Seguridad de la Información

Questions and Answers

¿Qué componente asegura que los datos no sean modificados de manera incorrecta?

Firmas digitales y hashes (correct)

Controles de acceso

Cifrado de datos

Redundancia y tolerancia a fallos

¿Cuál de las siguientes políticas protege la información contra accesos no autorizados?

Control de versiones

Validación de entrada de datos

Plan de recuperación ante desastres

Cifrado de datos (correct)

¿Qué aspecto se asegura mediante la disponibilidad?

Prevención de la pérdida de información

Validación de datos sensibles

Protección contra malware

Acceso continua a la información (correct)

¿Qué es un ataque en el contexto de la seguridad de la información?

Un intento de violar una política de seguridad

¿Cuál de las siguientes definiciones describe adecuadamente una amenaza?

Evento que puede aprovechar una vulnerabilidad

¿Qué metodología está enfocada en minimizar los riesgos de las Tecnologías de la Información en las Administraciones Públicas?

MAGERIT

¿Cuál de las siguientes opciones no contribuye a la integridad de la información?

Políticas de privacidad

¿Qué se entiende por impacto en el contexto de la seguridad de la información?

El daño producido por la ocurrencia de una amenaza

¿Qué es un HSM (Hardware Security Module)?

Un dispositivo que protege claves criptográficas.

¿Cuál de las siguientes afirmaciones describe mejor el propósito de las políticas CORS?

Permitir que los navegadores controlen el acceso a dominios.

¿Cuál es la función principal de un sistema de detección de intrusiones (IDS)?

Detectar accesos no autorizados a un computador o red.

¿Cómo funciona el protocolo OAuth?

Permite acceso a recursos sin compartir credenciales.

¿Qué es un JSON Web Token (JWT)?

Un estándar abierto para crear tokens de acceso.

¿Cuál de las siguientes herramientas se utiliza para detectar vulnerabilidades en sistemas?

Nessus - OpenVAS.

¿Qué tipo de ataque es un smurf?

Inundación de un objetivo a través de mensajes de ping.

¿Cuál es la función de MFA/2FA en la seguridad informática?

Combinar múltiples métodos de autenticación para mayor seguridad.

¿Qué identifica el sistema Common Vulnerabilities and Exposures (CVE)?

Vulnerabilidades conocidas en software y hardware.

¿Cuál es la disponibilidad máxima ofrecida por un CPD de nivel Tier IV?

99,995%

¿Qué tipo de redundancia se implementa en un CPD de nivel Tier II?

N+1

¿Cuántas horas de inactividad se permiten anualmente en un CPD de nivel Tier III?

1,6 horas

¿Cuál es uno de los requisitos de climatización para los CPD según la norma?

Temperatura y humedad constante de 21°C y 50%

¿Qué se recomienda evitar en la iluminación del CPD?

Luz natural

¿Qué significa la métrica PUE en el contexto de la eficiencia energética de un CPD?

Power Usage Effectiveness

¿Qué nivel de disponibilidad permite un máximo de 22 horas de inactividad al año?

Tier II

¿Cuál es la característica principal del Tier IV en cuanto a la redundancia?

Implementa redundancia 2(N+1)

¿Cuál es el porcentaje de disponibilidad que ofrece el Tier III?

99,982%

¿Cuántas horas de inactividad al año se permiten en un CPD de nivel Tier IV?

0,4 horas

¿Cuál es el porcentaje de disponibilidad ofrecido por un sistema de nivel Tier I?

99,6671%

¿Cuántas horas de inactividad se permiten al año en un sistema Tier I?

28,8 horas

¿Qué característica falta en los componentes del nivel Tier I?

Redundancia

Study Notes

Dimensiones de Seguridad de la Información

• Integridad: Mantenimiento de la información completa, precisa y sin alteraciones no autorizadas. Se evita la modificación incorrecta, intencional o accidental de los datos. Se logra mediante firmas digitales, hashes y control de versiones. Se incluye la validación de la entrada de datos.

• Confidencialidad: Protección de la información contra el acceso no autorizado. Sólo personas o sistemas autorizados pueden acceder a datos sensibles. Se previene la divulgación a entidades no autorizadas. Se logra a través del cifrado de datos, controles de acceso y políticas de privacidad.

