Seguridad de la Información
30 Questions
1 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

¿Qué componente asegura que los datos no sean modificados de manera incorrecta?

  • Firmas digitales y hashes (correct)
  • Controles de acceso
  • Cifrado de datos
  • Redundancia y tolerancia a fallos
  • ¿Cuál de las siguientes políticas protege la información contra accesos no autorizados?

  • Control de versiones
  • Validación de entrada de datos
  • Plan de recuperación ante desastres
  • Cifrado de datos (correct)
  • ¿Qué aspecto se asegura mediante la disponibilidad?

  • Prevención de la pérdida de información
  • Validación de datos sensibles
  • Protección contra malware
  • Acceso continua a la información (correct)
  • ¿Qué es un ataque en el contexto de la seguridad de la información?

    <p>Un intento de violar una política de seguridad</p> Signup and view all the answers

    ¿Cuál de las siguientes definiciones describe adecuadamente una amenaza?

    <p>Evento que puede aprovechar una vulnerabilidad</p> Signup and view all the answers

    ¿Qué metodología está enfocada en minimizar los riesgos de las Tecnologías de la Información en las Administraciones Públicas?

    <p>MAGERIT</p> Signup and view all the answers

    ¿Cuál de las siguientes opciones no contribuye a la integridad de la información?

    <p>Políticas de privacidad</p> Signup and view all the answers

    ¿Qué se entiende por impacto en el contexto de la seguridad de la información?

    <p>El daño producido por la ocurrencia de una amenaza</p> Signup and view all the answers

    ¿Qué es un HSM (Hardware Security Module)?

    <p>Un dispositivo que protege claves criptográficas.</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones describe mejor el propósito de las políticas CORS?

    <p>Permitir que los navegadores controlen el acceso a dominios.</p> Signup and view all the answers

    ¿Cuál es la función principal de un sistema de detección de intrusiones (IDS)?

    <p>Detectar accesos no autorizados a un computador o red.</p> Signup and view all the answers

    ¿Cómo funciona el protocolo OAuth?

    <p>Permite acceso a recursos sin compartir credenciales.</p> Signup and view all the answers

    ¿Qué es un JSON Web Token (JWT)?

    <p>Un estándar abierto para crear tokens de acceso.</p> Signup and view all the answers

    ¿Cuál de las siguientes herramientas se utiliza para detectar vulnerabilidades en sistemas?

    <p>Nessus - OpenVAS.</p> Signup and view all the answers

    ¿Qué tipo de ataque es un smurf?

    <p>Inundación de un objetivo a través de mensajes de ping.</p> Signup and view all the answers

    ¿Cuál es la función de MFA/2FA en la seguridad informática?

    <p>Combinar múltiples métodos de autenticación para mayor seguridad.</p> Signup and view all the answers

    ¿Qué identifica el sistema Common Vulnerabilities and Exposures (CVE)?

    <p>Vulnerabilidades conocidas en software y hardware.</p> Signup and view all the answers

    ¿Cuál es la disponibilidad máxima ofrecida por un CPD de nivel Tier IV?

    <p>99,995%</p> Signup and view all the answers

    ¿Qué tipo de redundancia se implementa en un CPD de nivel Tier II?

    <p>N+1</p> Signup and view all the answers

    ¿Cuántas horas de inactividad se permiten anualmente en un CPD de nivel Tier III?

    <p>1,6 horas</p> Signup and view all the answers

    ¿Cuál es uno de los requisitos de climatización para los CPD según la norma?

    <p>Temperatura y humedad constante de 21°C y 50%</p> Signup and view all the answers

    ¿Qué se recomienda evitar en la iluminación del CPD?

    <p>Luz natural</p> Signup and view all the answers

    ¿Qué significa la métrica PUE en el contexto de la eficiencia energética de un CPD?

    <p>Power Usage Effectiveness</p> Signup and view all the answers

    ¿Qué nivel de disponibilidad permite un máximo de 22 horas de inactividad al año?

    <p>Tier II</p> Signup and view all the answers

    ¿Cuál es la característica principal del Tier IV en cuanto a la redundancia?

    <p>Implementa redundancia 2(N+1)</p> Signup and view all the answers

    ¿Cuál es el porcentaje de disponibilidad que ofrece el Tier III?

    <p>99,982%</p> Signup and view all the answers

    ¿Cuántas horas de inactividad al año se permiten en un CPD de nivel Tier IV?

    <p>0,4 horas</p> Signup and view all the answers

    ¿Cuál es el porcentaje de disponibilidad ofrecido por un sistema de nivel Tier I?

    <p>99,6671%</p> Signup and view all the answers

    ¿Cuántas horas de inactividad se permiten al año en un sistema Tier I?

    <p>28,8 horas</p> Signup and view all the answers

    ¿Qué característica falta en los componentes del nivel Tier I?

