Incidentes de ciberseguridad - Ilerna

¿Cuál es el primer paso en la respuesta a un incidente de ciberseguridad?. Detectar el incidente. Implementar un parche. Recopilación de evidencias. Todas son correctas.

Según la regla 3-2-1 para copias de seguridad robustas, ¿cómo debe organizarse los backups?. Tres copias diarias, dos copias semanales y una copia mensual en el mismo servidor. Tres copias de los datos, en dos tipos de medios diferentes, con una copia fuera de las instalaciones. Tres servidores de backup en la misma ubicación física con el mismo medio de almacenamiento.

¿Qué principio impide que una persona niegue haber realizado una acción específica?. No repudio. Autorización. Confidencialidad. Autenticación.

¿Qué herramienta se utiliza específicamente para el análisis de memoria RAM en investigaciones forenses?. Autopsy. Wireshark. Volatility.

¿Qué tipo de control de seguridad representa un sistema SIEM (Security Information and Event Management)?. Control preventivo que bloquea ataques antes de que lleguen a los sistemas. Control detective que monitoriza y correlaciones eventos de múltiples fuentes continuamente. Control correctivo que restaura sistemas automáticamente tras detectar un compromiso total.

Ejemplos de IoCs incluyen: Solo direcciones de email. Hashes de archivos maliciosos, IPs sospechosas, dominios C&C, patrones de registro. Únicamente nombres de usuario. Solo colores.

¿Qué nivel TLP indica que la información puede compartirse sin restricciones?. TLP:CLEAR. TLP:AMBER. TLP:RED.

Durante la restauración incremental de servicios, ¿cuál es el orden correcto de las fases?. Servicios secundarios → Operación normal → Infraestructura base → Aplicaciones críticas → Ampliar acceso. Infraestructura base → Aplicaciones críticas → Ampliar acceso → Servicios secundarios → Operación normal. Ampliar acceso → Servicios secundarios → Infraestructura base → Operación normal → Aplicaciones críticas.

¿Cuál de los siguientes es un ejemplo de indicador de compromiso (IoC) de red?. Dirección IP maliciosa. Hash de archivo malicioso. Clave de registro modificada.

¿Qué es threat intelligence en el contexto de análisis de incidentes?. Adivinar amenazas. Información obsoleta. Solo antivirus. Información recopilada sobre amenazas actuales y emergentes para mejorar la detección y respuesta.

El seguimiento inicial de un incidente incluye: Contención inicial, preservación de evidencias, notificación y análisis preliminar. Formatear inmediatamente. Ignorarlo y esperar. Solo apagar todo.

¿Cuál es el lenguaje de búsqueda que utiliza Splunk para realizar consultas?. SQL (Structured Query Language). SPL (Search Processing Language). Python.

¿Qué componente de ELK Stack es responsable de la visualización y creación de dashboards?. Logstash. Kibana. Elasticsearch.

¿Cuál de las siguientes es una plataforma SOAR de código abierto?. Splunk Phantom. TheHive Project. Palo Alto Cortex XSOAR.

¿Cuál es el tiempo de respuesta objetivo para un incidente clasificado como crítico (P1)?. Reconocimiento en 1 hora, inicio de contención en 4 horas, resolución objetivo 24-48 horas. Reconocimiento en 8 horas laborables, inicio en 48 horas, resolución según capacidad disponible. Reconocimiento en 15 minutos, inicio de contención en 1 hora, resolución objetivo 4-8 horas.

¿Cuál es la principal ventaja de Wazuh como sistema SIEM?. Es de pago pero muy económico. Es open source, gratuito y muy completo. Solo funciona en entornos Windows.

¿En qué plazo debe notificarse a la AEPD una brecha de seguridad que afecta a datos personales?. 24 horas desde que se tiene conocimiento. 72 horas desde que se tiene conocimiento. 7 días desde que se tiene conocimiento.

¿Qué normativa española regula el Esquema Nacional de Seguridad (ENS)?. Ley 8/2011. Real Decreto 311/2022, de 3 de mayo. Real Decreto 443/2024. Real Decreto-ley 12/2018.

¿Cuándo debe escalarse un incidente al Nivel 3 (Dirección/CISO)?. Cuando tiene implicaciones legales, reputaciones o afecta servicios críticos del negocio. Cuando solo requiere acciones técnicas básicas de reseteo de contraseñas. Cuando el incidente afecta únicamente a un usuario y se resuelve rápidamente.

