Gestión de Incidentes y Respuesta
50 Questions
0 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

¿Cuál es la clave del éxito en la respuesta a incidentes de seguridad?

  • Infracción
  • Análisis posterior
  • Detección temprana (correct)
  • Implementación de nuevos sistemas
  • La explotación es el tercer paso en la cadena de eliminación de amenazas.

    True

    ¿Cuáles son los tres tipos de sensores mencionados en el proceso de detección?

    Técnicos, humanos y de terceros

    La respuesta a incidentes comienza con la _____ del incidente.

    <p>detección</p> Signup and view all the answers

    Relaciona los pasos de la cadena de eliminación con su descripción.

    <p>Recolección = Preparar el ataque Entregar = Enviar el malware Explotar = Acceder al sistema Controlar = Mantener el acceso</p> Signup and view all the answers

    ¿Qué indica que un ataque ha comenzado?

    <p>Un sistema comprometido</p> Signup and view all the answers

    La conciencia de seguridad no tiene importancia en la respuesta a incidentes.

    <p>False</p> Signup and view all the answers

    ¿Qué se debe tener para separar las alertas relevantes de las que no lo son?

    <p>Una buena red de sensores</p> Signup and view all the answers

    ¿Cuál es la principal ventaja de firmar un acuerdo de servicios de IR antes de un incidente?

    <p>Permite acción inmediata en caso de emergencia</p> Signup and view all the answers

    El equipo de IR debe estar preparado para actuar las 24 horas del día siempre que ocurra un incidente.

    <p>False</p> Signup and view all the answers

    ¿Qué tres dimensiones se deben considerar al clasificar un incidente?

    <p>Impacto, urgencia y severidad</p> Signup and view all the answers

    El equipo de IR debe determinar la ______ de un incidente para decidir la respuesta adecuada.

    <p>urgencia</p> Signup and view all the answers

    Asocia las siguientes dimensiones de incidentes con su descripción:

    <p>Impacto = Clasificación según posibles pérdidas Urgencia = Necesidad de mitigar el incidente rápidamente Severidad = Gravedad del daño causado Clasificación = Criterios sobre cómo evaluar un incidente</p> Signup and view all the answers

    ¿Qué medida preventiva se sugiere para facilitar la respuesta a incidentes?

    <p>Visitar al proveedor de servicios de IR</p> Signup and view all the answers

    Es necesario establecer y revisar periódicamente los criterios de clasificación de incidentes.

    <p>True</p> Signup and view all the answers

    La ______ de un incidente puede determinar si se necesita una respuesta inmediata o puede esperar.

    <p>urgencia</p> Signup and view all the answers

    ¿Cuál de los siguientes es un indicador típico de ataque o compromiso?

    <p>Tráfico saliente a una dirección IP específica</p> Signup and view all the answers

    El cierre de un incidente se determina únicamente por el resultado de respuesta al incidente.

    <p>False</p> Signup and view all the answers

    ¿Qué es el análisis postmortem en la gestión de incidentes?

    <p>Es una revisión del incidente y cómo fue manejado para mejorar procesos futuros.</p> Signup and view all the answers

    La gestión de incidentes se implementa mediante dos documentos: la política de gestión de incidentes (IMP) y el __________.

    <p>plan de respuesta a incidentes (IRP)</p> Signup and view all the answers

    Empareja los indicadores de ataque con su descripción:

    <p>Tráfico DDoS = Tráfico de red que sobrecarga un servidor Consultas DNS anormales = Patrones inusuales de consultas a servidores DNS Grandes solicitudes HTTP = Solicitudes y respuestas HTTP inusualmente grandes Nuevas entradas de registro = Entradas en el registro que no estaban presentes previamente</p> Signup and view all the answers

    ¿Cuál es el objetivo de compartir las lecciones aprendidas de un incidente?

    <p>Evitar que otras organizaciones sean explotadas</p> Signup and view all the answers

    Es recomendable no incluir a todos los grupos afectados en la reunión de cierre del incidente.

    <p>False</p> Signup and view all the answers

    ¿Qué tipo de respuesta debes dar primero ante un ataque?

    <p>Detener la amenaza.</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones es correcta en relación a los incidentes de seguridad?

    <p>Todos los incidentes deben ser tratados como si tuvieran un elemento criminal hasta que se demuestre lo contrario.</p> Signup and view all the answers

    Las agencias de aplicación de la ley siempre garantizan la privacidad de una investigación.

    <p>False</p> Signup and view all the answers

    ¿Qué es la informática forense?

    <p>Es el arte de recuperar evidencia y preservarla de manera que sea admisible en court.</p> Signup and view all the answers

    La falta de _____ de evidencia es una de las razones más comunes por las que se considera inadmisible en court.

    <p>cadena de custodia</p> Signup and view all the answers

    Empareja las razones por las que se involucra a la ley con las circunstancias correspondientes:

    <p>Seguridad nacional = Puede ser obligatorio involucrar a la ley Pornografía infantil = No hay opción, se debe llamar a la ley Investigación criminal = La organización puede perder control Evidencia pública = Secrecía no está garantizada</p> Signup and view all the answers

    ¿Cuál de los siguientes es un aspecto crítico en la investigación de incidentes de ordenador?

    <p>Entender los requisitos legales específicos</p> Signup and view all the answers

    Es seguro suponer que cualquier fallo de hardware es resultado de un ataque malicioso.

    <p>False</p> Signup and view all the answers

    ¿Por qué es importante la evidencia sólida en la persecución de un crimen?

    <p>Para poder presentar con éxito el caso en court.</p> Signup and view all the answers

    ¿Cuál de las siguientes tareas se debe completar antes de ejecutar un plan de respuesta a incidentes?

