B4-T5 Seguridad en los SI Flashcards

1
Q

¿Que 3 dimensiones principales deben garantizar los sistemas de información?

A
  • confidencialidad -integridad -Disponibilidad
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

¿Que garantiza la integridad?

A

Asegura que los datos no sean modificados de manera incorrecta

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

¿Que herramientas existen para garantizar la integridad?

A

-Firmas digitales y hashes
- Control de versiones

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

¿Que garantiza la Confidencialidad?

A

asegurar que los datos sensibles solo sean accesibles a las personas o sistemas autorizados

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿Que medidas existen para garantizar la integridad?

A

-Cifrado de datos
- Controles de acceso
- Políticas de privacidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

¿Que garantiza la Disponibilidad?

A

la información y los recursos del sistema estén accesibles y utilizables por los usuarios autorizados cuando sea necesario

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

¿Que medidas existen para garantizar la Disponibilidad?

A

-Redundancia y tolerancia a fallos
- Planes de recuperación ante desastres
- Monitoreo y mantenimiento

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Listado de metodologías enfocadas en la seguridad de la información y de la gestión del TI?

A

-ENS
-ISM3
-COBIT
- Common Criteria
- SOGP
-TLLJO
- ITIL

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿Que es el ENS (Esquema Nacional de Seguridad)?

A

un marco normativo español que tiene como objetivo garantizar la protección adecuada de la información manejada por las Administraciones Públicas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Metodologías para la gestión y evaluación de riesgos de seguridad de la información

A

-MAGERIT
-OCTAVE
-CRAMM
- MEHARI
-SP800-30
-UNE 71504
-EBIOS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Definición de MAGERIT

A

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

¿Que garantiza la Autenticidad ?

A

(no-repudio) Garantía de que una entidad es genuina y verdadera.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

¿Que garantiza la Trazabilidad?

A

rastrear todas las acciones realizadas sobre un dato o en un sistema de información

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

¿Qué es un Activo?

A

Algo que está en el SI a proteger (información o servicio)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

¿Qué es una Amenaza ?

A

Evento que puede darse aprovechando una vulnerabilidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

¿Qué es una Vulnerabilidad?

A

Probabilidad de ocurrencia/materialización de una amenaza

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

¿Qué es el impacto ?

A

Daño producido por la ocurrencia de una amenaza

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

¿Que es el riesgo?

A

Función que mezcla la probabilidad de una amenaza con el impacto

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

¿Que mecanismos existen para reducir los riesgos?

A

Salvaguardas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

¿Que es la Seguridad Física?

A

medidas diseñadas para proteger los componentes físicos de una infraestructura de TI: -contra accesos no autorizados- robos -desastres naturales

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

¿Que es HSM (Hardware Security Module)?

A

dispositivo criptográfico que genera- almacena y protege claves criptográficas y suelen aportar aceleración hardware para operaciones criptográficas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

¿Nombre del API utilizado en HSM?

A

PCKS 11. Nombre coloquial: Cryptoki

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

¿Que es la Seguridad Lógica?

A

medidas y controles implementados para proteger los sistemas de información y datos contra accesos no autorizados, manipulación, y otros tipos de ciberataques.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Enumerar sistemas de autenticación

