Conceptos Fundamentales de Seguridad de la Información

Riesgo

Probabilidad de que ocurra un evento adverso, que supone un impacto negativo en caso de materializarse.

Información

Es el resultado de procesar, transformar o interpretar datos.

Diferencia entre Datos e Información

Los datos son la materia prima de la información.

Disponibilidad

Que la información esté disponible cuando sea necesario y solo para quien esté autorizado a ello.

Vulnerabilidad

Es un tipo de: Debilidad.

Hacker

Persona que domina el ámbito informático hasta el punto de poder manipular los sistemas para lograr que funcionen más allá de su comportamiento natural.

Hacker (sin intención de daño)

Persona que compromete la seguridad de un sistema informático haciendo uso de sus conocimientos técnicos, pero sin la intención de cometer daños: Hacker (o ‘white hat hacker’).

Legislación y Normativa en Seguridad Digital

Dimensiones de Seguridad que Configuran la Privacidad

¿Cuáles son las tres dimensiones más importantes de la seguridad que configuran la privacidad? Integridad, confidencialidad y no repudio. (Nota: La autenticidad también es relevante si se ofrece como opción junto a estas tres).

Inscripción o Registro de Ficheros de Datos Personales

Era obligatoria en la anterior LOPD y no se contempla en la actual LOPDGDD.

Comparación LOPD y LOPDGDD

Comparando la actual Ley de Protección de Datos con la anterior, ¿cuál de estas afirmaciones es correcta? La LOPD se centraba en los ficheros de datos personales, mientras que la LOPDGDD incide en su tratamiento.

Ley Española que Reemplaza a la Antigua LORTAD

Ley Orgánica de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD).

Categorización de Sistemas en el ENS

¿En qué niveles se categorizan los sistemas en el Esquema Nacional de Seguridad (ENS)? Básica, Media y Alta.

Regulación del Esquema Nacional de Seguridad (ENS)

El Esquema Nacional de Seguridad (ENS) está regulado por: El Real Decreto 3/2010, de 8 de enero.

Normas ISO 27001 y 27002

¿Qué carácter tienen las normas ISO 27001 y 27002? Ambas son voluntarias, pero solo la ISO 27001 es certificable.

ISO 27001

¿Qué ayuda a desarrollar la ISO 27001? Un Sistema de Gestión de Seguridad de la Información (SGSI).

Ley de Firma Electrónica (FNMT y DNIe)

Según la Ley de Firma Electrónica, las firmas efectuadas con un certificado de software FNMT o con el DNIe: La firma con DNIe es reconocida, mientras que la realizada con certificado FNMT es avanzada.

Gestión de la Seguridad y Continuidad del Negocio

Instrumento para la Resiliencia Organizacional

¿Cuál de estos instrumentos influye más en la resiliencia de las organizaciones? Plan de Continuidad del Negocio.

Objetivo NO del Esquema Nacional de Seguridad (ENS)

NO es un objetivo del Esquema Nacional de Seguridad (ENS): La respuesta ante incidentes de seguridad.

Etapas del Ciclo de Vida de Servicios en ITIL V3

Etapas o fases del ciclo de vida de los servicios en ITIL V3: Estrategia, Diseño, Transición, Operación y Mejora Continua.

Centros para la Lucha contra Ciberamenazas

¿Cuáles son los centros con la capacidad técnica y la estructura más adecuada para la lucha contra las ciberamenazas? Los Centros de Respuesta ante Incidentes (CSIRT/CERT).

Establecimiento de un CSIRT

Establecer un CSIRT es uno de los pasos para elaborar: Un Plan de Respuesta ante Incidentes.

Mensajes a CERT Gubernamentales

Los mensajes de comunicación de incidentes a los CERT gubernamentales: Deben enviarse cifrados con clave PGP.

Expectativas de un Análisis de Riesgos

¿Qué NO se espera de un análisis de riesgos? Eliminar todos los riesgos identificados en todos los activos de la organización dentro de su contexto de uso.

CSIRT de Referencia en España (RD 12/2018)

CSIRT de referencia en España según el RD 12/2018: CCN-CERT para los organismos públicos, INCIBE-CERT para los privados, y ESPDEF-CERT para el ámbito de la defensa.

Centro Criptológico Nacional (CCN)

Organismo responsable de coordinar la acción de los diferentes organismos de la administración que utilicen medios o procedimientos de cifrado.

Análisis de la Seguridad de la Información: Preguntas Básicas

Para analizar la seguridad de la información, las preguntas básicas son: ¿Qué proteger? ¿Contra quién? ¿Cómo? y ¿Hasta dónde?

