B4-T5 Seguridad en los SI Flashcards

1
Q

¿Que 3 dimensiones principales deben garantizar los sistemas de información?

A
  • confidencialidad -integridad -Disponibilidad
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

¿Que garantiza la integridad?

A

Asegura que los datos no sean modificados de manera incorrecta

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

¿Que herramientas existen para garantizar la integridad?

A

-Firmas digitales y hashes
- Control de versiones

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

¿Que garantiza la Confidencialidad?

A

asegurar que los datos sensibles solo sean accesibles a las personas o sistemas autorizados

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

¿Que medidas existen para garantizar la integridad?

A

-Cifrado de datos
- Controles de acceso
- Políticas de privacidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

¿Que garantiza la Disponibilidad?

A

la información y los recursos del sistema estén accesibles y utilizables por los usuarios autorizados cuando sea necesario

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

¿Que medidas existen para garantizar la Disponibilidad?

A

-Redundancia y tolerancia a fallos
- Planes de recuperación ante desastres
- Monitoreo y mantenimiento

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Listado de metodologías enfocadas en la seguridad de la información y de la gestión del TI?

A

-ENS
-ISM3
-COBIT
- Common Criteria
- SOGP
-TLLJO
- ITIL

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

¿Que es el ENS (Esquema Nacional de Seguridad)?

A

un marco normativo español que tiene como objetivo garantizar la protección adecuada de la información manejada por las Administraciones Públicas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Metodologías para la gestión y evaluación de riesgos de seguridad de la información

A

-MAGERIT
-OCTAVE
-CRAMM
- MEHARI
-SP800-30
-UNE 71504
-EBIOS

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Definición de MAGERIT

A

Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

¿Que garantiza la Autenticidad ?

A

(no-repudio) Garantía de que una entidad es genuina y verdadera.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

¿Que garantiza la Trazabilidad?

A

rastrear todas las acciones realizadas sobre un dato o en un sistema de información

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

¿Qué es un Activo?

A

Algo que está en el SI a proteger (información o servicio)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

¿Qué es una Amenaza ?

A

Evento que puede darse aprovechando una vulnerabilidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

¿Qué es una Vulnerabilidad?

A

Probabilidad de ocurrencia/materialización de una amenaza

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

¿Qué es el impacto ?

A

Daño producido por la ocurrencia de una amenaza

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

¿Que es el riesgo?

A

Función que mezcla la probabilidad de una amenaza con el impacto

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

¿Que mecanismos existen para reducir los riesgos?

A

Salvaguardas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

¿Que es la Seguridad Física?

A

medidas diseñadas para proteger los componentes físicos de una infraestructura de TI: -contra accesos no autorizados- robos -desastres naturales

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

¿Que es HSM (Hardware Security Module)?

A

dispositivo criptográfico que genera- almacena y protege claves criptográficas y suelen aportar aceleración hardware para operaciones criptográficas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

¿Nombre del API utilizado en HSM?

A

PCKS 11. Nombre coloquial: Cryptoki

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

¿Que es la Seguridad Lógica?

A

medidas y controles implementados para proteger los sistemas de información y datos contra accesos no autorizados, manipulación, y otros tipos de ciberataques.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

Enumerar sistemas de autenticación

A

-Radius
-Kerberos
-OAuth
-JWT
-OpenID
-@Clave
-SAML
-Biométricos
-Sistemas OTP

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

¿Que es JWT (JSON Web Token)?

A

estándar abierto para crear tokens de acceso que permiten la verificación de identidad y el intercambio de información de forma segura entre dos partes

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

Partes que tiene un JWT

A

-Header (Encabezado)
-Payload (Carga Útil)
-Signature (Firma)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

¿Como se llaman las declaraciones del Payload en JWT?

A

claims

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

¿Que es OpenId?

A

protocolo de autenticación que permite a los usuarios autenticarse en múltiples sitios web utilizando una única identidad digital gestionada por un proveedor de identidad

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

¿Que es MFA/2FA (2 Factor Authentication)?

A

consiste en combinar varios métodos:
- Algo que sé (PIN, Password…)
-Algo que tengo (USB, Certificado, QR…)
-Algo que soy (Biométricos)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

¿Que es un IDS?

A

sistema de detección de intrusiones

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

¿Que es un IPS?

