Incidentes de ciberseguridad - Repaso PACs

La normativa de protección del puesto de trabajo debe incluir: Solo la altura de la silla. Bloqueo de pantalla, cifrado de disco, política de contraseñas, uso de VPN y gestión de dispositivos. Solo el color del monitor. Únicamente el tipo de teclado.

¿Con qué frecuencia debe realizarse formación en ciberseguridad?. Nunca. Regularmente (anual o semestral) y cuando surgen nuevas amenazas o cambios. Solo al contratar. Una vez en la vida.

¿Qué temas debe cubrir la formación en ciberseguridad?. Solo hardware. Phishing, ingeniería social, gestión de contraseñas, uso seguro de email, protección de datos. Solo programación avanzada. Únicamente aspectos legales.

¿Qué es una simulación de phishing?. Un juego de ordenador. Un ataque real. Un tipo de malware. Ejercicio controlado que envía emails de phishing falsos para evaluar y educar a usuarios.

El principio de "mínimo privilegio" establece que: Todos deben tener permisos de administrador. Los privilegios no importan. Nadie debe tener acceso a nada. Usuarios deben tener solo los permisos estrictamente necesarios para realizar su trabajo.

¿Qué debe evaluarse en una auditoría interna de ciberseguridad?. Cumplimiento de políticas, efectividad de controles, gestión de vulnerabilidades y respuesta a incidentes. Solo el color de los ordenadores. Solo las facturas de TI. Únicamente el organigrama.

Los materiales de concienciación deben ser: Claros, accesibles, relevantes para la audiencia y actualizados regularmente. Solo en inglés técnico. Complejos y técnicos para todos. Aburridos y extensos.

¿Qué es la "seguridad por diseño"?. Solo añadir seguridad al final. Diseño gráfico de interfaces. Integrar consideraciones de seguridad desde las primeras fases del desarrollo. Diseño arquitectónico de edificios.

Un plan de concienciación efectivo debe incluir: Únicamente amenazas. Formación continua, campañas regulares, simulaciones, métricas de efectividad y adaptación. Solo un email anual. No hacer nada.

¿Qué rol juegan los empleados en la ciberseguridad organizacional?. Ninguno, es solo responsabilidad de TI. Deben ignorar las políticas de seguridad. Solo los técnicos tienen responsabilidad. Son la primera línea de defensa y el eslabón más importante en la cadena de seguridad.

¿Qué es un plan de prevención en ciberseguridad?. Solo una lista de contraseñas. Conjunto estructurado de medidas y procedimientos para prevenir incidentes de seguridad. Un seguro informático. Un documento decorativo.

¿Cuál es un principio general en materia de ciberseguridad?. Defensa en profundidad, mínimo privilegio, seguridad por diseño y confianza cero. No usar contraseñas. Compartir todo públicamente. Confiar en todos sin verificar.

¿Qué es la normativa de protección del puesto de trabajo?. Conjunto de reglas que establecen cómo proteger dispositivos y espacios de trabajo. Decoración de oficinas. Horarios laborales. Solo ergonomía física.

¿Qué debe incluir un plan de formación en ciberseguridad?. Solo una charla anual. No formar a los empleados. Capacitación continua sobre amenazas, mejores prácticas, políticas de seguridad y simulaciones. Únicamente documentos escritos.

¿Qué es la concienciación en ciberseguridad?. Solo instalar antivirus. Ignorar los riesgos. Hacer que todos sean expertos técnicos. Proceso educativo para que usuarios reconozcan amenazas y adopten comportamientos seguros.

¿Qué son los materiales de formación y concienciación?. Únicamente manuales técnicos complejos. Publicidad de productos. Recursos educativos como vídeos, guías, simulaciones de phishing y talleres interactivos. Solo carteles decorativos.

¿Qué son las auditorías internas de cumplimiento en prevención?. Revisiones periódicas para verificar que se cumplen políticas y procedimientos de seguridad. Multar a empleados. Solo revisar facturas. Inspecciones de limpieza.

¿Por qué son importantes las auditorías de cumplimiento?. No tienen importancia. Identifican brechas, verifican efectividad de controles y aseguran cumplimiento normativo. Para despedir empleados. Solo para cumplir burocracia.

