Brainscape's Knowledge GenomeTM


Top Flashcards (Certified)
All Flashcards

TERJETAS FER > Tema 047 - Seguridad de sistemas > Flashcards

Tema 047 - Seguridad de sistemas Flashcards

1
Q

Sobre la seguridad en los sistemas, enumera seis requisitos de la seguridad

A

*Autenticidad (garantizar la fuente)
*Confidencialidad
*Integridad (información no alterada)
*Disponibilidad (acceso cuando se requiere)
*Trazabilidad (actuaciones de una entidad imputadas exclusivamente a dicha entidad)
*No repudio
El RD 311/2022, Esquema Nacional de Seguridad, les llama dimensiones de la seguridad a: ACIDT

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Sobre la seguridad en los sistemas, ¿Qué se entiende por MAGERIT?

A

Metodología de análisis y gestión de riesgos de los sistemas de Información de las Administraciones Públicas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Sobre la seguridad en los sistemas, ¿Qué es la ENAC?

A

Entidad Nacional de Acreditación

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

Enumera cuatro estrategias posibles respecto a las posibles amenazas de seguridad.

A

-Evitar el riesgo
-Minimizar el riesgo
-Transferir el riesgo
-Aceptar el riesgo sin control

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Sobre la gestión de riesgos, enumera tres elementos de análisis:

A
  1. Activos
  2. Amenazas
  3. Salvaguardas
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Enumera las tareas que incluye el MAR (Método de Análisis de Riesgos)

A

*Modelo de valor:
MAR.1 – caracterización de los activos
-MAR.11 –Identificación de los activos
-MAR.12 –Dependencias entre activos
-MAR.13 –Valoración de los activos

*Mapa de riesgos:
MAR.2 –Caracterización de las amenazas
-MAR.21 –Identificación de las amenazas
-MAR.22 –Valoración de las amenazas

*Declaración de aplicabilidad (Informe de contramedidas apropiadas), Evaluación de salvaguardas (existentes) e Informe de insuficiencias o vulnerabilidades (salvaguardas necesarias pero ausentes):
MAR.3 –Caracterización de las salvaguardas
-MAR.31 –Identificación de las salvaguardas pertinentes
-MAR.32 –Valoración de las salvaguardas

*Estado de riesgo:
MAR.4 –Estimación del estado de riesgo
-MAR.41 –Estimación del impacto
-MAR.42 –Estimación del riesgo

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Diferencia entre impacto y riesgo y sus diferentes tipos

A

Impacto: consecuencia en un activo de la materialización de una amenaza. Tipos: cuantitativos (perdidas económicas), cualitativos con perdidas funcionales (reducción de ACIDT) y cualitativos con perdidas orgánicas (responsabilidad penal, imagen, daño a personas, etc.)
Riesgo: posibilidad de que se produzca un impacto determinado en un activo. Tipos: Riesgo Intrínseco (antes de aplicar salvaguardas), residual (después de aplicar salvaguardas), umbral de riesgo (base para decidir si el riesgo calculado es asumible).

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Indica los tipos de salvaguardas

A

Preventivas: reducen la probabilidad
[PR]preventivas
[DR]disuasorias
[EL]eliminatorias

Curativas: Acotan la degradación
[IM]minimizadoras
[CR]correctivas
[RC]recuperativas

Consolidan el efecto de las demás
[MN]de monitorización
[DC]de detección
[AW]de concienciación
[AD]administrativas

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Enumera las tareas que incluye el PAR (Proyecto de Análisis de Riesgos)

A

PAR.1 –Actividades preliminares
-PAR.11 –Estudio de oportunidad
-PAR.12 –Determinación del alcance del proyecto
-PAR.13 –Planificación del proyecto
-PAR.14 –Lanzamiento del proyecto

PAR.2 –Elaboración del análisis de riesgo

PAR.3 –Comunicación de los resultados

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

Enumera las tareas que incluye el PS (Plan de Seguridad)

A

PS.1 –Identificación de proyectos de seguridad
PS.2 –Plan de ejecución
PS.3 –Ejecución

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Enumera las 7 capas en que se estructuran los activos según el MAR (Método de Análisis de Riesgos)

A

7 Activos esenciales
- información que se maneja
- servicios prestados

6 Servicios internos que estructuran ordenadamente el sistema de información

5 El equipamiento informático
- aplicaciones (software)
- equipos informáticos (hardware)
- comunicaciones
- soportes de información: discos, cintas, etc.