A

-Radius
-Kerberos
-OAuth
-JWT
-OpenID
-@Clave
-SAML
-Biométricos
-Sistemas OTP

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
¿Que es JWT (JSON Web Token)?
estándar abierto para crear tokens de acceso que permiten la verificación de identidad y el intercambio de información de forma segura entre dos partes
26
Partes que tiene un JWT
-Header (Encabezado) -Payload (Carga Útil) -Signature (Firma)
27
¿Como se llaman las declaraciones del Payload en JWT?
claims
28
¿Que es OpenId?
protocolo de autenticación que permite a los usuarios autenticarse en múltiples sitios web utilizando una única identidad digital gestionada por un proveedor de identidad
29
¿Que es MFA/2FA (2 Factor Authentication)?
consiste en combinar varios métodos: - Algo que sé (PIN, Password…) -Algo que tengo (USB, Certificado, QR…) -Algo que soy (Biométricos)
30
¿Que es un IDS?
sistema de detección de intrusiones
31
¿Que es un IPS?
software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos
32
Enumerar métodos de ataques a las contraseñas
Fuerza Bruta y Diccionario
33
Enumerar métodos de ataques por Ingeniería Social
-Phishing -Vishing -Smishing -Baiting o Gancho - Shoulder surfing -Dumpster Diving - Spam -Fraudes online
34
Enumerar métodos de ataques a las conexiones
-IP Spoofing -Web Spoofing -Email Spoofing -DNS Spoofing -Ataques a Cookies -Ataques DDoS -Inyección SQL -Escaneo de puertos -Man in the middle -Sniffing
35
Enumerar métodos de ataques por malware
-Virus -Adware -Spyware -Troyanos -Gusano -Rootkit -Botnets -Rogueware -Criptojacking -Apps maliciosas
36
¿Para que vale la herramienta nmap?
auditorías de seguridad. Escanea puertos
37
¿Para que vale la herramienta netstat - ss?
identificar conexiones TCP activas
38
¿Para que vale la herramienta nessus - OpenVAS?
detector de vulnerabilidades
39
¿Para que vale la herramienta MetaSploit?
test de penetración y descubrir vulnerabilidades de seguridad
40
¿Para que vale la herramienta tcpdump?
captura paquetes
41
¿Para que vale la herramienta ethereal/wireshark?
sniffer
42
¿Para que vale Linux Kali-Parrot?
distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general
43
¿Para que vale la herramienta John the Ripper?
para realizar ataques de fuerza bruta y descifrado de contraseñas
44
Enumerar ataques por fuerza bruta
-password cracker -Hydra -NCrack -Medusa
45
¿Para que vale la herramienta Cain y Abel?
recuperación de password para MS Windows
46
¿Para que vale la herramienta Shadow?
motor de búsqueda de router - servidores - webcam…
47
¿Para que vale la herramienta Nikto?
herramienta de escaneo de seguridad de código abierto diseñada para identificar vulnerabilidades y problemas de seguridad en servidores web
48
¿Que es Common vulnerabilities and Exposures (CVE)?
Es un sistema de referencia y nomenclatura para identificar y catalogar públicamente vulnerabilidades conocidas en software y hardware.
49
¿Quién creo Common vulnerabilities and Exposures (CVE)?
la MITRE Corporation( por eso a veces a la lista se la conoce por el nombre MITRE CVE List). Referencia: CVE-ID
50
¿Que es la vulnerabilidad del día 0?
vulnerabilidades recién descubiertas (Es posible que al fabricante del producto no le da dado tiempo a sacar un parche - y de ellos se aprovechan los hackers)
51
¿Que es CWE(Common Weakness Enumeration)?
es un sistema de categorías (catálogo) para las debilidades y vulnerabilidades del software y Hardware.
52
¿Que es Eavesdropping?
escuchar en secreto conversaciones privadas
53
¿Que es Políticas CORS (Cross-Origin Resource Sharing)?
Define cómo los navegadores deben manejar las solicitudes y respuestas para garantizar la seguridad y la protección del usuario- cuando un recurso web (como una página HTML- un script JavaScript o una imagen) es solicitado desde un dominio diferente al dominio del recurso original.
54
¿Que es HSTS?
forzar el canal HTTP a HTTPS
55
¿Que esContent Security Policy?
política de seguridad que los desarrolladores web pueden configurar mediante un encabezado HTTP (Content-Security-Policy) para restringir qué recursos pueden ser cargados por una página web. Esto incluye elementos como scripts-estilos- imágenes- iframes y otros contenidos.
56
¿Que es Hijacking?
robo de una sesión ya iniciada
57
¿Que es Phishing?
Suplantación de identidad (ej → al recibir un mail del banco)
58
¿Que es Pharming?
Vulnerabilidad en servidores DNS.
59
¿Que es Spoofing?
Suplantación/sustitución (IP-MAC-DNS)