¿Qué es el principio de "defensa en profundidad"?. Usar solo una medida de seguridad. No tener defensas. Implementar múltiples capas de seguridad para que el fallo de una no comprometa todo el sistema. Confiar solo en el firewall.

¿Qué es el modelo de "confianza cero" (Zero Trust)?. Solo para redes externas. No confiar en nadie y bloquear todo. Nunca confiar, siempre verificar; cada acceso debe autenticarse y autorizarse. Confiar en todos por defecto.

¿Qué es la taxonomía de incidentes de ciberseguridad?. Lista de hackers conocidos. Estudio de virus informáticos. Sistema de clasificación que categoriza diferentes tipos de incidentes de seguridad. Catálogo de hardware.

¿Cuáles son tipos comunes de incidentes de ciberseguridad?. Malware, phishing, DDoS, brechas de datos, ransomware, intrusiones y APTs. Solo fallos de hardware. Solo virus. Únicamente errores de usuario.

¿Qué es un sistema de detección de incidentes?. Conjunto de herramientas y procesos que identifican actividades anómalas o maliciosas. Solo logs del sistema. Un firewall tradicional. Un antivirus básico.

¿Qué herramientas se usan para monitorización de incidentes?. SIEM, IDS/IPS, EDR, herramientas de análisis de logs y threat intelligence. Únicamente navegadores web. Solo Excel. Solo calculadoras.

¿Qué es un IDS (Intrusion Detection System)?. Un navegador web. Un protocolo de red. Sistema que monitoriza red o hosts para detectar actividades sospechosas y generar alertas. Un tipo de malware.

¿Qué son los incidentes de seguridad física?. Únicamente virus. Eventos que comprometen la seguridad física de instalaciones, dispositivos o personal. Solo phishing. Solo ataques digitales.

¿Qué es OSINT (Open Source Intelligence)?. Un tipo de malware. Recopilación y análisis de información de fuentes públicamente disponibles. Un sistema operativo. Software de código abierto.

¿Para qué se usa OSINT en análisis de incidentes?. Solo para redes sociales. Solo para noticias. Investigar amenazas, identificar atacantes, recopilar IoCs y contexto de campañas maliciosas. Únicamente para marketing.

¿Qué incluye la clasificación de incidentes?. Solo el color de alerta. Determinar tipo, severidad, impacto y prioridad del incidente. Únicamente la fecha. Solo asignar un nombre.

¿Qué es la valoración de un incidente?. Ponerle precio. Ignorar sus consecuencias. Evaluar el impacto potencial o real en confidencialidad, integridad y disponibilidad. Solo contar cuántos sistemas afecta.

Los niveles de severidad de incidentes típicamente incluyen: Crítico, alto, medio, bajo según impacto y urgencia. No se clasifican por severidad. Solo "malo". Únicamente "urgente".

¿Qué es un SIEM (Security Information and Event Management)?. Un protocolo de red. Plataforma que agrega, correlaciona y analiza logs de múltiples fuentes en tiempo real. Un tipo de malware. Un navegador web.

¿Qué es un IoC (Indicator of Compromise)?. Una contraseña. Una métrica de rendimiento. Un tipo de certificado. Artefacto o evidencia que indica que un sistema ha sido comprometido.

Ejemplos de IoCs incluyen: Solo direcciones de email. Únicamente nombres de usuario. Hashes de archivos maliciosos, IPs sospechosas, dominios C&C, patrones de registro. Solo colores.

¿Qué debe documentarse durante el análisis de un incidente?. Únicamente el nombre del analista. Timeline, evidencias, acciones tomadas, sistemas afectados, vectores de ataque y resultados. Solo opiniones personales. Solo la fecha.

El seguimiento inicial de un incidente incluye: Formatear inmediatamente. Solo apagar todo. Ignorarlo y esperar. Contención inicial, preservación de evidencias, notificación y análisis preliminar.

¿Qué herramientas ayudan en la detección de incidentes físicos?. CCTV, sistemas de control de acceso, sensores ambientales y alarmas. Solo antivirus. Únicamente firewalls. Solo EDR.

Las fuentes para OSINT incluyen: Solo rumores. Solo documentos clasificados. Únicamente información confidencial. Redes sociales, foros, bases de datos públicas, noticias, registros de dominios y repositorios de código.

