall. Vulnerabilidad.

¿Cuál de estas situaciones representa una estrategia de mitigación?. No hacer nada. Contratar un seguro. Aplicar un parche parcial. Cambiar de proveedor.

¿Qué entorno requiere creatividad, flexibilidad y apoyo emocional?. Industrial. Cloud. Entorno de un incidente. Desarrollo ágil.

¿Qué modelo busca eliminar defectos en procesos industriales?. ISO 27001. Six Sigma. NIST. DevOps.

¿Qué categoría de incidente incluye el spam?. Contenido dañino. Intrusión. Contenido abusivo. Fraude.

¿Qué tipo de incidente implica escaneo de redes o ingeniería social?. Fraude. Obtención de información. Vulnerabilidad. Intrusión.

¿Qué categoría incluye el acceso fraudulento a sistemas?. Intrusión. Disponibilidad. Fraude. Detección.

¿Qué se considera un ataque de denegación de servicio?. Obtención de información. Fraude. Contenido abusivo. Ataque a la disponibilidad.

¿Qué tipo de incidente involucra phishing y suplantación de identidad?. Contenido abusivo. Compromiso de información. Fraude. Malware.

¿Cuál de los siguientes no es un precursor?. Tráfico anómalo. Escaneo de vulnerabilidades. Nuevos exploits publicados. Amenazas anunciadas por atacantes.

¿Qué es un indicador?. Prueba futura de ataque. Señal de debilidad. Evidencia de un incidente en curso. Error de configuración.

¿Qué nivel de peligrosidad tiene mayor prioridad?. Bajo. Alto. Moderado. Crítico.

¿Cuál de los siguientes no pertenece a un CERT/CSIRT local?. AndalucíaCERT. CSIRT-CV. CSIRT Portugal. Centro Vasco de Ciberseguridad.

¿Qué organización agrupa más de 600 CSIRT a nivel mundial?. CSIRT.es. FIRST.org. INCIBE. TF-CSIRT.

¿Qué afirmación es correcta respecto al factor humano en incidentes?. La tecnología resuelve todos los incidentes. Las decisiones se toman con calma y tiempo. Las personas, no la tecnología, resuelven los incidentes. Solo importa la formación técnica.

¿Qué organización publica la guía base para la gestión de incidentes?. ENISA. CCN-CERT. NIST. MITRE.

¿Cuántas fases establece la guía NIST 800-61?. 3. 4. 5. 6.

¿Cuál es la última fase según el NIST 800-61?. Preparación. Detección y Análisis. Recuperación. Actividades Post-Incidente.

¿Qué fase viene inmediatamente después de "Detección y Análisis"?. Actividades Post-Incidente. Contención, Erradicación y Recuperación. Preparación. Análisis de riesgo.

¿Qué agencia europea proporciona una guía complementaria al NIST?. CCN-CERT. AEPD. ENISA. ISO.

¿Qué entidad española publica una guía sobre gestión de cibercrisis?. NIST. MITRE. CCN-CERT. ENISA.

La guía de ransomware del CCN-CERT no es: Obligatoria. Recomendada. Flexible. Técnica.

¿Qué acción se recomienda, pero no se exige, en la guía de ransomware?. Ignorar el incidente. Reiniciar el servidor. Apagar la máquina. Llamar al NOC.

¿Qué herramienta está en desarrollo para categorizar técnicas de respuesta?. MITRE ATT&CK. Matriz RE&CT. ISO/IEC 27035. CSIRT.es.

¿Cuál de estas fases no aparece en la matriz RE&CT?. Preparación. Erradicación. Conformidad. Lecciones aprendidas.

¿Cuál es el primer aspecto a considerar según las buenas prácticas?. Coordinación. Identificación. Preparación. Comunicación.

¿Cuál no es un aspecto destacado en la gestión de incidentes?. Recuperación. Comunicación. Evaluación financiera. Registro y análisis.

¿Qué se hace durante la fase de contención?. Analizar correos. Minimizar el impacto del incidente. Preparar auditoría. Crear nuevas contraseñas.

¿Qué implica la fase de erradicación?. Evitar nuevas vulnerabilidades. Documentar buenas prácticas. Eliminar la causa raíz del incidente. Hacer backups.

¿Qué implica la fase de recuperación?. Bloquear al atacante. Devolver los sistemas a su estado normal. Evaluar daños físicos. Desconectar redes.

¿Qué actividad cierra la gestión de incidentes?. Coordinación. Cierre del incidente. Registro. Identificación.

¿Qué se busca con la valoración y lecciones aprendidas?. Sancionar al culpable. Publicar los datos. Evitar que vuelva a ocurrir. Justificar inversiones.

¿Qué se debe hacer según la legislación tras un ciberataque?. Notificar a medios. Publicar en la web. Comunicarlo a las autoridades en plazo. No hacer nada si no hay daños.