¿Cuál de los siguientes NO es un tipo de Beat (agente de recopilación) en ELK Stack?. Filebeat. Alertbeat. Packetbeat.

¿Qué es un IDS (Intrusion Detection System)?. Sistema que monitoriza red o hosts para detectar actividades sospechosas y generar alertas. Un protocolo de red. Un tipo de malware. Un navegador web.

¿Cuál de las siguientes herramientas de gestión de tickets es de código abierto y (open source) y gratuita?. ServiceNow. osTicket. Jira Service Management.

¿Qué es la "seguridad por diseño"?. Diseño gráfico de interfaces. Diseño arquitectónico de edificios. Integrar consideraciones de seguridad desde las primeras fases del desarrollo. Solo añadir seguridad al final.

¿Cuál de las siguientes métricas es un KPT válido para medir la mejora continua en ciberseguridad?. Tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR). Número de cafés consumidos por el equipo de seguridad mensualmente. Color favorito de los miembros del equipo de respuesta a incidentes.

¿Qué componente de ELK Stack actúa como el "cerebro procesador" que transforma datos brutos en información estructurada?. Elasticsearch. Beats. Logstah.

¿Qué es lo primero que se debe hacer cuando se detecta un incidente de ciberseguridad?. Ignorarlo. Recopilar evidencias. Reiniciar los sistemas. Anunciar en incidente.

¿Qué característica es fundamental para que la documentación sea accesible durante una crisis?. Guardarse exclusivamente en el servidor principal de la organización. Estar disponible únicamente en formato digital en la nube corporativa. Incluir copias físicas impresas y digitales en múltiples ubicaciones, incluso offline.

Según la Directiva NIS2, ¿cuánto tiempo máximo se tiene para la notificación inicial de un incidente significativo?. 24 horas. 72 horas. 12 horas.

¿Cuál es la función principal de FTK Imager en análisis forense?. Crear imágenes forenses bit-a-bit manteniendo la cadena de custodia. Analizar tráfico de red en tiempo real. Detectar malware en archivos ejecutables.

¿Qué característica distingue principalmente a ServiceNow de otras plataformas ITSM?. Es gratuita y fácil de implementar. Solo funciona con sistemas Linux. Es una plataforma empresarial completa con workflows personalizables y dashboard ejecutivo.

¿Qué nivel de escalado interno debe activarse cuando un incidente requiere la participación de la Dirección General y el Departamento Legal?. Escalado nivel 2 - Táctico. Escalado nivel 1 - Operativo. Escalado nivel 3 - Estratégico.

¿Cuál es el tiempo máximo de notificación establecido para un incidente clasificado como CRÍTICO?. Menos de 4 horas. Inmediata (menos de 15 minutos). Menos de 1 hora.

¿Qué significa SOAR en el contexto de ciberseguridad?. System Organization and Automated Reporting. Security Orchestration, Automation and Response. Security Operations and Response.

¿Cuál es el propósito principal de una taxonomía de incidentes de ciberseguridad?. Crear un sistema de puntuación para clasificar a los atacantes según su nivel técnico. Establecer un lenguaje común y categorías estandarizadas para describir incidentes de seguridad. Determinar exclusivamente las sanciones económicas aplicables tras un incidente de seguridad.

¿Cuál es el primer paso cuando se detecta un incidente de ciberseguridad?. Reiniciar el servidor. Notificar el incidente siguiendo el procedimiento establecido. Formatear el sistema. Cambiar todas las contraseñas.

En el flujo de funcionamiento de Splunk, ¿cuál es la segunda fase después de la ingesta de datos?. Visualización. Indexación. Búsqueda.

Según los criterios de escalado, ¿cuándo debe un técnico de Nivel 1 escalar al Nivel 2?. Únicamente los viernes después de las 17:00 horas sin excepciones. Solo cuando el director general lo solicita expresamente por escrito. Cuando el incidente afecta a más de 10 usuarios o no se resuelve en 30 minutos.

¿Qué tipo de evidencia se debe capturar primero según el orden de volatilidad RFC 3227?. Memoria RAM. Disco duro. Logs del sistema.

Según el caso práctico, ¿en qué plazo se completó la notificación formal a la AEPD?. 48 horas. 24 horas. 72 horas.

¿Cuál es una acción adecuada de contención a corto plazo?. Destruir las evidencias para proteger los datos. Aislar un sistema comprometido de la red. Segmentar la red permanentemente.