Qué es threat intelligence en el contexto de análisis de incidentes?. Información obsoleta. Adivinar amenazas. Solo antivirus. Información recopilada sobre amenazas actuales y emergentes para mejorar la detección y respuesta.

Un sistema de alertas efectivo debe: Alertar solo una vez al año. No generar alertas. Generar miles de alertas sin priorizar. Priorizar alertas según criticidad, reducir falsos positivos y facilitar respuesta rápida.

Relacione los conceptos con sus definiciones: Recopilación de evidencias. Análisis de evidencias. Intercambio de información. Contención de incidentes.

La cadena de custodia es importante porque: Aumenta la cantidad de evidencia. Facilita el intercambio de información. Asegura la integridad de las evidencias. Reduce el tiempo de investigación.

Asocie los tipos de evidencias con sus ejemplos: Evidencias digitales. Evidencias físicas. Evidencias testimoniales. Evidencias médicas.

¿Qué técnica se utiliza comúnmente para analizar datos en ciberseguridad?. Análisis forense. Revisión de literatura. Estrategia de marketing. Inteligencia artificial.

¿Cuál es un objetivo principal de la recopilación de evidencias?. Probar la ocurrencia de un incidente. Aumentar el tráfico de red. Reducir costos operativos. Mejorar la estética del sistema.

¿Cuál es el primer paso en la respuesta a un incidente de ciberseguridad?. Detectar un incidente. Recopilación de evidencias. Clasificar el incidente. Implementar un parche.

Relaciona cada término con su definición correspondiente: Recopilación de evidencias. Análisis de evidencias. Intercambio de información. Medidas de contención.

Las medidas de contención son importantes porque: Aumentan la vulnerabilidad de los sistemas. Son opcionales y no necesarias. Detienen permanentemente el sistema afectado. Limitan el daño del incidente.

¿Qué es lo primero que se debe hacer cuando se detecta un incidente de ciberseguridad?. Recopilar evidencias. Ignorarlo. Reiniciar los sistemas. Anunciar el incidente.

El análisis de evidencias es crucial para comprender cómo ocurrió el incidente. Verdadero. Falso.

¿Cuál es una medida clave para la ciberresiliencia?. Ignorar los reportes de incidentes. Deshabilitar el firewall. Aumentar el número de contraseñas. Realizar simulacros de incidentes.

La ciberresiliencia solo se refiere a la prevención de ataques. Verdadero. Falso.

¿Qué se debe hacer después de un incidente de ciberseguridad?. Aumentar la capacidad de almacenamiento. Actualizar a la última versión del software. Cekupar todos los contraseñas. Realizar un análisis post-mortem.

¿Cómo se puede mejorar la capacidad de respuesta ante incidentes?. Entrenando al personal de IT. Aumentando el número de contraseñas. Reduciendo el uso de herramientas tecnológicas. Eliminando las políticas de seguridad.

Relacione las tareas de respuesta a incidentes con sus objetivos. Establecimiento de procedimientos. Documentación de incidentes. Seguimiento post-incidente. Mitigación inmediata.

La documentación de incidentes es necesaria para: Aumentar el riesgo de incidentes. Ignorar la ciberseguridad. Aprender y mejorar de futuros incidentes. Destruir información sensible.

Relaciona los siguientes documentos con su función: Plan de respuesta a incidentes. Registro de incidentes. Informe de análisis post-incidente. Política de ciberseguridad.

Relaciona las siguientes tareas con su descripción correcta: Identificación del incidente. Contención del incidente. Recuperación del servicio. Mejora continua.

Relaciona los siguientes conceptos con su definición: Ciberresiliencia. Escalado de incidentes. Análisis forense. Plan de contingencia.

¿Cuáles son las principales tareas que se deben realizar para restablecer un servicio afectado por un incidente de ciberseguridad?. Llevamos a cabo una secuencia de recuperación. Priorización de servicios: Hacer una lista de prioridades para restaurar servicios de manera ordenada por orden de importancia o urgencia Validación previa: Asegurar que el sistema está limpio escaneando los sistemas. Esto se puede hacer con diferentes herramientas. verificar la integridad de los archivos mediante checksums, y revisar configuraciones Restauración incremental: volvemos los servicios en fases, monitorizando intensivamente cada fase antes de proceder a la siguiente. Por ejemplo: Fase 1: Restaurar infraestructura base (red, autenticación, servicios centrales) Fase 2: Restaurar aplicaciones críticas en modo restringido Fase 3: Ampliar acceso progresivamente Fase 4: Restaurar servicios secundarios Fase 5: Operación normal completa Verificación del funcionamiento: Fase para comprobar que todo se ejecuta como se espera creando checklists específicos. Comunicación continua: fase donde se mantiene informados a los usuarios por canales de comunicación oficiales sobre el estado de la situación.