A

software que ejerce el control de acceso en una red informática para proteger a los sistemas computacionales de ataques y abusos

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
32
Q

Enumerar métodos de ataques a las contraseñas

A

Fuerza Bruta y Diccionario

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
33
Q

Enumerar métodos de ataques por Ingeniería Social

A

-Phishing
-Vishing
-Smishing
-Baiting o Gancho
- Shoulder surfing
-Dumpster Diving
- Spam
-Fraudes online

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
34
Q

Enumerar métodos de ataques a las conexiones

A

-IP Spoofing
-Web Spoofing
-Email Spoofing
-DNS Spoofing
-Ataques a Cookies
-Ataques DDoS
-Inyección SQL
-Escaneo de puertos
-Man in the middle
-Sniffing

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
35
Q

Enumerar métodos de ataques por malware

A

-Virus
-Adware
-Spyware
-Troyanos
-Gusano
-Rootkit
-Botnets
-Rogueware
-Criptojacking
-Apps maliciosas

36
Q

¿Para que vale la herramienta nmap?

A

auditorías de seguridad. Escanea puertos

37
Q

¿Para que vale la herramienta netstat - ss?

A

identificar conexiones TCP activas

38
Q

¿Para que vale la herramienta nessus - OpenVAS?

A

detector de vulnerabilidades

39
Q

¿Para que vale la herramienta MetaSploit?

A

test de penetración y descubrir vulnerabilidades de seguridad

40
Q

¿Para que vale la herramienta tcpdump?

A

captura paquetes

41
Q

¿Para que vale la herramienta ethereal/wireshark?

A

sniffer

42
Q

¿Para que vale Linux Kali-Parrot?

A

distribución basada en Debian GNU/Linux diseñada principalmente para la auditoría y seguridad informática en general

43
Q

¿Para que vale la herramienta John the Ripper?

A

para realizar ataques de fuerza bruta y descifrado de contraseñas

44
Q

Enumerar ataques por fuerza bruta

A

-password cracker
-Hydra
-NCrack
-Medusa

45
Q

¿Para que vale la herramienta Cain y Abel?

A

recuperación de password para MS Windows

46
Q

¿Para que vale la herramienta Shadow?

A

motor de búsqueda de router - servidores - webcam…

47
Q

¿Para que vale la herramienta Nikto?

A

herramienta de escaneo de seguridad de código abierto diseñada para identificar vulnerabilidades y problemas de seguridad en servidores web

48
Q

¿Que es Common vulnerabilities and Exposures (CVE)?

A

Es un sistema de referencia y nomenclatura para identificar y catalogar públicamente vulnerabilidades conocidas en software y hardware.

49
Q

¿Quién creo Common vulnerabilities and Exposures (CVE)?

A

la MITRE Corporation( por eso a veces a la lista se la conoce por el nombre MITRE CVE List). Referencia: CVE-ID

50
Q

¿Que es la vulnerabilidad del día 0?

A

vulnerabilidades recién descubiertas (Es posible que al fabricante del producto no le da dado tiempo a sacar un parche - y de ellos se aprovechan los hackers)

51
Q

¿Que es CWE(Common Weakness Enumeration)?

A

es un sistema de categorías (catálogo) para las debilidades y vulnerabilidades del software y Hardware.

52
Q

¿Que es Eavesdropping?

A

escuchar en secreto conversaciones privadas

53
Q

¿Que es Políticas CORS (Cross-Origin Resource Sharing)?

A

Define cómo los navegadores deben manejar las solicitudes y respuestas para garantizar la seguridad y la protección del usuario- cuando un recurso web (como una página HTML- un script JavaScript o una imagen) es solicitado desde un dominio diferente al dominio del recurso original.

54
Q

¿Que es HSTS?

A

forzar el canal HTTP a HTTPS

55
Q

¿Que esContent Security Policy?

A

política de seguridad que los desarrolladores web pueden configurar mediante un encabezado HTTP (Content-Security-Policy) para restringir qué recursos pueden ser cargados por una página web. Esto incluye elementos como scripts-estilos- imágenes- iframes y otros contenidos.

56
Q

¿Que es Hijacking?

A

robo de una sesión ya iniciada

57
Q

¿Que es Phishing?

A

Suplantación de identidad (ej → al recibir un mail del banco)

58
Q

¿Que es Pharming?

A

Vulnerabilidad en servidores DNS.

59
Q

¿Que es Spoofing?

A

Suplantación/sustitución (IP-MAC-DNS)

60
Q

¿Que es DoS: y DDoS?

A

Denegación de servicio y Denegación de servicio distribuido(botnets)

61
Q

¿Que es Ataque pitufo o ataque smurf?

A

utiliza mensajes de ping a la dirección de difusión (broadcast) con suplantación de identidad para inundar (flood) un objetivo (sistema atacado).

62
Q

¿Que es Ataque Ping de la muerte?

A

enviar paquetes ICMP (pings) con un tamaño excesivamente grande que excede el límite permitido por el protocolo IP.

63
Q

¿Que norma lleva la Seguridad en sistemas de información?

