Seguridad de la Información: Definiciones

Questions and Answers

¿Cuál de los siguientes elementos NO forma parte de la política de seguridad de una organización?

• Directrices para la gestión de la información.
• El color de las paredes de la oficina. (correct)
• Protocolos para proteger servicios críticos.
• Estructura organizativa de gestión de seguridad.

La gestión de contraseñas es una decisión puramente técnica que no involucra a las áreas de negocio.

False (B)

¿Cuál es el principio de seguridad que asegura que una persona no pueda negar haber realizado una transacción?

No repudio

La __________ se refiere a las medidas de seguridad perimetrales físicas que son la primera barrera de acceso a un edificio.

seguridad física

Relaciona los siguientes conceptos de seguridad con su descripción:

Integridad = Asegurar que la información no sea alterada de manera no autorizada. Disponibilidad = Garantizar el acceso continuo a los servicios cuando se necesitan. No repudio = Impedir que alguien niegue haber realizado una acción o transacción. Confidencialidad = Mantener la información accesible sólo a personal autorizado.

¿Cuál es el objetivo principal de la gestión de continuidad del negocio?

Recuperar y restaurar funciones críticas tras una interrupción. (D)

La clasificación de activos de información es innecesaria una vez que se han implementado las medidas de seguridad.

False (B)

¿Qué tipo de jornadas se implementan con el personal para informar sobre la importancia de la seguridad?

Jornadas formativas y de concienciación

¿Cuál de los siguientes NO es un activo que deba ser considerado en la clasificación y control de activos?

El color de la impresora. (A)

El proceso de aplicar medidas de seguridad y estructura organizativa a las unidades de desarrollo se conoce como __________.

DevOps

¿Cuál de las siguientes definiciones describe mejor el objetivo de la integridad en la seguridad informática?

Garantizar que los datos se almacenen sin alteraciones no autorizadas. (B)

El no repudio en la seguridad informática se refiere a la capacidad de rastrear las acciones de un usuario en un sistema.

False (B)

¿Qué tipo de información interna generan los sistemas acerca de su comportamiento, que se utiliza para la trazabilidad?

Logs

La seguridad de _____ a _____ (E2E) implica que los controles deben estar presentes desde el origen hasta el destino de los datos, incluyendo el canal de comunicación.

Extremo

¿Cuál de las siguientes opciones describe mejor qué es una vulnerabilidad en el contexto de la seguridad informática?

Un defecto en una aplicación que puede ser explotado por un atacante. (C)

Relaciona los siguientes conceptos con su descripción correcta:

Malware = Software diseñado para infiltrarse y dañar un sistema informático. Exploit = Código que aprovecha una vulnerabilidad para ejecutar acciones no autorizadas. Trazabilidad = Capacidad de rastrear las acciones de una entidad dentro de un sistema. Disponibilidad = Garantizar el acceso a los recursos y servicios cuando se necesiten.

¿Cuál es el propósito principal de un Sistema de Gestión de la Seguridad de la Información (SGSI)?

Gestionar los riesgos y mejorar continuamente la seguridad de la información. (A)

La planificación de recuperación de desastres es un componente secundario en la protección de la información y puede ser omitida en pequeñas organizaciones.

False (B)

¿Qué dos elementos clave constituyen el grupo básico de protección de la información, según lo expuesto en el texto?

Responsables de control de acceso y planificación de recuperación de desastres

El Esquema Nacional de Seguridad (ENS) define la __________ como la propiedad de los activos que garantiza que las entidades autorizadas tengan acceso a ellos cuando lo requieran.

Disponibilidad

Flashcards

Política de Seguridad

Directrices escritas que rigen cómo una organización gestiona y protege la información y servicios críticos.

Aspectos Organizativos de Seguridad

Estructura organizativa encargada de iniciar y controlar la seguridad de la información.

Clasificación y Control de Activos

Identificar a los responsables de los activos de información importantes y su mantenimiento.

Control de Accesos

Gestión de cuentas de usuarios, contraseñas y permisos.

Conformidad

Aspectos legales que deben asumir los participantes en un SGSI.

Seguridad ligada al personal

Formación del personal sobre la importancia de la seguridad.

Seguridad física y del entorno

Medidas físicas para controlar el acceso a un edificio.

Desarrollo y mantenimiento de sistemas

Medidas de seguridad aplicables a los equipos de desarrollo (DevOps).

Gestión de Comunicaciones y Operaciones

Medidas y procedimientos para garantizar operaciones seguras en el procesamiento de aplicaciones.

Gestión de Continuidad del Negocio

Documento que indica cómo una organización debe recuperarse de interrupciones.

Integridad

Que los datos se almacenen como espera el usuario, sin alteraciones no consentidas.

Disponibilidad

Que los servicios sean accesibles a los usuarios autorizados en el horario establecido.

No Repudio

Imposibilidad de negar la participación en una interacción o transacción.

Contabilización (Logs)

Información interna generada por los sistemas sobre su comportamiento.

Trazabilidad

Capacidad de atribuir acciones a una entidad específica.

Extremo a Extremo (E2E)

Seguridad controlada desde el origen hasta el destino de los datos.

Vulnerabilidad

Un defecto en una aplicación que puede ser aprovechado por un atacante.

Malware y Exploit

Software diseñado para controlar un ordenador o realizar acciones no autorizadas.

Responsables de control de acceso y planificación de recuperación

Grupo básico que protege la información, controlando el acceso y planificando la recuperación de desastres.