¿Por qué es importante la detección temprana de incidentes?. Reduce el uso de memoria. Aumenta el número de usuarios. Reduce el impacto del incidente. Mejora el rendimiento del servidor.

¿Qué permite mejorar la documentación de incidentes en el futuro?. Cambiar el sistema operativo. Aprender de incidentes anteriores. Instalar más software. Comprar nuevos servidores.

¿Qué debe existir en una organización para facilitar la notificación de incidentes?. Un firewall externo. Un procedimiento formal de actuación. Un antivirus corporativo. Un sistema de backup.

¿Cuál es el primer paso cuando se detecta un incidente de ciberseguridad?. Reiniciar el servidor. Formatear el sistema. Notificar el incidente siguiendo el procedimiento establecido. Cambiar todas las contraseñas.

¿Para qué sirve documentar los incidentes de seguridad?. Para reducir el uso de logs. Para poder analizarlos posteriormente. Para aumentar el tráfico de red. Para evitar auditorías.

¿Qué elemento es clave en un procedimiento de notificación de incidentes?. Definir quién debe comunicar el incidente. Configurar routers. Crear cuentas de administrador. Instalar un SIEM.

¿Qué información debe incluir normalmente una notificación de incidente?. Modelo del ordenador afectado. Nombre del antivirus. Marca del router. Descripción del incidente detectado.

¿Qué debe incluir un procedimiento de notificación?. Las marcas de hardware utilizadas. Los canales de comunicación del incidente. Los videojuegos permitidos. El diseño de la red WiFi.

¿Cuál es el objetivo principal de un procedimiento de notificación de incidentes?. Informar y gestionar adecuadamente los incidentes detectados. Reparar los sistemas afectados. Instalar nuevas herramientas de seguridad. Eliminar automáticamente el malware.

¿Quién debe conocer el procedimiento de notificación de incidentes?. Solo el director de la empresa. Solo el departamento financiero. Solo el equipo de ventas. Todo el personal que pueda detectar incidentes.

¿Cuál suele ser el primer nivel de notificación dentro de una organización?. Los clientes. Las autoridades judiciales. Los medios de comunicación. El equipo responsable de seguridad o TI.

¿Qué debe hacer un empleado si detecta un incidente de seguridad?. Publicarlo en redes sociales. Ignorarlo. Formatear el ordenador. Notificarlo siguiendo el procedimiento interno.

¿Por qué es importante seguir un procedimiento formal al notificar incidentes?. Para cambiar la red. Para asegurar una respuesta organizada. Para aumentar el uso del sistema. Para reducir el almacenamiento.

¿A quién puede ser necesario notificar ciertos incidentes graves?. A los proveedores de hardware. A organismos competentes o autoridades. A los competidores. A los empleados de marketing.

¿Qué tipo de incidentes pueden requerir notificación externa?. Incidentes graves que afecten a datos o servicios críticos. Actualizaciones de software. Fallos menores de teclado. Cambios de contraseña rutinarios.

¿Qué permite una correcta documentación del incidente?. Aumentar la memoria RAM. Eliminar logs. Analizar causas y mejorar medidas de seguridad. Cambiar el router.

¿Cuál es el objetivo de la notificación externa de incidentes?. Informar a organismos responsables cuando sea necesario. Mejorar la velocidad de internet. Reducir el número de usuarios. Cambiar el sistema operativo.

¿Qué permite una correcta notificación interna?. Instalar más antivirus. Coordinar la respuesta al incidente. Reducir el tráfico de red. Cambiar el hardware.

¿Qué se entiende por notificación interna de incidentes?. Eliminación del incidente. Comunicación del incidente dentro de la organización. Envío del incidente a proveedores externos. Publicación del incidente en redes sociales.

¿Qué facilita la notificación adecuada de incidentes?. El aumento del número de usuarios. La eliminación automática de virus. La actualización del hardware. La gestión coordinada y la toma de decisiones.