Chapter 1 - Mastering Security Basics

Question 1

About: What Is a Use Case?

What is the purpose of a use case in software development, and how is it typically named?

Answer 1

El propósito de un caso de uso en el desarrollo de software es identificar y aclarar los requisitos para lograr un objetivo específico de una organización. Los casos de uso suelen recibir nombres en formato verbo-sustantivo, como “Realizar Pedido.

Question 2

About: What Is a Use Case?

What elements are included in a typical use case, and why is it important to define a precondition and a trigger?

Answer 2

Un caso de uso típico incluye elementos como actores, precondiciones, desencadenantes, poscondiciones, flujo normal y flujo alternativo.

Question 3

About: What Is a Use Case?

How can a use case benefit different departments within an organization, and why is it essential for understanding the order of steps in the “normal flow” of a use case?

Answer 3

Un caso de uso puede ser beneficioso para diferentes departamentos, ya que ayuda a comprender cómo interactúan con un proceso común. Entender el orden de los pasos en el “flujo normal” es esencial para garantizar que el objetivo se alcance de manera efectiva y eficiente.

Question 4

About: What Is a Use Case?

What does the term “Normal Flow” in a use case refer to, and why is it important in the context of software development?

Answer 4

El término “Normal Flow” en un caso de uso se refiere a la secuencia estándar y esperada de pasos que conducen al logro del objetivo del caso de uso. Es importante en el desarrollo de software porque describe cómo se espera que ocurra una tarea o proceso de manera típica, proporcionando una guía clara para el diseño y la implementación del software

Question 5

About: Ensure Confidentiality

What is the primary purpose of ensuring confidentiality, and how is encryption used to achieve it?

Answer 5

El propósito principal de garantizar la confidencialidad es prevenir la divulgación no autorizada de datos. El cifrado se utiliza para hacer que los datos sean ilegibles para personal no autorizado y proteger la confidencialidad. El personal autorizado puede descifrar los datos para acceder a ellos.

Question 6

About: Ensure Confidentiality

What are the key elements of access controls, and how do they help in protecting data confidentiality?

Answer 6

Los elementos clave de los controles de acceso incluyen la identificación, la autenticación y la autorización. La identificación se logra mediante nombres de usuario únicos, la autenticación utiliza métodos como contraseñas, y la autorización determina quién tiene acceso a recursos específicos. Estos controles ayudan a asegurar que solo el personal autorizado pueda acceder a los datos, protegiendo así su confidencialidad.

Question 7

About: Ensure Confidentiality

Why is encryption considered a crucial method for safeguarding Personally Identifiable Information (PII), and how does it work when transmitting data via email?

Answer 7

El cifrado es crucial para proteger la PII porque hace que los datos sean ilegibles para personal no autorizado, lo que evita su divulgación. Cuando se envían datos por correo electrónico, si se cifra el mensaje, los datos permanecen seguros durante su viaje por la red y solo pueden ser descifrados por el destinatario autorizado, lo que protege la confidencialidad de la PII.

Question 8

About: Ensure Confidentiality

What does PII (Personally Identifiable Information) stand for, and why is it important to protect it in electronic communications?

Answer 8

PII, o Información de Identificación Personal, se refiere a datos que pueden utilizarse para identificar o contactar a una persona específica. Esto incluye información como nombres, direcciones, números de teléfono, direcciones de correo electrónico, números de seguro social y datos financieros, entre otros. Es importante proteger la PII en las comunicaciones electrónicas para evitar su acceso por parte de personas no autorizadas y prevenir el riesgo de robo de identidad, fraudes y otros delitos relacionados con la privacidad. El cifrado es una medida clave para garantizar la seguridad de la PII en tránsito.

Question 9

About: Provide Integrity

What is the primary goal of ensuring data confidentiality, and how is encryption used to achieve it?

Answer 9

El objetivo principal de garantizar la confidencialidad de los datos es prevenir la divulgación no autorizada. El cifrado se utiliza para hacer que los datos sean ilegibles para personal no autorizado, y solo los usuarios autorizados pueden descifrarlos.

Question 10

About: Provide Integrity

What are some common methods to protect data integrity, and how does hashing play a role in ensuring data hasn’t been tampered with?