¿Qué es un IoC (Indicator of Compromise)?. Un tipo de certificado. Una métrica de rendimiento. Una contraseña. Artefacto o evidencia que indica que un sistema ha sido comprometido.

¿Qué técnica se utiliza para identificar la causa raíz de un incidente?. Culpabilizar al primer empleado que cometió un error sin analizar procesos. Los "5 porqués" que profundizan preguntando repetidamente hasta encontrar causas fundamentales. Ignorar el incidente y esperar que no vuelva a ocurrir naturalmente.

¿Qué se debe hacer después de un incidente de ciberseguridad?. Cekupar todos las contraseñas. Actualizar a la última versión del software. Realizar un análisis post-mortem. Aumentar la capacidad de almacenamiento.

¿Cuándo es obligatorio notificar una brecha de datos personales a los afectados?. Siempre que haya una brecha, sin excepciones. Solo si lo solicitan expresamente los afectados. Cuando la brecha supone un alto riesgo para los derechos y libertades de las personas.

¿Qué es la taxonomía de incidentes de ciberseguridad?. Sistema de clasificación que categoriza diferentes tipos de incidentes de seguridad. Lista de hackers conocidos. Estudio de virus informáticos. Catálogo de hardware.

En el flujo de notificación interna, ¿quién es responsable de validar la clasificación del incidente y asignar un responsable de gestión?. El Service Desk o mesa de ayuda. El usuario que detecta el incidente. El equipo de seguridad.

¿Qué propiedad se ve afectada en un ataque de ransomware?. Solo integridad. Disponibilidad principalmente. Solo confidencialidad. Ninguna.

¿Cuál de los siguientes es un ejemplo de incidente de confidencialidad?. Modificación de datos. Saturación de red. Acceso no autorizado a información. Caída de un servidor.

¿Qué impacto tiene un ataque sobre la integridad?. Pérdida de red. Caída del sistema. Alteración de datos. Acceso no autorizado.

¿Cuál de los siguientes es un incidente activo?. Política desactualizada. Vulnerabilidad detectada. Ataque en ejecución. Sistema sin parchear.

¿Qué es una vulnerabilidad?. Un ataque activo. Una política de seguridad. Un sistema seguro. Una debilidad explotable.

¿Qué es un falso positivo?. Ataque no detectado. Error del usuario. Evento legítimo marcado como ataque. Ataque real.

¿Cuál es la diferencia entre IDS e IPS?. Ambos cifran. Ninguna. IDS detecta, IPS actúa. IPS detecta, IDS bloquea.

¿Qué función tiene un IDS?. Detectar intrusiones. Cifrar datos. Bloquear tráfico. Gestionar usuarios.

¿Qué técnica se usa para detectar patrones sospechosos?. Compresión. Backup. Correlación de eventos. Hashing.

¿Qué tipo de logs son clave en detección de incidentes?. Solo logs de red. Ninguno. Logs de múltiples fuentes. Solo logs de sistema.

¿Qué indica un falso negativo?. Ataque detectado. Evento legítimo. Ataque no detectado. Alarma innecesaria.

¿Qué indicador puede sugerir un incidente?. Pico anómalo de tráfico. Uso normal de CPU. Tráfico constante. Reinicio programado.

¿Qué es un playbook?. Informe técnico. Software de seguridad. Manual de usuario. Procedimiento de respuesta.

¿Cuál es la primera fase en la gestión de incidentes?. Erradicación. Recuperación. Preparación. Análisis.

¿Quién suele gestionar incidentes en una organización?. Proveedores. Usuarios. Equipo SOC/CSIRT. Clientes.

¿Qué indica un cambio en el hash?. Modificación de datos. Mejora de seguridad. Nada. Error del sistema.

¿Qué propiedad es clave en la evidencia?. Integridad. Formato. Velocidad. Tamaño.

¿Qué es un hash en forense?. Contraseña. Huella digital de datos. Cifrado reversible. Backup.

¿Qué se analiza en memoria RAM?. Solo archivos. Procesos activos. Red. Usuarios.

¿Quién debe ser informado de un incidente grave?. Solo usuarios. Responsables y dirección. Nadie. Solo técnicos.

¿Qué normativa regula la protección de datos en Europa?. ISO. HTML. RGPD. TCP/IP.

¿En cuánto tiempo se debe notificar una brecha (RGPD)?. 1 mes. 24 horas exactas siempre. 7 días. 72 horas.

