Roles y Responsabilidades en Seguridad de la Información

Questions and Answers

¿Qué es un incidente de seguridad según el texto?

Un conjunto de eventos no planificados con potencial para afectar las operaciones del negocio y la seguridad corporativa. (correct)

Un evento no planificado que no afecta la seguridad corporativa.

Un evento planificado que compromete las operaciones del negocio.

Una acción predecible que mejora la seguridad corporativa.

¿Qué es la gestión de incidentes de seguridad?

La capacidad de no responder a los incidentes.

Un proceso para predecir eventos de seguridad.

Un procedimiento para ignorar los incidentes de seguridad.

La capacidad de responder adecuadamente a los incidentes de seguridad de manera correcta, ágil y proporcional. (correct)

¿Qué fase se refiere a identificar un incidente para abordar su resolución satisfactoriamente?

Periodo posterior

Organizar las actividades de preparación

Respuesta pura (correct)

Planificación

¿Cuál es la característica del impacto asociado a un incidente según el texto?

A y C son correctas.

¿Qué se debe hacer en la fase de 'Periodo posterior' en la gestión de incidentes?

Aprender lecciones del incidente y mejorar la seguridad corporativa en general.

¿Qué significa la capacidad de gestionar incidentes 'de forma adecuada, ágil y proporcional'?

Responder eficientemente, adaptándose a cada situación y proporcionalmente a su gravedad.

¿Qué implica la erradicación de un incidente de seguridad informática?

Eliminar los elementos que facilitaron el incidente y pueden crearlo nuevamente.

¿Qué información se debe conservar detalladamente sobre las evidencias recogidas en un incidente de seguridad informática?

Número de serie, dirección IP, fecha y hora de aparición, lugar de almacenamiento.

¿Cuál es un paso importante dentro de las medidas de contención en un incidente de seguridad informática?

Recoger trazas de registro y logs del sistema afectado.

¿Quiénes deben ser incorporados al equipo de trabajo durante la erradicación de un incidente de seguridad informática?

Administradores de red, sistemas o seguridad de los sistemas implicados.

¿Cuál es el principal objetivo al recoger evidencias en un incidente de seguridad informática?

Preservar la integridad y autenticidad de las pruebas para futuras investigaciones.

¿Qué datos deben incluirse en la descripción detallada de cada evidencia recogida en un incidente según el texto proporcionado?

Número de serie del equipo, dirección IP, fecha y hora del registro, lugar donde se almacena la evidencia.

¿Cuál es el objetivo de la etapa de contención de un incidente de seguridad de la información?

Evitar que el alcance del incidente se incremente y reducir el impacto.

¿Qué debe hacerse en la etapa de identificación de un incidente de seguridad de la información?

Determinar si realmente se está enfrentando a un incidente.

¿Qué tarea se debe realizar en la etapa de identificación de un incidente antes de proceder a la contención?

Determinar si se está enfrentando a un incidente o no.

¿Cuál es el objetivo de la contención a corto plazo durante un incidente de seguridad de la información?

Detener la propagación del incidente preservando evidencias.

¿Qué acciones comprende la etapa de identificación y contención de un incidente?

Realizar un análisis inicial y determinar si es un incidente.

¿Por qué es importante disponer de procedimientos de contención detallados durante un incidente de seguridad de la información?

Para detener la propagación preservando evidencias.

¿Con quiénes deben mantener una comunicación bidireccional los equipos de gestión de incidentes de una organización según el texto?

Con las Fuerzas y Cuerpos de Seguridad del Estado.

¿Cuál es la función de los equipos de gestión de incidentes en relación con los fabricantes y proveedores según el texto?

Mantener un contacto formal y periódico.

¿Por qué es importante el contacto con los fabricantes y proveedores en la gestión de incidentes?

Para obtener apoyo técnico especializado en caso de ser necesario.

¿Qué tipo de información se busca obtener de los fabricantes y proveedores en la fase de preparación de la gestión de incidentes?

Información sobre vulnerabilidades, soporte, parches y actualizaciones.

¿Qué entidad se destaca como especialmente relevante en el ámbito de las Administraciones Públicas españolas?

CCN CERT.

¿Por qué se destaca la importancia de mantener un contacto formal y periódico con el CCN CERT?

Porque dispone de expertos en productos para brindar apoyo técnico especializado.

Por qu es importante que el responsable de la gestin de un incidente tenga autoridad sobre otros grupos?

Para obtener apoyo inmediato en la fase de respuesta.

Qu funcin especfica tiene el Departamento de Seguridad en la gestin de incidentes?

Controlar el acceso a ubicaciones protegidas fsicamente.

Qu caracterstica distingue al personal del Departamento de TI durante la fase caliente de la respuesta a incidentes?

Conocimientos tcnicos especializados y dominio de la tecnologa en la organizacin.

Cul es la principal contribucin del Departamento Jurdico en la gestin de incidentes?

Garantizar el cumplimiento legal en todas las fases del incidente.

Por qu Recursos Humanos podra decidir emprender procedimientos disciplinarios contra el personal interno en caso de incidentes?

Debido a posibles amenazas internas o atacantes internos.

Qu apoyo especfico puede brindar el Departamento de TI durante una fase caliente de respuesta a incidentes?

Habilitacin o deshabilitacin temporal de controles de seguridad lgica.

Study Notes

Gestión de Incidentes

• Un incidente es un conjunto de uno o más eventos de seguridad no planificados que pueden comprometer las operaciones del negocio y amenazar la seguridad corporativa.
• La gestión de incidentes es la capacidad de responder de forma adecuada a los incidentes de seguridad de manera correcta, ágil y proporcional.

Fases de Gestión de Incidentes

• Planificación: Organizar las actividades de preparación ante la ocurrencia de incidentes.
• Respuesta pura: Identificar y abordar la resolución de incidentes de forma satisfactoria.
• Periodo posterior: Revisión y mejora de la seguridad corporativa en su conjunto.

Identificación

• Etapa de identificación: acciones encaminadas a identificar, contener y erradicar el incidente para recuperar la operación estándar del entorno afectado.
• Primera tarea: determinar si realmente el equipo se enfrenta a un incidente.

Contención

• Etapa de contención: evitar que el alcance de un incidente se incremente y por tanto su impacto.
• La contención se divide en dos partes:
  • Contención a corto plazo: detener la propagación y preservar evidencias.
  • Contención a largo plazo: introducir cambios en los elementos afectados por el incidente.

Eradicación

• Etapa de erradicación: eliminación total de los elementos que han posibilitado o potenciado el incidente o pueden volver a generarlo.

Actores Internos

• Departamento de Seguridad: apoyo inmediato en la fase de respuesta.
• Departamento de TI: conocimientos técnicos específicos y profundos de la tecnología en la Organización.
• Departamento Jurídico: soporte legal amplio en todas las fases de la gestión de incidentes.

Actores Externos

• Fuerzas y Cuerpos de Seguridad: comunicación bidireccional con las Fuerzas y Cuerpos de Seguridad del Estado.
• CERTs - CSIRTs: relación con el CCN CERT, el CERT gubernamental español.
• Fabricantes/Proveedores: contacto para acceder a información relativa a la seguridad de los productos y sistemas.
• Departamento de Recursos Humanos: posible actuación en caso de incidentes motivados o potenciados por atacantes internos.

Description

Este quiz aborda los actores y responsabilidades en seguridad de la información, tanto internos como externos. Explora los diferentes roles que juegan las personas en la protección de la información en una organización.