Answer 10

Algunos métodos comunes para proteger la integridad de los datos incluyen el uso de algoritmos de hashing, como SHA, que generan “hashes” únicos para los datos. Comparando estos hashes en diferentes momentos, podemos verificar si los datos han sido modificados.

Question 11

About: Provide Integrity

How does hashing work, and what information does it provide when comparing two hashes generated at different times?

Answer 11

El hashing es el proceso de generar un número único (hash) aplicando un algoritmo a un conjunto de datos. Cuando comparamos dos hashes generados en momentos diferentes, podemos determinar si los datos originales siguen siendo los mismos. Si los hashes coinciden, los datos son los mismos; si son diferentes, los datos han cambiado.

Question 12

About: Provide Integrity

Give an example of how hashing can be used to ensure the integrity of a message in electronic communication.

Answer 12

Por ejemplo, cuando alguien envía un mensaje, puede calcular un hash del mensaje y enviarlo junto con el mensaje. El destinatario puede calcular un hash del mensaje recibido y compararlo con el hash enviado para asegurarse de que el mensaje no haya perdido integridad.

Question 13

About: Provide Integrity

Why is it important to verify data integrity when downloading files from the internet, and how can hashing help in this process?

Answer 13

Verificar la integridad de los datos al descargar archivos de internet es importante para asegurarse de que los archivos no se hayan dañado durante la transferencia. El hashing se utiliza para comparar el hash del archivo original con el hash del archivo descargado, lo que permite detectar cambios no deseados.

Question 14

About Increase Availability

What does “availability” refer to in the context of data and services, and how can it vary for different organizations?

Answer 14

“availability” se refiere a la disponibilidad de datos y servicios cuando se necesitan. Puede variar para diferentes organizaciones, algunas requieren disponibilidad solo durante ciertas horas de ciertos días, mientras que otras necesitan estar disponibles las 24 horas del día, los 7 días de la semana, los 365 días del año.

Question 15

About Increase Availability

What are some common methods that organizations use to ensure high availability for their key systems?

Answer 15

Las organizaciones comúnmente utilizan métodos de redundancia y tolerancia a fallos para garantizar altos niveles de disponibilidad en sistemas clave.

Question 16

About Increase Availability

How do software patches relate to ensuring availability, and why are they important?

Answer 16

Los parches de software son importantes para garantizar la disponibilidad, ya que ayudan a corregir errores de software que podrían afectar la disponibilidad de los sistemas. Mantener los sistemas actualizados con los últimos parches es crucial para evitar problemas de disponibilidad.

Question 17

About: Redundancy and Fault Tolerance

What is the purpose of redundancy in critical systems, and how does it contribute to fault tolerance?

Answer 17

La redundancia en sistemas críticos tiene el propósito de agregar duplicación para garantizar que, en caso de un fallo en un componente crítico, el servicio pueda continuar sin interrupción. Esto contribuye a la tolerancia a fallos, ya que el sistema puede soportar un fallo sin dejar de funcionar.

Question 18

About: Redundancy and Fault Tolerance

What is the significance of eliminating Single Points of Failure (SPOF) in fault tolerance and redundancy strategies?

Answer 18

La eliminación de los Puntos Únicos de Falla (SPOF) es significativa, ya que un SPOF representa un punto en el sistema donde si falla, puede causar la falla de todo el sistema. Eliminar SPOFs es esencial para garantizar la continuidad del sistema.

Question 19

About: Redundancy and Fault Tolerance

Provide examples of redundancy and fault tolerance methods mentioned in the article and how they ensure system availability.

Answer 19

Ejemplos mencionados incluyen redundancia de discos, como RAID-1, RAID-5 y RAID-10; redundancia de servidores a través de clústeres de conmutación por error; redundancia de red mediante equilibrio de carga; y redundancia de energía a través de UPS y generadores.

Question 20

About: Redundancy and Fault Tolerance

Why is the elimination of Single Points of Failure important for increasing system availability, and how do redundancy and fault tolerance methods help achieve this?

Answer 20

Eliminar los Puntos Únicos de Falla es importante porque un solo fallo podría llevar al colapso del sistema. Los métodos de redundancia y tolerancia a fallos permiten que el sistema continúe funcionando incluso si un componente falla, evitando así la pérdida de disponibilidad.