    <p>Identificar activos afectados</p> Signup and view all the answers

    La validación de mecanismos de detección se realiza en la fase de Respuesta.

    <p>True</p> Signup and view all the answers

    ¿Qué significa IOCs en el contexto de respuesta a incidentes?

    <p>Indicadores de compromiso</p> Signup and view all the answers

    Durante la fase de ______, se restauran copias de seguridad conocidas y buenas de los sistemas afectados.

    <p>Recuperación</p> Signup and view all the answers

    Relaciona cada fase del manejo de incidentes con su tarea correspondiente:

    <p>Pre-Ejecución = Iniciar un plan de comunicación Respuesta = Desarrollar un plan de mitigación Recuperación = Restaurar sistemas a copias de seguridad Remediación = Identificar IOCs y IOAs</p> Signup and view all the answers

    ¿Cuál de las siguientes citas describe mejor el propósito de los runbooks?

    <p>Documentan procedimientos especializados para incidentes repetitivos.</p> Signup and view all the answers

    La activación de sistemas de respaldo solo se debe hacer si ningún sistema crítico ha sido comprometido.

    <p>False</p> Signup and view all the answers

    Nombre dos requisitos de evidencia forense que se deben determinar antes de un incidente.

    <p>Requisitos de cumplimiento y requisitos de evidencia forense.</p> Signup and view all the answers

    En la fase de Mitigación, se deben ______ los activos afectados.

    <p>aislar</p> Signup and view all the answers

    ¿Cuál es la función principal de la lista de verificación de tareas operativas en un plan de respuesta a incidentes?

    <p>Asegurar la ejecución de tareas en el orden correcto</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones describe mejor lo que puede suceder si no se aplican parches regularmente a los sistemas de una organización?

    <p>Los atacantes tendrán oportunidades dentro de la red.</p> Signup and view all the answers

    El 'MO' de un criminal es siempre el mismo y no cambia a lo largo del tiempo.

    <p>False</p> Signup and view all the answers

    ¿Qué tres factores son clave para entender la criminalidad, según el contenido?

    <p>motivo, oportunidad, medio</p> Signup and view all the answers

    El análisis psicológico de la escena del crimen utiliza el ___ y los ___ del criminal.

    <p>MO, comportamientos característicos</p> Signup and view all the answers

    Combina los ejemplos de comportamiento delictivo con su descripción correcta:

    <p>Uso de herramientas específicas = Método de operación de un criminal informático Envió de correos electrónicos = Comportamiento repetitivo que puede identificar al criminal Conocimiento general = Capacidad básica que no permite realizar delitos complejos Programador y analista de sistemas = Persona con mayores medios para cometer fraude</p> Signup and view all the answers

    ¿Cuál de las siguientes es una consecuencia de no implementar el control de acceso en una organización?

    <p>Oportunidades para el desfalco por parte de empleados.</p> Signup and view all the answers

    El conocimiento técnico no es importante para los investigadores de delitos informáticos.

    <p>False</p> Signup and view all the answers

    Nombra una forma en que las fuerzas del orden pueden usar el conocimiento del 'MO' de un criminal.

    <p>Identificar otros delitos por el mismo criminal</p> Signup and view all the answers

    Study Notes

    Incident Management

    • Incident management encompasses seven phases: detection, response, mitigation, reporting, recovery, remediation, and lessons learned.
    • A security event is an observable and verifiable occurrence, not necessarily harmful.
    • A security incident involves one or more related events negatively affecting the organization's security posture.
    • Incident response is crucial, as it deals with negatively affecting the organization.

    Incident Response Planning

    • Incident management is implemented through two documents: the incident management policy (IMP) and the incident response plan (IRP).
    • The IMP establishes authorities and responsibilities, identifying the incident response lead and employee responsibilities.
    • The IRP details operational tasks, roles, responsibilities, incident classification, and notifications.
    • Runbooks are detailed procedural steps for frequent or complex incidents.

    Roles and Responsibilities

    • The core incident response team consists of personnel from various business units (legal, HR, executive management, communications, and IT).
    • External vendors or specialist consultants may be contracted for complex incidents.

    Incident Classification

    • Incident classification uses criteria, such as impact, urgency, and type, to categorize incidents and prioritize responses.
    • Classifying incidents helps allocate resources effectively.

    Evidence Collection

    • Evidence acquisition involves the physical control of potential evidence and the creation of a chain-of-custody log
    • Evidence should be carefully handled to avoid contamination, which affects admissibility in court.
    • Digital evidence consists of many pieces (processes, documents, logs, files etc.), and it must be properly preserved.

    Forensic Artifacts

    • Examples of forensic artifacts can include deleted files, browser history, website cache, or email attachments.
    • Forensic experts use unique tools and techniques when analyzing evidence.

    Investigative Techniques

    • Interviews are crucial for gathering information and should be structured and unbiased.
    • Surveillance can be physical in nature, utilizing security cameras or personnel, or digital in nature, employing network monitoring, and keyboard monitoring tools.
    • Undercover operations require careful consideration for legal issues and to avoid entrapment.

    Reporting

    • Clear and well-documented reporting procedures are needed to document actions, findings, and next steps.
    • Reporting includes a detailed summary of the incident, including any damage caused.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Description

    Este cuestionario abarca las fases de la gestión de incidentes, desde la detección hasta la recuperación. También detalla la planificación de la respuesta a incidentes, incluyendo documentos clave como la política de gestión de incidentes y el plan de respuesta. Además, se exploran los roles y responsabilidades del equipo de respuesta a incidentes.

    More Like This

    Incident Response Plan Overview
    5 questions
    Incident Management and Response Policy
    12 questions
    Cybersecurity Vulnerability Management
    79 questions
    Use Quizgecko on...
    Browser
    Browser