Dentro del marco normativo europeo y nacional, ¿qué directiva es de obligado cumplimiento específicamente para garantizar la ciberresiliencia de las infraestructuras críticas y servicios esenciales?. ISO 27001. Directiva NIS2. ENS (Esquema Nacional de Seguridad). RGPD (Reglamento General de Protección de Datos).

Para evitar que un atacante que ha comprometido un sistema pueda comprometer toda la infraestructura de una sola vez, ¿qué principio general de ciberseguridad deberíamos aplicar?. Auditoría interna continua. No repudio. Principio de disponibilidad absoluta. Defensa en profundidad.

¿Qué herramienta tiene como función principal centralizar, agregar y correlacionar registros (logs) de múltiples sistemas y dispositivos de seguridad en tiempo real para generar alertas?. SIEM. SOAR. DLP. EDR.

Según el RFC 3227 sobre el Orden de Volatilidad, si llegas a un servidor comprometido que aún está encendido, ¿qué debes recopilar primero antes de que se pierda la información?. Los registros de CPU, caché y el contenido de la memoria RAM. Los documentos de usuario. El disco duro principal. La topología física de la red.

En el proceso de recopilación de evidencias, ¿qué se utiliza matemáticamente para garantizar la integridad de un disco duro clonado y demostrar que no ha sido alterado?. El cálculo de funciones hash (MD5 o SHA-256). Ocultar el disco original en una caja fuerte ignífuga. Firmas manuscritas de dos testigos. Un algoritmo de cifrado asimétrico como RSA.

El CERT de tu sector te envía un informe de inteligencia de amenazas clasificado con el Protocolo TLP en color 'RED' (Rojo). ¿Qué debes hacer con esta información?. Restringirla exclusivamente a las personas de tu organización que necesitan conocerla directamente para actuar. Compartirla con todos los empleados de la organización sin restricciones. Publicarla en el blog corporativo como alerta para los clientes. Compartirla abiertamente en los foros de la comunidad de ciberseguridad.

En la regla fundamental 3-2-1 para copias de seguridad orientadas a la ciberresiliencia, ¿qué exige el número '2'?. Mantener las copias en dos soportes o medios de almacenamiento de diferente tipo. Realizar la copia de seguridad en dos zonas horarias diferentes. Retener los datos por un máximo de dos semanas. Que al menos dos administradores tengan acceso simultáneo a la clave de cifrado.

En la gestión de crisis, un incidente que requiere acciones complejas, como segmentar subredes enteras o interrumpir el trabajo de múltiples usuarios, y que supera las capacidades de los técnicos de primer nivel, ¿a qué nivel debe ser escalado?. Nivel 2 (Responsable IT o Tier 2). Autoridades policiales locales. Nivel 3 (Dirección, Legal y CISO). Nivel 1 (Soporte Técnico o Tier 1).

Por un error de configuración, una base de datos con correos y tarjetas de crédito de clientes ha estado accesible en internet. Tras confirmarlo, ¿cuál es el plazo máximo exigido por el RGPD para notificar esta brecha a la Agencia Española de Protección de Datos (AEPD)?. 24 horas. 72 horas. 7 días hábiles. 48 horas.

En el contexto de la gestión de incidentes y KPIs, ¿qué escenario demuestra una mayor eficiencia y madurez del equipo de ciberseguridad (SOC)?. Un MTTD (Tiempo Medio de Detección) y un MTTR (Tiempo Medio de Respuesta) muy altos. Generar miles de alertas de seguridad diarias sin priorizar. Mantener una política donde los incidentes solo se documentan una vez al año. Un MTTD muy bajo y un MTTR muy bajo.

En el contexto de las herramientas de monitorización, ¿qué diferencia principal existe entre un IDS (Intrusion Detection System) y un IPS (Intrusion Prevention System)?. El IDS monitoriza y alerta sobre tráfico sospechoso, mientras que el IPS puede además actuar y bloquear activamente el tráfico malicioso. No hay diferencia, son dos nombres comerciales para la misma herramienta. El IDS analiza tráfico web y el IPS analiza correos electrónicos. El IDS solo se instala en servidores Windows y el IPS en Linux.

¿Cómo complementa un sistema SOAR a un sistema SIEM en un Centro de Operaciones de Seguridad (SOC)?. El SOAR sirve únicamente para la seguridad física del edificio. El SOAR permite la orquestación y automatización de la respuesta ante las alertas generadas por el SIEM. El SOAR reemplaza al SIEM borrando los logs antiguos para ahorrar espacio. El SOAR es una herramienta exclusivamente de hardware y el SIEM de software.