    <p>Redundancia</p> Signup and view all the answers

    Study Notes

    Dimensiones de Seguridad de la Información

    • Integridad: Mantenimiento de la información completa, precisa y sin alteraciones no autorizadas. Se evita la modificación incorrecta, intencional o accidental de los datos. Se logra mediante firmas digitales, hashes y control de versiones. Se incluye la validación de la entrada de datos.

    • Confidencialidad: Protección de la información contra el acceso no autorizado. Sólo personas o sistemas autorizados pueden acceder a datos sensibles. Se previene la divulgación a entidades no autorizadas. Se logra a través del cifrado de datos, controles de acceso y políticas de privacidad.

    • Disponibilidad: Garantiza acceso y utilización de la información y recursos del sistema por usuarios autorizados cuando sea necesario. Esto implica mantener el funcionamiento continuo de sistemas, servicios y datos. Se logra a través de redundancia, tolerancia a fallos, planes de recuperación ante desastres y monitoreo/mantenimiento.

    Herramientas y Tecnologías de Seguridad

    • CCN-STIC-400: Proporciona recomendaciones para responsables de seguridad en aspectos concretos de seguridad TIC.

    • CCN-STIC-410: Incluye un análisis de riesgos en sistemas de la Administración.

    • MAGERIT: Metodología de Análisis y Gestión de Riesgos de Sistemas de Información. Se usa en las Administraciones Públicas para minimizar riesgos de la implantación y uso de las TIC.

    • HSM (Hardware Security Module): Dispositivo criptográfico que genera, almacena y protege claves criptográficas, acelerando las operaciones criptográficas. Incluye API PKCS#11 (Cryptoki).

    • Radius: Protocolo de red para autenticación, autorización y contabilidad centralizada de usuarios en redes.

    • Kerberos: Protocolo de autenticación segura en redes no confiables.

    • OAuth: Estándar de autorización para que usuarios concedan acceso a sus recursos a otros sitios web sin compartir sus credenciales.

    • JSON Web Token (JWT): Estándar para crear tokens de acceso seguros para verificación de identidad e intercambio de información.

    • MFA/2FA (Autenticación de 2 Factores): Combina varios métodos: algo que sé (contraseña), algo que tengo (dispositivo) y algo que soy (biometría).

    • IDS (Sistema de Detección de Intrusiones): Software que detecta accesos no autorizados a computadoras o redes.

    • IPS (Sistema de Prevención de Intrusiones): Software que controla el acceso a una red informática para proteger de ataques y abusos.

    • CVE (Common Vulnerabilities and Exposures): Sistema de referencia y nomenclatura para identificar y catalogar vulnerabilidades en software y hardware (creado por MITRE Corporation).

    • CWE (Common Weakness Enumeration): Sistema de categorías para las debilidades y vulnerabilidades de software y hardware.

    • CORS (Cross-Origin Resource Sharing): Conjunto de reglas para controlar la interacción entre dominios web diferentes.

    • HSTS (HTTP Strict Transport Security): Fuerza el uso de HTTPS.

    • Nessus/OpenVAS: Detector de vulnerabilidades.

    • John the Ripper: Herramienta para ataques de fuerza bruta y descifrado de contraseñas (incluye password cracker, Hydra, NCrack, Medusa).

    • Nikto: Herramienta de escaneo de seguridad para identificar vulnerabilidades en servidores web.

    • XSS (Cross-Site Scripting): Permite a terceros inyectar código JavaScript malicioso en páginas web.

    • Nuke: Familia de ataques en red que envía paquetes ICMP mal construidos.

    • Ataque Piggyback: Ataque de interceptación activa que aprovecha el tiempo inactivo de un usuario.

    • Ataque Smurf/Pitufo: Utiliza mensajes de ping a direcciones de difusión con suplantación de identidad para inundar (flood) un objetivo.

    • TearDrop: Ataque de fragmentación IP que puede causar caídas en la pila de protocolos.

    • Free cooling: Utiliza temperaturas externas para climatización.

    • EPO (Emergency Power Off): Botón de apagado de emergencia.

    Conceptos Clave

    • Amenaza: Evento que aprovecha una vulnerabilidad para ocurrir.

    • Vulnerabilidad: Probabilidad de ocurrencia/materialización de una amenaza.

    • Ataque: Intento de destruir, exponer, alterar o inhabilitar un sistema de información, o violar una política de seguridad.

    • Impacto: Daño causado por la materialización de una amenaza. Consecuencia de la amenaza sobre un activo.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Description

    Este cuestionario explora las tres dimensiones clave de la seguridad de la información: integridad, confidencialidad y disponibilidad. Cada dimensión se define y se discuten las técnicas utilizadas para proteger los datos y garantizar su acceso seguro. Ideal para estudiantes y profesionales interesados en ciberseguridad.

    Use Quizgecko on...
    Browser
    Browser