• Disponibilidad: Garantiza acceso y utilización de la información y recursos del sistema por usuarios autorizados cuando sea necesario. Esto implica mantener el funcionamiento continuo de sistemas, servicios y datos. Se logra a través de redundancia, tolerancia a fallos, planes de recuperación ante desastres y monitoreo/mantenimiento.

Herramientas y Tecnologías de Seguridad

• CCN-STIC-400: Proporciona recomendaciones para responsables de seguridad en aspectos concretos de seguridad TIC.

• CCN-STIC-410: Incluye un análisis de riesgos en sistemas de la Administración.

• MAGERIT: Metodología de Análisis y Gestión de Riesgos de Sistemas de Información. Se usa en las Administraciones Públicas para minimizar riesgos de la implantación y uso de las TIC.

• HSM (Hardware Security Module): Dispositivo criptográfico que genera, almacena y protege claves criptográficas, acelerando las operaciones criptográficas. Incluye API PKCS#11 (Cryptoki).

• Radius: Protocolo de red para autenticación, autorización y contabilidad centralizada de usuarios en redes.

• Kerberos: Protocolo de autenticación segura en redes no confiables.

• OAuth: Estándar de autorización para que usuarios concedan acceso a sus recursos a otros sitios web sin compartir sus credenciales.

• JSON Web Token (JWT): Estándar para crear tokens de acceso seguros para verificación de identidad e intercambio de información.

• MFA/2FA (Autenticación de 2 Factores): Combina varios métodos: algo que sé (contraseña), algo que tengo (dispositivo) y algo que soy (biometría).

• IDS (Sistema de Detección de Intrusiones): Software que detecta accesos no autorizados a computadoras o redes.

• IPS (Sistema de Prevención de Intrusiones): Software que controla el acceso a una red informática para proteger de ataques y abusos.

• CVE (Common Vulnerabilities and Exposures): Sistema de referencia y nomenclatura para identificar y catalogar vulnerabilidades en software y hardware (creado por MITRE Corporation).

• CWE (Common Weakness Enumeration): Sistema de categorías para las debilidades y vulnerabilidades de software y hardware.

• CORS (Cross-Origin Resource Sharing): Conjunto de reglas para controlar la interacción entre dominios web diferentes.

• HSTS (HTTP Strict Transport Security): Fuerza el uso de HTTPS.

• Nessus/OpenVAS: Detector de vulnerabilidades.

• John the Ripper: Herramienta para ataques de fuerza bruta y descifrado de contraseñas (incluye password cracker, Hydra, NCrack, Medusa).

• Nikto: Herramienta de escaneo de seguridad para identificar vulnerabilidades en servidores web.

• XSS (Cross-Site Scripting): Permite a terceros inyectar código JavaScript malicioso en páginas web.

• Nuke: Familia de ataques en red que envía paquetes ICMP mal construidos.

• Ataque Piggyback: Ataque de interceptación activa que aprovecha el tiempo inactivo de un usuario.

• Ataque Smurf/Pitufo: Utiliza mensajes de ping a direcciones de difusión con suplantación de identidad para inundar (flood) un objetivo.

• TearDrop: Ataque de fragmentación IP que puede causar caídas en la pila de protocolos.

• Free cooling: Utiliza temperaturas externas para climatización.

• EPO (Emergency Power Off): Botón de apagado de emergencia.

Conceptos Clave

• Amenaza: Evento que aprovecha una vulnerabilidad para ocurrir.

• Vulnerabilidad: Probabilidad de ocurrencia/materialización de una amenaza.

• Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información, o violar una política de seguridad.

• Impacto: Daño causado por la materialización de una amenaza. Consecuencia de la amenaza sobre un activo.

Description

Este cuestionario explora las tres dimensiones clave de la seguridad de la información: integridad, confidencialidad y disponibilidad. Cada dimensión se define y se discuten las técnicas utilizadas para proteger los datos y garantizar su acceso seguro. Ideal para estudiantes y profesionales interesados en ciberseguridad.