En la monitorización de endpoints (equipos de usuario o servidores), ¿qué herramienta permite detectar comportamientos anómalos, investigar el alcance y contener el equipo?. EDR (Endpoint Detection and Response). Switch de Capa 2. Gestor de Bases de Datos. Firewall Perimetral.

¿Qué término describe a un ataque sofisticado y prolongado en el tiempo donde un intruso establece una presencia ilícita en la red para robar datos, manteniéndose oculto sin hacer ruido?. Ataque de Fuerza Bruta. Phishing Tradicional. APT (Advanced Persistent Threat o Amenaza Persistente Avanzada). Ransomware (Secuestro de datos).

Se ha detectado una vulnerabilidad clasificada como P1 (Crítico). Según un SLA de soporte estándar, ¿cuál es la implicación principal de esta severidad?. El problema se tratará en la siguiente ventana de mantenimiento mensual. Requiere una respuesta, análisis y escalado inmediato, normalmente trabajando bajo un esquema 24/7 hasta su resolución o contención. Implica una interrupción temporal en un sistema de pruebas que no afecta al usuario final. El incidente solo debe documentarse y cerrarse sin intervenir.

Llegas a la oficina y descubres que el servidor principal está comprometido y sigue encendido. Según el estándar RFC 3227 (Orden de Volatilidad), ¿qué debes recopilar PRIMERO?. La tabla de enrutamiento del servidor. La configuración física de los cables de red. El contenido de la memoria RAM y los registros de la CPU. Los archivos de logs guardados en el disco duro.

¿Qué mecanismo matemático o algoritmo se utiliza para demostrar fehacientemente que la imagen forense de un disco es idéntica al original y mantiene la cadena de custodia?. Calculando funciones hash como MD5 o SHA-256 de ambos discos. Comparando el tamaño en Megabytes de ambos discos duros. Cifrando la imagen forense con clave asimétrica RSA. Comprimiendo ambos discos en un archivo ZIP con contraseña.

Al aplicar los principios de Ciberresiliencia, se exige el cumplimiento de la 'Regla 3-2-1' para las copias de seguridad. ¿Qué requisito estipula el número '1' de dicha regla?. Que solo 1 administrador debe tener acceso al sistema de backups. Realizar al menos 1 copia de seguridad diaria. Que al menos 1 copia de seguridad debe probarse anualmente. Mantener al menos 1 copia de seguridad fuera de las instalaciones principales (offsite).

En la gestión de incidentes se manejan diferentes niveles de escalado. Si la contención técnica del problema requiere decisiones críticas que afectarán a la red completa o interrumpirán a múltiples departamentos, ¿a qué nivel debe ser escalado?. Al departamento de Recursos Humanos directamente. Nivel 1 (Técnico de primera línea). Nivel 3 (Dirección, CISO o Departamento Legal). Nivel 2 (Responsable IT o Equipo de Respuesta Avanzado).

¿Cuál es el orden cronológico estándar de las fases de gestión en la respuesta a un incidente técnico?. Contención → Detección → Recuperación → Erradicación. Recuperación → Contención → Detección → Erradicación. Erradicación → Detección → Recuperación → Contención. Detección → Contención → Erradicación → Recuperación.

Ocurre una brecha de seguridad que compromete los datos personales (nombres, DNI, tarjetas) de 5.000 clientes. Según el RGPD, ¿cuál es el plazo máximo para notificar esta brecha a la Agencia Española de Protección de Datos (AEPD)?. Un máximo de 72 horas desde que se tiene constancia del incidente. Inmediatamente, en menos de 2 horas. 15 días hábiles. 24 horas.

En el contexto de la Directiva NIS2 aplicable a operadores de servicios esenciales e infraestructuras críticas, ¿cuánto tiempo hay para emitir una 'alerta temprana' al CSIRT de referencia (ej. INCIBE) tras conocer un incidente significativo?. Solo se notifica si el incidente se hace público en las noticias. 48 horas. 24 horas. 72 horas.

En las métricas o KPIs de eficiencia de un Centro de Operaciones de Seguridad (SOC), ¿qué significan las siglas MTTD?. Mean Time To Download (Tiempo Medio de Descarga). Mean Time To Detect (Tiempo Medio de Detección). Minimum Time To Disconnect (Tiempo Mínimo de Desconexión). Maximum Time To Destroy (Tiempo Máximo de Destrucción).