Sistema de Gestión de la Seguridad de la Información (SGSI)

Sistema de gestión para crear, implementar, supervisar y mejorar la seguridad de la información basado en el estudio de los riesgos.

Study Notes

Definiciones (Continuación)

• Integridad: Busca que los datos permanezcan sin alteraciones y almacenados tal como el usuario espera.
• El Esquema Nacional de Seguridad (ENS) define la integridad como la propiedad de un activo de información que no ha sido alterado de manera no autorizada.
• Disponibilidad: Se centra en que los usuarios puedan acceder a los servicios con normalidad en el horario establecido.
• El ENS define la disponibilidad como la propiedad de los activos que permite a entidades o procesos autorizados acceder a ellos cuando lo requieran.
• No Repudio: Impide que se niegue la participación en una relación entre dos partes.
• Contabilización: Se refiere a la información interna que los sistemas generan sobre su comportamiento, también conocidos como logs.
• La contabilización se utiliza para revisar el dimensionamiento de los equipos y comprobar la eficacia de las medidas de seguridad.
• Trazabilidad: Es la propiedad que permite imputar las actuaciones de una entidad exclusivamente a dicha entidad.
• Extremo a Extremo (E2E): Requiere que la seguridad se controle tanto en el origen como en el destino de los datos, así como en el canal de comunicación utilizado.
• Vulnerabilidad: Se refiere a un defecto en una aplicación que puede ser explotado por un atacante.
• El ENS lo define como una debilidad que puede ser aprovechada por una amenaza.

Tipos de Vulnerabilidades

• Vulnerabilidad reconocida por quien suministra la aplicación.
• Vulnerabilidad reconocida por quien suministra la aplicación, pero sin parche disponible.
• Vulnerabilidad no reconocida por quien suministra la la aplicación.

Malware y Exploit

• El malware es un software programado para tomar el control de un ordenador o realizar acciones no autorizadas aprovechando una vulnerabilidad.
• Algunos tipos de malware son virus, gusanos y troyanos.

Estructuras Básicas de Seguridad Informática

• Los responsables del control de acceso y la planificación de recuperación de desastres forman el grupo básico de protección de la información.
• Sistema de Gestión de la Seguridad de la Información (SGSI): Es un sistema de gestión basado en el estudio de riesgos, establecido para crear, implementar, hacer funcionar, supervisar, revisar, mantener y mejorar la seguridad de la información.
• Política de Seguridad: Conjunto de directrices plasmadas en un documento escrito, que rigen la forma en que una organización gestiona y protege la información y los servicios que considera críticos.
• Aspectos Organizativos de Seguridad: Estructura organizativa de gestión encargada de iniciar y controlar toda la implementación de la seguridad de la información.
• Funciones: Pueden incluir identificar metas de seguridad, formular políticas, facilitar recursos, aprobar asignaciones de roles, y asegurar la implementación de controles.
• Clasificación y Control de Activos: Implica identificar a los responsables de los activos importantes de información, quienes se encargan de su mantenimiento.
• Algunos tipos de activos son: información, software, activos físicos, servicios, personas y activos intangibles.

Activos

• Información: Lista de activos de información en propiedad.
• Físico: Activos físicos en posesión.
• Personas: Individuos involucrados en la organización.
• Software: Descripción general de los activos de software disponibles.
• Servicios: Servicios proporcionados por la organización.
• Intangibles: Activos intangibles como reputación y fama.
• Control de Accesos: Gestiona cuentas de usuarios, contraseñas y permisos, formando parte de la decisión de negocio (no técnica).
• Conformidad: Abarca los aspectos legales que deben asumir los participantes en SGSI, incluyendo acuerdos de confidencialidad, aspectos legales, firmas digitales, política de firma electrónica y clasificación de la información.
• Seguridad ligada al personal: Incluye jornadas formativas y de concienciación sobre la importancia de la seguridad, así como la aplicación de métodos de seguridad a los empleados.
• Seguridad física y del entorno: Se refiere a las medidas físicas de acceso como la primera barrera para acceder a un edificio, es decir, la seguridad perimetral física.
• Desarrollo y mantenimiento de sistemas: Son las medidas de seguridad y estructura organizativa aplicables a las unidades de desarrollo (DevOps).
• Gestión de Comunicaciones y Operaciones: Establece medidas y procedimientos para asegurar el procesamiento seguro de aplicaciones.
• Gestión de Continuidad del Negocio: Conjunto de directrices en un documento escrito que indica cómo una organización debe recuperar funciones críticas interrumpidas, dentro de un tiempo predeterminado después de una interrupción, analizando riesgos e impactos, y contando con equipos de respuesta y investigación forense.

Resumen de Seguridad Informática

• Abarca principios esenciales como integridad (para evitar alteraciones), disponibilidad (acceso garantizado), y no repudio (evitar negaciones de participación).
• Se utilizan logs y trazabilidad para auditar el comportamiento de los sistemas.
• Las amenazas más comunes son vulnerabilidades y malware como virus, gusanos y troyanos.
• Para mitigar estos riesgos, se usan estructuras básicas de seguridad como control de accesos y políticas de seguridad.
• Las organizaciones deben tener un Sistema de Gestión de Seguridad de la Información (SGSI) gestionado por un Comité de Seguridad, que establece roles, recursos y medidas de control.
• Se identifican y protegen activos clave como información, software, hardware y reputación
• Otros aspectos críticos: seguridad física, seguridad del personal, desarrollo seguro, gestión de comunicaciones y operaciones, y continuidad del negocio.