4 El entorno: activos que se precisan para garantizar las siguientes capas
- equipamiento y suministros: energía, climatización, etc.
- mobiliario

3 Los servicios subcontratados a terceros

2 Las instalaciones físicas

1 El personal:
- usuarios
- operadores y administradores
- desarrolladores

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Enumera 8 puntos para valorar un activo según el MAR (Método de Análisis de Riesgos)

A
  • Coste de reposición: adquisición e instalación
  • Coste de mano de obra (especializada) invertida en recuperar (el valor) del activo
  • Lucro cesante: pérdida de ingresos
  • Capacidad de operar: confianza de los usuarios y proveedores que se traduce en una pérdida de actividad o en peores condiciones económicas
  • Sanciones por incumplimiento de la ley u obligaciones contractuales
  • Daño a otros activos, propios o ajenos
  • Daño a personas
  • Daños medioambientales
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Indica tres actores MAGERIT (Metodología de análisis y gestión de riesgos de los sistemas de Información de las Administraciones Públicas)

A

1-Órganos de gobierno. Son los altos cargos de los organismos. También, si existe, es el Comité de Seguridad de la Información. Tienen la autoridad última para aceptar los riesgos con que se opera. Se dice que son los “propietarios del riesgo”.

2-Dirección ejecutiva. Son los responsables de unidades de negocio, los responsables de la calidad de los servicios prestados por la organización, etc.

3-Dirección operacional. Son los que toman decisiones prácticas para materializar las indicaciones dadas por los órganos ejecutivos. Típicamente: responsables de operaciones, de producción, de explotación y similares.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Indica 5 actores según el Esquema Nacional de Seguridad RD 311/2022

A

1-Responsable de la información. Típicamente a nivel de gobierno. Tiene la responsabilidad última sobre qué seguridad requiere una cierta información manejada por la Organización. Se concreta la responsabilidad sobre datos de carácter personal y sobre la clasificación de la información. A veces este rol lo ejerce el Comité de Seguridad de la Información.

2-Responsable del servicio. Típicamente a nivel de gobierno, aunque a veces baja a nivel ejecutivo. Tiene la responsabilidad última de determinar los niveles de servicio aceptables por la Organización. A veces este rol lo asume el Comité de Seguridad de la Información.

3-Responsable de la seguridad. Típicamente a nivel ejecutivo, actuando como engranaje entre las directrices emanadas de los responsables de la información y los servicios, y el responsable del sistema. A su vez funciona como supervisor de la operación del sistema y vehículo de reporte al Comité de Seguridad de la Información. Esta figura se denomina CISO (Chief Information Security Officer).

4-Responsable del sistema. A nivel operacional, toma decisiones operativas como arquitectura del sistema, adquisiciones, instalaciones y operación del día a día. Es también la persona que propone la arquitectura de seguridad, la declaración de aplicabilidad de salvaguardas, los procedimientos operativos y los planes de seguridad, además de la implantación de salvaguardas.

5-Administradores y operadores. Son las personas encargadas de ejecutar las acciones diarias de operación del sistema según las indicaciones recibidas de sus superiores jerárquicos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

¿Qué regula el Real Decreto 311/2022, de 4 de mayo?

A
  1. Este real decreto tiene por objeto regular el Esquema Nacional de Seguridad (en adelante, ENS), establecido en el artículo 156.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
  2. El ENS está constituido por los principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada y los servicios prestados por las entidades de su ámbito de aplicación, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
  3. Lo dispuesto en este real decreto, por cuanto afecta a los sistemas de información utilizados para la prestación de los servicios públicos, deberá considerarse comprendido en los recursos y procedimientos integrantes del Sistema de Seguridad Nacional recogidos en la Ley 36/2015, de 28 de septiembre, de Seguridad Nacional.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Según el Real Decreto 311/2022, ¿Cuál sería el ámbito de aplicación recogido en el artículo 2?