Al hablar de KPIs de gestión de incidentes, ¿qué significa el acrónimo MTTR y cuál es el objetivo ideal?. Mean Time To Recover/Respond (Tiempo Medio de Respuesta/Recuperación). El objetivo es que sea lo más alto posible. Maximum Time To React (Tiempo Máximo de Reacción). Mean Time To Report (Tiempo Medio de Reporte a la Policía). Mean Time To Recover/Respond (Tiempo Medio de Respuesta/Recuperación). El objetivo es que sea lo más bajo posible.

En el contexto de la mejora continua tras un incidente, se utiliza la técnica de los '5 porqués'. ¿Qué resultado práctico se espera obtener aplicándola durante la documentación del caso?. Hacer que el empleado culpable confiese su error por agotamiento. Generar automáticamente cinco reglas nuevas en el firewall. Descubrir la verdadera Causa Raíz (Root Cause) estructural para solucionarla, en lugar de poner parches solo a los síntomas superficiales. Retrasar intencionadamente la redacción del informe final para ganar tiempo legal.

¿En qué se diferencia la Notificación de Incidentes de un Operador Crítico (ej. Central Nuclear) frente a una PYME normal?. El Operador Crítico está exento de notificar a la AEPD si hay fuga de datos. La PYME tiene que notificar más rápido que el Operador Crítico. No hay ninguna diferencia legal, el proceso es idéntico. El Operador Crítico está sujeto a la ley NIS2 y al Sistema Nacional PIC, teniendo obligaciones de notificación mucho más rápidas (ej. 24h a INCIBE/CCN-CERT) e inspecciones rigurosas.

¿Qué es exactamente un Indicador de Compromiso (IoC)?. Una evidencia técnica de que ha ocurrido una intrusión. Una vulnerabilidad en el código fuente. Un tipo de algoritmo de cifrado asimétrico. Una regla de seguridad del firewall.

¿Cuáles son los tipos o ejemplos más comunes de IoC?. Contraseñas olvidadas por los usuarios. Hashes de archivos maliciosos e IPs/dominios sospechosos. Errores de sintaxis en lenguajes de programación. Direcciones MAC locales y marcas de servidores.

Según el RGPD, ¿cuál es el tiempo máximo de respuesta para notificar una fuga de datos?. 24 horas. 7 días. 72 horas. 12 horas.

¿A qué organismo español es obligatorio notificar la brecha de datos según el RGPD?. INCIBE. Policía Nacional. AEPD (Agencia Española de Protección de Datos). CCN-CERT.

Según la Directiva NIS2, ¿cuál es el plazo exigido para emitir una 'alerta temprana'?. 72 horas. Inmediatamente. 24 horas. 48 horas.

¿Qué sector u organizaciones cubre la Directiva NIS2?. Exclusivamente al sector público. Solo a empresas de menos de 50 empleados. A ciudadanos particulares. Infraestructuras críticas y servicios esenciales.

En la regla 3-2-1 de copias de seguridad, ¿qué exige el número '3'?. Tener 3 copias totales de la información. Guardar los datos en 3 zonas geográficas. Mantener las copias durante 3 años. Usar 3 marcas diferentes de discos duros.

En la regla 3-2-1 de copias de seguridad, ¿qué exige el número '2'?. Usar 2 soportes o tecnologías de almacenamiento diferentes. Que 2 administradores tengan las contraseñas. Realizar 2 copias diarias. Tener 2 copias fuera de la oficina.

En la regla 3-2-1 de copias de seguridad, ¿qué exige el número '1'?. Probar los backups 1 vez al mes. Tener 1 servidor de repuesto encendido. Guardar 1 copia fuera de las instalaciones (offsite). Cifrar todo con 1 sola clave maestra.

¿Cuál es la función principal de un SIEM?. Centralizar, agregar y correlacionar logs para generar alertas. Automatizar y ejecutar respuestas frente a un ataque. Bloquear intrusos en el perímetro de la red. Monitorizar exclusivamente los discos duros locales.

¿Cuál es la función principal de un SOAR?. Gestionar las contraseñas de los usuarios. Centralizar los logs de toda la empresa. Bloquear publicidad en los correos. Automatizar y orquestar la respuesta a las alertas de seguridad.

¿Qué describe mejor a una herramienta EDR (Endpoint Detection and Response)?. Automatiza la gestión de parches de Windows. Analiza el tráfico general de toda la red desde el router principal. Monitoriza los equipos/servidores (endpoints) para detectar y contener amenazas locales. Recopila inteligencia pública en Internet.