Repaso rápido
Repaso rápido: Conceptos de seguridad – ISC2 CC
Esta ficha de repaso te ayuda a revisar los conceptos básicos de la ciberseguridad antes de afrontar el quiz sobre el tema Conceptos de seguridad.
Lo que realmente debes saber
Los conceptos de seguridad son la base de toda la certificación ISC2 CC. Antes de estudiar controles, redes, accesos o respuesta a incidentes, debes entender qué significa proteger información, sistemas y usuarios.
Para el examen debes conocer los principios fundamentales de la seguridad, la relación entre amenazas, vulnerabilidades y riesgo, y por qué ningún control individual es suficiente por sí solo.
Conceptos clave
- Confidencialidad: protege la información frente a accesos no autorizados.
- Integridad: garantiza que los datos y sistemas no sean modificados sin autorización.
- Disponibilidad: asegura que los sistemas y la información estén accesibles cuando se necesitan.
- Amenaza: evento o actor que puede causar un daño.
- Vulnerabilidad: debilidad que puede ser explotada por una amenaza.
- Riesgo: posibilidad de que una amenaza explote una vulnerabilidad causando un impacto.
- Control de seguridad: medida usada para reducir el riesgo.
- Defense in depth: uso de múltiples capas de protección en lugar de confiar en un solo control.
- Least privilege: conceder solo los permisos realmente necesarios.
- Security awareness: formación de los usuarios para reducir errores y comportamientos arriesgados.
Diferencias que no debes confundir
| Concepto | Significado principal |
|---|---|
| Amenaza | Algo que puede causar daño |
| Vulnerabilidad | Debilidad explotable |
| Riesgo | Probabilidad e impacto de un daño |
| Control | Medida para reducir el riesgo |
| Confidencialidad | Protección frente al acceso no autorizado |
| Integridad | Protección frente a modificaciones no autorizadas |
| Disponibilidad | Acceso a los sistemas cuando es necesario |
| Defense in depth | Varias capas de seguridad |
Tríada CIA
La tríada CIA es uno de los conceptos fundamentales de la ciberseguridad:
- Confidentiality / Confidencialidad
- Integrity / Integridad
- Availability / Disponibilidad
La confidencialidad protege los datos frente a accesos no autorizados. La integridad protege datos y sistemas frente a modificaciones no autorizadas. La disponibilidad garantiza que los servicios y la información estén accesibles cuando se necesitan.
Muchas preguntas de examen parten precisamente de estos tres principios. Si una respuesta habla de acceso no autorizado, a menudo se refiere a la confidencialidad. Si habla de datos alterados, se refiere a la integridad. Si habla de sistemas inaccesibles o servicios interrumpidos, se refiere a la disponibilidad.
Amenazas, vulnerabilidades y riesgo
Una amenaza es algo que puede causar un daño: un atacante, malware, error humano, incendio, fallo o evento natural.
Una vulnerabilidad es una debilidad: una contraseña débil, un sistema sin actualizar, una configuración incorrecta, un puerto abierto innecesariamente o un procedimiento inseguro.
El riesgo surge cuando una amenaza puede explotar una vulnerabilidad causando un impacto.
Ejemplo sencillo:
- amenaza: atacante externo;
- vulnerabilidad: servidor sin actualizar;
- riesgo: compromiso del servidor y pérdida de datos.
Controles de seguridad
Los controles de seguridad sirven para reducir el riesgo. Pueden prevenir, detectar o corregir problemas de seguridad.
Ejemplos:
- un firewall puede prevenir tráfico no autorizado;
- un sistema de monitorización puede detectar actividad sospechosa;
- una copia de seguridad puede ayudar a restaurar datos después de un incidente.
Para ISC2 CC debes recordar que los controles no siempre eliminan el riesgo: lo reducen a un nivel más aceptable.
Defense in depth
Defense in depth significa usar varias capas de protección. No se confía en una sola herramienta, sino en una combinación de controles.
Por ejemplo, para proteger un sistema no basta una contraseña. Pueden ser necesarios MFA, firewalls, parcheo, monitorización, copias de seguridad, formación de usuarios y control de accesos.
Este enfoque es importante porque si un control falla, otros controles aún pueden reducir el impacto del ataque.
Least privilege
El principio de least privilege establece que usuarios, servicios y aplicaciones deben tener solo los permisos necesarios para realizar su tarea.
Esto reduce el riesgo porque limita los daños en caso de error, abuso interno o compromiso de una cuenta.
Ejemplo: un usuario que solo debe leer documentos no debería tener permisos de administrador ni la posibilidad de modificar configuraciones críticas.
Security awareness
La seguridad no depende solo de la tecnología. Los usuarios pueden ser objetivo de phishing, social engineering, contraseñas débiles o errores operativos.
La security awareness sirve para hacer que los usuarios sean más conscientes de los riesgos y para reducir comportamientos peligrosos.
Para el examen ISC2 CC debes recordar que la formación es un control importante, especialmente contra amenazas que explotan el comportamiento humano.
Errores comunes en los quiz
- Confundir amenaza y vulnerabilidad.
- Pensar que un control siempre elimina completamente el riesgo.
- Confundir confidencialidad e integridad.
- Pensar que la disponibilidad se refiere solo a la velocidad del sistema.
- Olvidar que la seguridad también implica personas y procesos, no solo tecnología.
- Pensar que una sola herramienta es suficiente para proteger un sistema.
- Confundir least privilege con negar el acceso a todos.
Mini escenario de examen
Un empleado recibe permisos de administrador aunque solo debe consultar algunos informes. Esto viola el principio de least privilege, porque el usuario tiene más privilegios de los necesarios para realizar su trabajo.
La solución correcta es asignar solo los permisos realmente necesarios y revisar periódicamente los accesos.
Mini checklist antes del quiz
Antes de empezar el quiz deberías saber explicar:
- qué significa confidencialidad;
- qué significa integridad;
- qué significa disponibilidad;
- la diferencia entre amenaza, vulnerabilidad y riesgo;
- para qué sirven los controles de seguridad;
- por qué defense in depth es importante;
- qué significa least privilege;
- por qué la formación de usuarios forma parte de la seguridad;
- por qué ningún control elimina completamente el riesgo.
FAQ
¿Cuáles son los tres principios de la tríada CIA?
Los tres principios son confidencialidad, integridad y disponibilidad. Sirven para describir los principales objetivos de la ciberseguridad.
¿Cuál es la diferencia entre amenaza y vulnerabilidad?
Una amenaza es algo que puede causar daño. Una vulnerabilidad es una debilidad que puede ser explotada por una amenaza.
¿El riesgo puede eliminarse completamente?
Normalmente no. Los controles de seguridad sirven para reducir el riesgo a un nivel aceptable, no siempre para eliminarlo por completo.
¿Qué significa defense in depth?
Significa usar varias capas de seguridad, de modo que si un control falla, otros controles todavía puedan proteger sistemas y datos.
¿Por qué es importante least privilege?
Porque limita los permisos de los usuarios y reduce los posibles daños en caso de error, abuso o compromiso de una cuenta.
Ahora pon a prueba lo que has repasado
Después del repaso, pasa al quiz para comprobar si realmente has entendido los conceptos principales.