A
  1. Todo el sector público (artículo 2 y 156.2 de la Ley 40/2015)
  2. Los sistemas que tratan información clasificada, sin perjuicio de la aplicación de la Ley 9/1968, de 5 de abril, de Secretos Oficiales
  3. Sistemas de información de las entidades del sector privado que presten servicios o provean soluciones a las entidades del sector público para el ejercicio por estas de sus competencias y potestades administrativas.
17
Q

Según el Real Decreto 311/2022, sobre los Principios básicos del Esquema Nacional de Seguridad (art. 5), el objeto último de la seguridad de la información es garantizar que una organización podrá cumplir sus objetivos, desarrollar sus funciones y ejercer sus competencias utilizando sistemas de información. ¿Qué principios básicos deberán tenerse en materia de seguridad de la información?

A

a) Seguridad como proceso integral.
b) Gestión de la seguridad basada en los riesgos.
c) Prevención, detección, respuesta y conservación.
d) Existencia de líneas de defensa.
e) Vigilancia continua.
f) Reevaluación periódica.
g) Diferenciación de responsabilidades.

18
Q

Según el Real Decreto 311/2022, sobre la Diferenciación de responsabilidades (art. 11), ¿Qué cuatro responsables se identifican en los sistemas de información?

A

*Responsable de la información (determinará los requisitos de la información tratada)
*Responsable del servicio (determinará los requisitos de los servicios prestados)
*Responsable de la seguridad (determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones)
*Responsable del sistema (se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema y de la supervisión de la operación diaria del mismo, pudiendo delegar)

La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la explotación de los sistemas de información concernidos.

19
Q

Según el Real Decreto 311/2022, sobre Auditoria de la seguridad (art. 31), ¿Cada cuánto tiempo se deberá realizar una auditoría regular ordinaria que verifique el cumplimiento de los requerimientos del ENS?

A

Al menos cada dos años (podrá extenderse tres meses por causas de fuerza mayor ajenos a la entidad titular del sistema).

Con carácter extraordinario, deberá realizarse dicha auditoría siempre que se produzcan modificaciones sustanciales en los sistemas de información, que puedan repercutir en las medidas de seguridad requeridas

20
Q

Según el Real Decreto 311/2022, sobre Auditoria de la seguridad (art. 31), en el caso de los sistemas de categoría ALTA y atendiendo a una eventual gravedad de las deficiencias encontradas, ¿Qué medidas podrá tomar el responsable del sistema hasta su adecuada subsanación o mitigación?

A

*suspender temporalmente el tratamiento de informaciones
*suspender la prestación de servicios
*suspender la total operación del sistema

21
Q

Según el Real Decreto 311/2022, los sistemas de información comprendidos en el ámbito del artículo 2 serán objeto de un proceso para determinar su conformidad con el ENS. ¿Qué procedimientos de determinación de la conformidad precisarán los sistemas dependiendo de su categoría?

A

Los sistemas de categoría MEDIA o ALTA precisarán de una auditoría para la certificación de su conformidad.

los sistemas de categoría BÁSICA solo requerirán de una autoevaluación para su declaración de la conformidad.

22
Q

Según el Real Decreto 311/2022 de 4 de mayo, ¿de cuánto tiempo disponían los sistemas de información del ámbito de aplicación de este real decreto, preexistentes a su entrada en vigor, incluidos aquellos de los que sean titulares los contratistas del sector privado en los términos señalados en el artículo 2 para alcanzar su plena adecuación al ENS mediante la exhibición del correspondiente distintivo de conformidad?

A

Veinticuatro meses

23
Q

¿Cuál de las siguientes satisface una autenticación de usuario de dos factores?
a) Escaneo de iris y de huella dactilar
b) Identificador de usuario y sistema GPS
c) Smartcard que requiere un código PIN
d) Identificador de usuario más contraseña

A

C (algo que tienes (smartcard) + algo que conoces (código PIN))

24
Q

Para determinar el nivel aceptable de seguridad hay que llegar a un equilibrio entre:

a) El coste de los daños versus el coste de sus consecuencias
b) El coste de las medidas de seguridad versus el presupuesto disponible
c) Los costes y la probabilidad de los daños versus el coste de las medidas y seguridad para evitarlos
d) El coste de los daños versus los daños que somos capaces de aceptar

TERJETAS FER (19 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2025 Bold Learning Solutions. Terms and Conditions