AJDERNIZ
Ciberseguridad
Alumno: Axel López
Grupo: IC
Profesor: Johel Solano Quirós
Cybersecurity Essentials
Módulo 27
1. ¿Qué son las mejores prácticas de continuidad de negocios según el NIST?
- Desarrollar una declaración de política
- Realizar una evaluación de impacto comercial
- Calcular el riesgo
- Identificar controles preventivos
- Desarrollar estrategias de prevención
- Desarrollar el plan de contingencia
- Probar el plan
- Mantener el plan
2. ¿Qué es un Plan de Recuperación ante Desastres (DRP)?
Un plan que comprende las actividades a realizar para "evaluar, salvar, reparar y restaurar instalaciones o activos dañados". Forma parte del Plan de Continuidad de Negocios.
3. ¿Cuál es el propósito de un ejercicio de mesa en la capacitación del personal para recuperación ante desastres?
Verificar que todos los elementos relevantes de un organismo están siendo considerados en la planificación de un DRP.
4. ¿Qué se entiende por pruebas funcionales en el contexto de la recuperación ante desastres?
Es cuando se ponen a prueba únicamente ciertos aspectos o pasos de un plan, para ver qué tan bien se desempeñan.
5. ¿Cuál es la diferencia entre un ejercicio operativo y un ejercicio de mesa?
El ejercicio de mesa es puramente teórico; el ejercicio operativo es un simulacro.
6. ¿Qué son los incidentes de ciberseguridad según el documento?
Se trata de un evento que indica un compromiso potencial del sistema o datos de una organización.
7. ¿Qué define al proceso de recolección de evidencia digital?
El paso en el que se identifican posibles fuentes de datos forenses y su subsecuente obtención, manejo y almacenamiento.
8. ¿Cuáles son los principales tipos de desastres que puede enfrentar una organización?
- Natural
- Humano
9. ¿Qué importancia tiene la integridad de los datos en la recolección de pruebas?
Primeramente, es importante que la fuente original se mantenga intacta, para corroborar al hecho de que la evidencia sonsacada no haya sido fabricada. Segundo, es importante que la información recolectada se mantenga íntegra porque la evidencia debe de sobrevivir por cuanto dure la investigación, y porque solo la evidencia íntegra puede ser utilizada como evidencia.
10. ¿Qué papel juega la cadena de custodia en la evidencia digital?
Se utiliza para asegurar la confidencialidad, integridad y disponibilidad de la evidencia, ya que se mantiene un registro del proceso de descubrimiento de la información.
11. ¿Cómo se clasifica la evidencia en el contexto legal?
- Mejor evidencia
- Evidencia corroborativa
- Evidencia indirecta
12. ¿Qué es la informática forense digital y cuáles son sus componentes clave?
Es el proceso y ciencia de "recperación e investigación de la información que se encuentra en dispositivos digitales en relación con actividades delictivas". No tengo tiempo para escanear todo el documento en busca de sus "componentes".
13. ¿Qué son los indicadores de compromiso en un incidente de ciberseguridad?
Son precursores de una potencial explotación.
14. ¿Qué significa la preservación de la memoria volátil en la recolección de evidencia?
Estas preguntas no suenan naturales. "Significa" PRESERVAR MEMORIA VOLÁTIL; memoria que se desvanece tan pronto el sistema se apaga. Hay que preservarla lo más pronto posible, porque de otro modo no habrá forma de recuperarlo.
15. ¿Cuál es la diferencia entre evidencia directa y evidencia indirecta?
Para la evidencia directa, está comprobado que estuvo en posesión inrrefutable del investigado, y es por sí sola una forma bastante sólida de evidencia. La evidencia indirecta requiere ser combinada con otros hechos para corroborar una hipótesis.
16. ¿Qué medidas deben tomarse antes de coordinar respuestas a incidentes con partes externas?
- Establecer procesos organizativos para abordar la comunicación entre las personas y el equipo de respuesta.
- Crear instalaciones para alojar al equipo de respuesta y el centro de operaciones siberseguras.
- Adquiriri el hardware y el software necesarios para el análisis de incidentes y la mitigación.
- Se aplican evaluaciones de riesgos para implementar controles con el fin de limitar la cantidad de incidentes.
- Validar el hardware y el software de seguridad implementados en las instalaciones.
- Desarrollar materiales de capacitación y concientización sobre seguridad.
17. ¿Cómo puede una organización mejorar su capacidad de respuesta ante incidentes?
Utilizar la experiencia obtenida gracias a incidentes y fallos, preservando la información relacionada a éstos, para así retroalimentarse y formular mejoras sobre los errores cometidos y reforzar las fortalezas.
18. ¿Qué define un ejercicio operativo completo en pruebas de recuperación ante desastres?
¿Que se realice de manera auténtica y no controlada? Ya le digo, que muchas de estas preguntas ni siquiera salen mencionadas en el material. Así no se puede.
19. ¿Qué se entiede por "lecciones aprendidas" en la gestión de incidentes?
Información y experiencia obtenidas a partir de un evento de seguridad, la cual se puede utilizar para un análisis en profundidad sobre las áreas en las que se debe de mejorar.
20. ¿Cuáles son los cuatro pasos del proceso forense digital según el NIST?
- Recolección
- Examen
- Análisis
- Informes
21. ¿Qué son los cuatro pasos del proceso forense digital según el NIST?
Se me hizo un enredo en esta pregunta. Seguro que aquí iba otra cosa, pero voy aprovechar para saltarme esta.
22. ¿Qué es una base de datos de la comunidad de VERIS y para qué se utiliza?
¿"Una"? Al parecer, es una base de datos en la que se registran incidentes de seguridad, y se utiliza para compartir y consultar en comunidad, información sobre éstos.
23. ¿Cuál es el objetivo de la coordinación de incidentes con participantes externos?
Formar una red de colaboración organizada y lista para responder ante un incidente de seguridad.
24. ¿Qué tipo de información es relevante para compartir durante la respuesta a incidentes?
Información que sea relevante al ataque, y que no contenga información confidencial.
25. ¿Cómo se define la comunicación adicional necesaria con partes interesadas tras un incidente?
??? ¿Colaboración?
26. ¿Qué son los ejercicios operativos y cuál es su objetivo?
Ya respondimos dos preguntas relacionadas a esto.
27. ¿Qué aspectos debe considerar un directivo al gestionar la respuesta a incidentes?
Presupuesto, departamentos involucrados, comunicación entre partes.
28. ¿Qué implicaciones tiene el manejo incorrecto de la evidencia digital?
La información cae en manos equivocadas, se pierte o es modificada para fabricar evidencia o desviarla de la realidad.
29. ¿Qué medidas se deben implementar para garantizar la seguridad de la evidencia?
Los controles relacionados a la cadena custodia, principalmente.
30. ¿Por qué es importante la documentación en el análisis forense digital?
Ya lo escribí en una pregunta anterior.