Incidentes de ciberseguridad - Repaso preguntas libro

Tema 1. Preguntas tema 1.

1. ¿Cuál es el porcentaje aproximado de brechas de seguridad que tienen su origen en el error humano según el documento?. a) 50%. b) 70%. c) 90%. d) 100%.

2. ¿Cuáles de los siguientes son principios fundamentales de la ciberseguridad mencionados en el documento? (RESPUESTA MÚLTIPLE). a) Liderazgo y compromiso de la dirección. b) Maximización de privilegios. c) Gestión de riesgos integral. d) Defensa en profundidad.

3. ¿Cuáles son pilares fundamentales de la ciberseguridad según el documento? (RESPUESTA MÚLTIPLE). a) Confidencialidad. b) Rentabilidad. c) Integridad. d) Disponibilidad.

4. ¿Qué normativa española regula el Esquema Nacional de Seguridad (ENS)?. a) Real Decreto 311/2022, de 3 de mayo. b) Ley 8/2011. c) Real Decreto-ley 12/2018. d) Real Decreto 443/2024.

Tema 2. Preguntas tema 2.

1. ¿Cuál es el propósito principal de una taxonomía de incidentes de ciberseguridad?. a) Establecer un lenguaje común y categorías estandarizadas para describir incidentes de seguridad. b) Determinar exclusivamente las sanciones económicas aplicables tras un incidente de seguridad. c) Crear un sistema de puntuación para clasificar a los atacantes según su nivel técnico.

2. ¿Qué tipo de control de seguridad representa un sistema SIEM (Security Information and Event Management)?. a) Control preventivo que bloquea ataques antes de que lleguen a los sistemas. b) Control detective que monitoriza y correlaciona eventos de múltiples fuentes continuamente. c) Control correctivo que restaura sistemas automáticamente tras detectar un compromiso total.

3. ¿Qué permite realizar la monitorización de superficie de exposición digital mediante OSINT?. a) Descubrir todos los subdominios, direcciones IP y servicios expuestos de la organización. b) Eliminar automáticamente todas las vulnerabilidades detectadas en sistemas de producción. c) Garantizar protección total contra ataques de día cero sin necesidad de parches.

4. ¿cuáles son fuentes especializadas de información OSINT en ciberseguridad? (RESPUESTA MÚLTIPLE). a) Bases de datos de brechas como HaveIBeenPwned y plataformas de inteligencia de amenazas. b) Redes sociales corporativas exclusivamente para comunicación interna entre empleados. c) Feeds de vulnerabilidades como CVE, NVD y repositorios de exploits públicos. d) Paste sites donde atacantes publican datos robados como prueba de compromiso.

5. ¿Cuál es el tiempo de respuesta objetivo para un incidente clasificado como crítico (P1)?. a) Reconocimiento en 15 minutos, inicio de contención en 1 hora, resolución objetivo 4-8 horas. b) Reconocimiento en 1 hora, inicio de contención en 4 horas, resolución objetivo 24-48 horas. c) Reconocimiento en 8 horas laborables, inicio en 48 horas, resolución según capacidad disponible.

6. ¿Qué elementos son esenciales en la documentación de incidentes según el documento? (RESPUESTA MÚLTIPLE). a) Información de identificación con ID único, fecha/hora de detección y método utilizado. b) Inventario completo de sistemas comprometidos con servicios impactados y datos afectados. c) Exclusivamente el coste económico total sin detalles técnicos del ataque ejecutado. d) Evidencias recopiladas con cadena de custodia y análisis de causa raíz detallado.

Tema 3. Preguntas tema 3.

1. ¿Cuál es el objetivo principal de mantener la cadena de custodia en la recogida de evidencias digitales?. a) Acelerar el proceso de análisis. b) Reducir la validez legal y la integridad de las pruebas. c) Garantizar la validez legal y la integridad de las pruebas.

2. ¿Qué tipo de evidencia se debe capturar primero según el orden de volatilidad RFC 3227?. a) Disco duro. b) Memoria RAM. c) Logs del sistema.

3. ¿Qué técnica permite reconstruir la secuencia cronológica de un ataque?. a) Análisis de memoria RAM. b) Análisis de línea temporal. c) Análisis de red.

4. ¿Cuál de los siguientes es un ejemplo de indicador de compromiso (IoC) de red?. a) Hash de archivo malicioso. b) Dirección IP maliciosa. c) Clave de registro modificada.

5. ¿Cuál es el primer paso crítico en la investigación de incidentes según el documento?. a) recogida de evidencias. b) notificar a los medios de comunicación. c) despedir al personal involucrado. d) apagar todos los sistemas.

6. ¿Qué aspectos incluye la investigación de incidentes? (RESPUESTA MÚLTIPLE). a) Análisis de evidencias. b) Intercambio de información con proveedores u organismos competentes. c) Ocultación de información al público. d) Medidas de contención de incidentes.