60
¿Que es DoS: y DDoS?
Denegación de servicio y Denegación de servicio distribuido(botnets)
61
¿Que es Ataque pitufo o ataque smurf?
utiliza mensajes de ping a la dirección de difusión (broadcast) con suplantación de identidad para inundar (flood) un objetivo (sistema atacado).
62
¿Que es Ataque Ping de la muerte?
enviar paquetes ICMP (pings) con un tamaño excesivamente grande que excede el límite permitido por el protocolo IP.
63
¿Que norma lleva la Seguridad en sistemas de información?
TIA-942
64
¿Cual es la anchura normalizada de un rack ?
La anchura típica de los módulos es de 19” (482.6 mm). La altura de los racks y de los módulos que se integran en ellos medida en unidad rack (1U),
65
¿Que es EPO (Emergency Power off)?
botón de parada de emergencia.
66
¿Que es el PUE?
PUE(Power Usage Effectiveness).Eficiencia energética.Divisor los consumos eléctricos totales de un CPD entre el consumo exclusivo de los sistemas IT.
67
¿Que es DCIE(Data Center infrastructure Efficiency)?
El inverso de PUE
68
Herramientas de gestión de Incidencias
-GLPI -Request Tracker (RT) -MANTIS Bug Tracker -Bugzilla -RedMine -JIRA -Trac -OTRS -OSTicket -SpiceWorks HelpDesk -BMC Remedy / Helix→ soporte al SLA
69
¿Que es Red Team - Blue Team?
Se contrata a estas empresas para poner a prueba la seguridad de la empresa. -Red Team: Seguridad Ofensiva. Emulan a los atacantes -Blue Team: Seguridad Defensiva (tu propia organización) - Purple Team: Coordinación entre los 2
70
¿Quien es el CISO?
Responsable de seguridad en una organización
71
¿Cuál es la disponibilidad de un TIER IV?
99,995%
72
¿Cuál es la disponibilidad de un TIER III?
99,982%
73
¿Cuál es la redundancia de un TIER III?
redundancia (N+1)
74
¿Cuál es la redundancia de un TIER IV?
duplicada 2(N+1) Ej: 2 UPSs
75
¿Cómo es la entrada de energía de un TIER III?
2 entradas energía. Las 2 activas
76
¿Cómo es la entrada de energía de un TIER III?
2 entradas energía. Una en activa otra pasiva
77
Definición de Ataque
Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera.
78
Definición de Incidente de seguridad
Suceso (inesperado o no deseado) con consecuencias en detrimento de la seguridad del sistema de información
79
¿Que es el Análisis de Riesgo?
Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización
80
¿En que consiste Clickjacking?
el hacker utiliza diferentes capas transparentes o en marca de agua para poder engañar al usuario para que haga clic en un determinado botón o enlace en otro sitio cuando pretendía hacer clic en la página de nivel superior. De esta forma se pueden secuestrar los clics que están destinados a la página original y los enruta a otra web, que seguramente es propiedad de otra app o dominio.
81
¿En que consiste el ataque Ataque piggyback?
ataque de interceptación activa en el que el atacante aprovecha los periodos de pausa de un usuario legítimo para colarse
82
En que consiste la herramienta ANGELES
No es en sí mismo una solución de ciberseguridad. Es una solución dedicada íntegramente a la formación, concienciación y capacitación de profesionales en materia de ciberseguridad y personas interesadas en este ámbito
83
En el concepto de herramientas del CCN ¿En que consiste ELE?
Entorno de Superficie de Exposición “S” (ESE). Es una red neuronal en constante proceso de adaptación al medio y mejora continua, diseñada para mejorar las capacidades de vigilancia y reducir la superficie de exposición de los sistemas frente a las amenazas del ciberespacio, en tiempo real. Proporciona una capa de acceso a todos los Recursos, Soluciones, Desarrollos, Guías, Noticias, Cursos de Formación, Cultura de Ciberseguridad…, dedicados a dar respuestas eficaces que permitan proteger de forma eficiente los sistemas, frente al incremento constante en número, sofisticación y complejidad de los ciberataques.
84
En lo referido a climatización en un CPD¿Para que vale HVAC - CRAC - Free cooling?
- HVAC (Heating, Ventilation, and Air Conditioning): sistema de control ambiental en su conjunto: control de temperatura, humedad, flujo y caudal de aire, partículas en suspensión -CRAC (Computer Room Air Conditioners): dispositivos de aire acondicionado instalados en las salas del CPD. -Free cooling. Consiste en utilizar las bajas temperaturas del aire exterior para la climatización. Obviamente sólo cuando las temperaturas exteriores son inferiores a la necesaria dentro del CPD (ejemplo, CPDs en Soria).
85