Question 21

About: Scalability and Elasticity

Answer 21

El propósito principal de la escalabilidad y la elasticidad es permitir que los sistemas se adapten a las demandas cambiantes de recursos al agregar o eliminar recursos de manera eficiente.

Question 22

About: Scalability and Elasticity

What is the key difference between scalability and elasticity, and how do they handle resource expansion?

Answer 22

La diferencia clave es que la escalabilidad generalmente implica la adición manual de recursos, mientras que la elasticidad implica la expansión y contracción dinámica de recursos según sea necesario.

Question 23

About: Scalability and Elasticity

Can you explain the concept of scalability using an example from the article?

Answer 23

Sí, la escalabilidad se ilustra en el artículo con un ejemplo de un servidor que se expande manualmente agregando más memoria RAM cuando es necesario para manejar una carga de trabajo mayor.

Question 24

About: Scalability and Elasticity

How does elasticity work and what analogy is used to describe it in the article?

Answer 24

La elasticidad implica la expansión y contracción dinámica de recursos según la demanda. Se compara con una banda de goma que se estira y se contrae automáticamente en respuesta a la carga de trabajo cambiante.

Question 25

About: Patching

What is the purpose of patching in the context of system maintenance?

Answer 25

El propósito de las actualizaciones es corregir errores de software y resolver problemas, incluyendo problemas de seguridad, para mantener el sistema funcionando correctamente.

Question 26

About: Patching

How do software vendors typically respond to software bugs?

Answer 26

Los fabricantes de software desarrollan y lanzan código que parchea o resuelve los problemas cuando descubren errores en el software.

Question 27

About: Patching

What is the role of patch management programs, and what do they aim to achieve?

Answer 27

Los programas de gestión de parches tienen como objetivo asegurarse de que los sistemas se mantengan actualizados con los últimos parches para garantizar su correcto funcionamiento.

Question 28

About: Understanding Resiliency

What is the current trend in terms of system resiliency?

Answer 28

La tendencia actual es aumentar la resiliencia de los sistemas en lugar de buscar la máxima disponibilidad posible, para garantizar la confiabilidad de los sistemas sin incurrir en altos costos.

Question 29

About: Understanding Resiliency

How does resiliency differ from high availability in terms of system design and cost?

Answer 29

La resiliencia se enfoca en mantener la confiabilidad del sistema con un costo menor en comparación con los sistemas de alta disponibilidad, que requieren eliminar todos los posibles puntos de falla única y agregar múltiples redundancias, lo que aumenta significativamente el costo.

Question 30

About: Understanding Resiliency

What are some methods used by resilient systems to recover from faults with minimal downtime, as mentioned in the article?

Answer 30

Los sistemas resilientes utilizan métodos como realizar y probar copias de seguridad regulares, contar con fuentes de alimentación de respaldo, agrupación de tarjetas de interfaz de red (NIC) y subsistemas de discos redundantes para recuperarse rápidamente de fallas.

Question 31

About: Understanding Resiliency

How do resilient systems typically handle components that fail in processes?

Answer 31

Los sistemas resilientes esperan que los componentes vuelvan a intentar procesos que han fallado, lo que significa que si un proceso falla, se volverá a intentar automáticamente.

Question 32

About: Resource Versus Security Constraints

Why do some organizations choose not to encrypt all their data, despite the security benefits of encryption?

Answer 32

Algunas organizaciones eligen no cifrar todos sus datos debido al consumo de recursos que implica el cifrado, lo que puede aumentar los costos de almacenamiento y ralentizar las aplicaciones.

Question 33

About: Resource Versus Security Constraints

What is the effect of encryption on the length of encrypted data compared to unencrypted data?

Answer 33

El cifrado aumenta la longitud de los datos cifrados en aproximadamente un 40 por ciento en comparación con los datos no cifrados.

Question 34

About: Resource Versus Security Constraints

What is the responsibility of executives regarding costs and security in an organization?

Answer 34

Los ejecutivos tienen la responsabilidad de minimizar los costos sin sacrificar la seguridad. Deben buscar un equilibrio óptimo entre los recursos y las necesidades de seguridad.