Eslabón Más Débil de la Seguridad Integral

Eslabón más débil de la cadena que configura la visión integral de la seguridad: La seguridad en el personal.

ITIL

Biblioteca de buenas prácticas para la gestión de servicios de TI.

Metodología NO Reconocida de Análisis de Riesgos

NO es una metodología reconocida de análisis de riesgos: ITIL.

Actividad NO Correspondiente a una Auditoría Informática

NO corresponde a la realización de una auditoría informática: Identificar las amenazas y proponer salvaguardas para proteger a la organización.

Factor Crítico de Éxito en un Plan Director de Seguridad

NO es un factor crítico de éxito en un plan director de seguridad: Realizar un análisis de riesgos.

Ciberseguridad: Amenazas y Ataques

Análisis Forense vs. Análisis de Seguridad

¿En qué se distingue un análisis forense de un análisis de seguridad? El análisis forense se aplica únicamente a sistemas que han sufrido un ataque, pero siguen operativos.

Riesgo Humano NO Asociado a Redes Sociales

NO es un riesgo de carácter humano asociado al empleo de redes sociales: Ingeniería social. (Otros riesgos sí lo son: Daños o perjuicios a terceros, difamaciones y calumnias, repercusiones en la vida laboral y riesgos para menores en la red).

Rootkit

Software malicioso capaz de sustituir determinados componentes de un sistema operativo para dificultar su detección.

Llegada de un Troyano

¿De qué manera puede llegar un troyano a un sistema informático? Como adjunto en un mensaje de correo electrónico.

Ataque de Denegación de Servicio Distribuido (DDoS)

Un ataque de denegación de servicio distribuido (DDoS) se caracteriza porque: Se emplea un conjunto de máquinas (botnet) para saturar al sistema víctima.

Diferencia entre Gusano y Virus

Diferencia entre un gusano y un virus: El gusano se propaga automáticamente, mientras que el virus necesita la intervención humana para su propagación.

Intoxicación del DNS

Intoxicación del DNS a fin de dirigir un equipo a una web maliciosa: Pharming.

Redes y Criptografía

Factor NO de Autenticación

¿Cuál NO es un factor de autenticación? Presencia. (Los factores de autenticación son: Conocimiento, Posesión e Inherencia).

Lista de Control de Acceso (ACL) en Router Wi-Fi

En un router Wi-Fi, la lista de control de acceso (ACL) es: La lista que permite o deniega el acceso a la red basándose, por ejemplo, en las direcciones MAC de los dispositivos.

Recomendación NO Básica para Router Doméstico

¿Cuál de estas recomendaciones NO es básica para configurar un router doméstico? Configurar puertos entrantes (esto es una configuración de nivel medio/avanzado).

Rango de IP NO Privada

¿Cuál de estos rangos de direcciones IP no pertenece a una red privada? 152.126.X.X.

Cifrado de Comunicaciones Wi-Fi

Para cifrar las comunicaciones en una red Wi-Fi, se puede usar el protocolo: WPA (Wi-Fi Protected Access).

Recomendación Básica para Router Doméstico

Recomendación básica en la configuración de un router doméstico: Cambiar la contraseña de acceso por defecto e impedir su configuración desde Internet.

Red Privada Virtual (VPN)

Sistema de interconexión o de acceso seguro a redes privadas a través de una red pública.

Inconveniente de Sistemas de Clave Pública

¿Qué inconveniente plantea el uso de sistemas de clave pública? El intercambio de las claves públicas entre los agentes que establecen la comunicación, lo que puede llevar al problema del ‘Man-in-the-Middle’.

Algoritmo de Clave Privada que Mejora DES

¿Qué algoritmo de clave privada mejora significativamente las prestaciones del algoritmo DES (Data Encryption Standard)? Triple DES (3DES o TDES).

Sistemas de Clave Simétrica

Aseguran la confidencialidad.

Mecanismo de Firma Digital

Se realiza mediante el cifrado asimétrico de resúmenes (hashes).

Software PGP

Se basa en un modelo de confianza horizontal (Web of Trust).

Certificado Digital

Contiene la clave pública del usuario.

Técnicas Biométricas

Aseguran la autenticación.

Garantizar Integridad de Correo Electrónico

Para garantizar la integridad de un mensaje de correo electrónico: Firmarlo digitalmente.

Otros Conceptos Relevantes

Impulsores del Cambio Actual

¿Cuáles son los impulsores de la situación de cambio actual? Estándares y Tecnologías de bajo coste.

Neutralidad en Internet

Que todos los equipos conectados operen en igualdad de condiciones, sin que se propicie el tráfico en base a intereses comerciales o gubernamentales.