A

TIA-942

64
Q

¿Cual es la anchura normalizada de un rack ?

A

La anchura típica de los módulos es de 19” (482.6 mm). La altura de los racks y de los módulos que se integran en ellos medida en unidad rack (1U),

65
Q

¿Que es EPO (Emergency Power off)?

A

botón de parada de emergencia.

66
Q

¿Que es el PUE?

A

PUE(Power Usage Effectiveness).Eficiencia energética.Divisor los consumos eléctricos totales de un CPD entre el consumo exclusivo de los sistemas IT.

67
Q

¿Que es DCIE(Data Center infrastructure Efficiency)?

A

El inverso de PUE

68
Q

Herramientas de gestión de Incidencias

A

-GLPI
-Request Tracker (RT)
-MANTIS Bug Tracker
-Bugzilla
-RedMine
-JIRA
-Trac
-OTRS
-OSTicket
-SpiceWorks HelpDesk
-BMC Remedy / Helix→ soporte al SLA

69
Q

¿Que es Red Team - Blue Team?

A

Se contrata a estas empresas para poner a prueba la seguridad de la empresa.
-Red Team: Seguridad Ofensiva. Emulan a los atacantes
-Blue Team: Seguridad Defensiva (tu propia organización)
- Purple Team: Coordinación entre los 2

70
Q

¿Quien es el CISO?

A

Responsable de seguridad en una organización

71
Q

¿Cuál es la disponibilidad de un TIER IV?

A

99,995%

72
Q

¿Cuál es la disponibilidad de un TIER III?

A

99,982%

73
Q

¿Cuál es la redundancia de un TIER III?

A

redundancia (N+1)

74
Q

¿Cuál es la redundancia de un TIER IV?

A

duplicada 2(N+1)
Ej: 2 UPSs

75
Q

¿Cómo es la entrada de energía de un TIER III?

A

2 entradas energía. Las 2 activas

76
Q

¿Cómo es la entrada de energía de un TIER III?

A

2 entradas energía. Una en activa otra pasiva

77
Q

Definición de Ataque

A

Intento de destruir, exponer, alterar o inhabilitar un sistema de información o la información que el sistema maneja, o violar alguna política de seguridad de alguna otra manera.

78
Q

Definición de Incidente de seguridad

A

Suceso (inesperado o no deseado) con consecuencias en detrimento de la seguridad del sistema de información

79
Q

¿Que es el Análisis de Riesgo?

A

Proceso sistemático para estimar la magnitud de los riesgos a que está expuesta una organización

80
Q

¿En que consiste Clickjacking?

A

el hacker utiliza diferentes capas transparentes o en marca de agua para poder engañar al usuario para que haga clic en un determinado botón o enlace en otro sitio cuando pretendía hacer clic en la página de nivel superior. De esta forma se pueden secuestrar los clics que están destinados a la página original y los enruta a otra web, que seguramente es propiedad de otra app o dominio.

81
Q

¿En que consiste el ataque Ataque piggyback?

A

ataque de interceptación activa en el que el atacante aprovecha los periodos de pausa de un usuario legítimo para colarse

82
Q

En que consiste la herramienta ANGELES

A

No es en sí mismo una solución de ciberseguridad. Es una solución dedicada íntegramente a la formación, concienciación y capacitación de profesionales en materia de ciberseguridad y personas interesadas en este ámbito

83
Q

En el concepto de herramientas del CCN ¿En que consiste ELE?

A

Entorno de Superficie de Exposición “S” (ESE). Es una red neuronal en constante proceso de adaptación al medio y mejora continua, diseñada para mejorar las capacidades de vigilancia y reducir la superficie de exposición de los sistemas frente a las amenazas del ciberespacio, en tiempo real.
Proporciona una capa de acceso a todos los Recursos, Soluciones, Desarrollos, Guías, Noticias, Cursos de Formación, Cultura de Ciberseguridad…, dedicados a dar respuestas eficaces que permitan proteger de forma eficiente los sistemas, frente al incremento constante en número, sofisticación y complejidad de los ciberataques.

84
Q

En lo referido a climatización en un CPD¿Para que vale HVAC - CRAC - Free cooling?

A
  • HVAC (Heating, Ventilation, and Air Conditioning): sistema de control ambiental en su conjunto: control de temperatura, humedad, flujo y caudal de aire, partículas en suspensión
    -CRAC (Computer Room Air Conditioners): dispositivos de aire acondicionado instalados en las salas del CPD.
    -Free cooling. Consiste en utilizar las bajas temperaturas del aire exterior para la climatización. Obviamente sólo cuando las temperaturas exteriores son inferiores a la necesaria dentro del CPD (ejemplo, CPDs en Soria).
85
Q
A