7. Según la Directiva NIS2, ¿cuánto tiempo máximo se tiene para la notificación inicial de un incidente significativo?. a) 12 horas. b) 24 horas. c) 72 horas.

8. ¿Qué nivel TLP indica que la información puede compartirse sin restricciones?. a) TLP:RED. b) TLP:AMBER. c) TLP:CLEAR.

9. ¿Qué se busca lograr con la contención de un incidente?. a) Ocultar la magnitud del ataque. b) Restaurar los sistemas inmediatamente. c) Detener la propagación y minimizar daños.

10. ¿Cuál es una acción adecuada de contención a corto plazo?. a) Aislar un sistema comprometido de la red. b) Segmentar la red permanentemente. c) Destruir las evidencias para proteger los datos.

11. ¿Qué principio establece que usuarios y sistemas deben tener únicamente los privilegios mínimos necesarios?. a) Principio de máxima autorización. b) Principio de acceso universal. c) Principio de disponibilidad total. d) Principio de mínimo privilegio.

12. ¿Cuáles son marcos metodológicos reconocidos para el análisis de riesgos mencionados en el documento? (RESPUESTA MÚLTIPLE). a) ISO 27005. b) Ninguna es correcta. c) NIST Cybersecurity Framework. d) PCI DSS.

13. ¿Qué principio impide que una persona niegue haber realizado una acción específica?. a) Autenticación. b) Autorización. c) No repudio. d) Confidencialidad.

Tema 4. Preguntas tema 4.

1. ¿Qué elemento NO es esencial en un procedimiento de actuación ante incidentes?. a) Fase de detección y análisis inicial. b) Fase de contención a corto y largo plazo. c) Opiniones personales del equipo sobre el atacante.

2. En un procedimiento para ataque de phishing exitoso, ¿cuál es la acción de contención inmediata correcta?. a) Formatear todos los equipos de la organización inmediatamente. b) Deshabilitar la cuenta comprometida en menos de 10 minutos. c) Esperar 24 horas para analizar el comportamiento del atacante.

3. Según la regla 3-2-1 para copias de seguridad robustas, ¿cómo debe organizarse los backups?. a) Tres copias de los datos, en dos tipos de medios diferentes, con una copia fuera de las instalaciones. b) Tres servidores de backup en la misma ubicación física con el mismo medio de almacenamiento. c) Tres copias diarias, dos copias semanales y una copia mensual en el mismo servidor.

4. ¿Cuál es el objetivo principal de la segmentación de red en ciberresiliencia?. a) Aumentar la velocidad de conexión entre todos los dispositivos de la red. b) Reducir costes de infraestructura eliminando equipos de red redundantes. c) Impedir que un atacante se mueva libremente por toda la infraestructura si compromete una parte.

5. ¿Cuándo debe escalarse un incidente al Nivel 3 (Dirección/CISO)?. a) Cuando solo requiere acciones técnicas básicas de reseteo de contraseñas. b) Cuando el incidente afecta únicamente a un usuario y se resuelve rápidamente. c) Cuando tiene implicaciones legales, reputacionales o afecta servicios críticos del negocio.

6. Según los criterios de escalado, ¿cuándo debe un técnico de Nivel 1escalar al Nivel 2?. a) Solo cuando el director general lo solicita expresamente por escrito. b) Cuando el incidente afecta a más de 10 usuarios o no se resuelve en 30 minutos. c) Únicamente los viernes después de las 17:00 horas sin excepciones.

7. En la secuencia de recuperación de servicios, ¿qué debe hacerse antes de restaurar cualquier sistema?. a) Enviar comunicados de prensa a los medios de comunicación locales. b) Asegurarse de que está limpio mediante escaneo completo y verificación de integridad. c) Conectar todos los equipos a Internet para descargar actualizaciones automáticamente.

8. Durante la restauración incremental de servicios, ¿cuál es el orden correcto de las fases?. a) Infraestructura base → Aplicaciones críticas → Ampliar acceso → Servicios secundarios → Operación normal. b) Servicios secundarios → Operación normal → Infraestructura base → Aplicaciones críticas → Ampliar acceso. c) Ampliar acceso → Servicios secundarios → Infraestructura base → Operación normal → Aplicaciones críticas.

9. ¿Qué debe incluir la documentación en tiempo real durante un incidente?. a) Timeline detallado, quién hizo qué, comandos ejecutados, evidencias recopiladas y comunicaciones. b) Únicamente todas las capturas de pantalla que se puedan recopilar, sin fechas ni horas de las acciones realizadas. c) Solo el nombre del técnico responsable sin más detalles del proceso.

10. ¿Qué característica es fundamental para que la documentación sea accesible durante una crisis?. a) Estar disponible únicamente en formato digital en la nube corporativa. b) Guardarse exclusivamente en el servidor principal de la organización. c) Incluir copias físicas impresas y digitales en múltiples ubicaciones, incluso offline.

11. ¿Qué técnica se utiliza para identificar la causa raíz de un incidente?. a) Los “5 porqués” que profundizan preguntando repetidamente hasta encontrar causas fundamentales. b) Ignorar el incidente y esperar que no vuelva a ocurrir naturalmente. c) Culpabilizar al primer empleado que cometió un error sin analizar procesos.

12. ¿Cuál de las siguientes métricas es un KPI válido para medir la mejora continua en ciberseguridad?. a) Número de cafés consumidos por el equipo de seguridad mensualmente. b) Color favorito de los miembros del equipo de respuesta a incidentes. c) Tiempo medio de detección (MTTD) y tiempo medio de respuesta (MTTR).

Tema 5. Preguntas tema 5.

1. ¿Cuál es el tiempo máximo de notificación establecido para un incidente clasificado como CRÍTICO?. a) Menos de 1 hora. b) Inmediata (menos de 15 minutos). c) Menos de 4 horas.

2. En un procedimiento de notificación, ¿cuál de los siguientes NO es un elemento de información mínima requerida al reportar un incidente?. a) Fecha y hora de detección. b) Coste estimado de las pérdidas. c) Descripción del incidente y sistemas afectados.

3. ¿Qué nivel de escalado interno debe activarse cuando un incidente requiere la participación de la Dirección General y el Departamento Legal?. a) Escalado nivel 1 - Operativo. b) Escalado nivel 2 - Táctico. c) Escalado nivel 3 - Estratégico.

4. En el flujo de notificación interna, ¿quién es responsable de validar la clasificación del incidente y asignar un responsable de gestión?. a) El usuario que detecta el incidente. b) El Service Desk o mesa de ayuda. c) El equipo de seguridad.

5. ¿En qué plazo debe notificarse a la AEPD una brecha de seguridad que afecta a datos personales?. a) 72 horas desde que se tiene conocimiento. b) 24 horas desde que se tiene conocimiento. c) 7 días desde que se tiene conocimiento.

6. ¿Cuándo es obligatorio notificar una brecha de datos personales a los afectados?. a) Siempre que haya una brecha, sin excepciones. b) Cuando la brecha supone un alto riesgo para los derechos y libertades de las personas. c) Solo si lo solicitan expresamente los afectados.

7. En el caso práctico de TechSolutions S.L., ¿cuál fue la primera acción inmediata tomada tras detectar el ransomware?. a) Pagar el rescate inmediatamente. b) Aislar servidores afectados de la red y desconectar backups en línea. c) Notificar a los clientes antes que a nadie.

8. Según el caso práctico, ¿en qué plazo se completó la notificación formal a la AEPD?. a) 48 horas. b) 24 horas. c) 72 horas.

9. ¿Cuál de las siguientes herramientas de gestión de tickets es de código abierto (open source) y gratuita?. a) ServiceNow. b) Jira Service Management. c) osTicket.

10. ¿Qué característica distingue principalmente a ServiceNow de otras plataformas ITSM?. a) Es gratuita y fácil de implementar. b) Es una plataforma empresarial completa con workflows personalizables y dashboard ejecutivo. c) Solo funciona con sistemas Linux.

11. ¿Qué componente de ELK Stack es responsable de la visualización y creación de dashboards?. a) Elasticsearch. b) Logstash. c) Kibana.

12. ¿Cuál es la principal ventaja de Wazuh como sistema SIEM?. a) Es de pago pero muy económico. b) Es open source, gratuito y muy completo. c) Solo funciona en entornos Windows.

13. ¿Qué significa SOAR en el contexto de ciberseguridad?. a) Security Operations and Response. b) Security Orchestration, Automation and Response. c) System Organization and Automated Reporting.

14. ¿Cuál de las siguientes es una plataforma SOAR de código abierto?. a) Palo Alto Cortex XSOAR. b) Splunk Phantom. c) TheHive Project.

15. ¿Qué herramienta se utiliza específicamente para el análisis de memoria RAM en investigaciones forenses?. a) Wireshark. b) Volatility. c) Autopsy.

16. ¿Cuál es la función principal de FTK Imager en análisis forense?. a) Crear imágenes forenses bit-a-bit manteniendo la cadena de custodia. b) Analizar tráfico de red en tiempo real. c) Detectar malware en archivos ejecutables.

17. ¿Cuál es el lenguaje de búsqueda que utiliza Splunk para realizar consultas?. a) SQL (Structured Query Language). b) SPL (Search Processing Language). c) Python.

18. En el flujo de funcionamiento de Splunk, ¿cuál es la segunda fase después de la ingesta de datos?. a) Indexación. b) Búsqueda. c) Visualización.

19. ¿Qué componente de ELK Stack actúa como el "cerebro procesador" que transforma datos brutos en información estructurada?. a) Beats. b) Logstash. c) Elasticsearch.

20. ¿Cuál de los siguientes NO es un tipo de Beat (agente de recopilación) en ELK Stack?. a) Filebeat. b) Packetbeat. c) Alertbeat.