AGR - 1,2,3,4,5,6,7,8,9,10,11

¿Cuál es la definición operativa de riesgo según el temario?. La posibilidad de que un sistema falle por causas técnicas internas. La probabilidad de que un incidente no deseado ocurra y cause un impacto o pérdida en un activo. El conjunto de amenazas identificadas en un análisis de vulnerabilidades. El impacto económico directo de un ataque de ransomware.

¿De qué dos parámetros depende el riesgo según la fórmula básica?. Probabilidad e Impacto. Amenaza y Vulnerabilidad. Activo y Amenaza. Control y Exposición.

¿Qué diferencia hay entre riesgo inherente y riesgo residual?. El riesgo inherente afecta a terceros; el residual es propio de la organización. El riesgo inherente es el nivel de riesgo sin controles; el residual es el que queda tras aplicar medidas. El riesgo residual siempre es mayor que el inherente. El riesgo inherente solo aplica a OT; el residual a IT.

¿Cuál de los siguientes NO es un objetivo de la ciber-resiliencia según NIST SP 800-160?. Anticipate. Withstand. Recover. Encrypt.

¿Qué fase precede a "Analizar el riesgo" en el proceso de gestión del ciberriesgo?. Tratar el riesgo. Valorar el riesgo. Identificar el riesgo. Establecer el contexto.

¿Qué distingue el apetito por el riesgo de la tolerancia al riesgo?. El apetito es el riesgo aceptado voluntariamente para alcanzar objetivos; la tolerancia es el límite máximo de exposición. La tolerancia es el riesgo aceptado voluntariamente; el apetito es el límite máximo. Ambos conceptos son sinónimos en el contexto del ciberriesgo. El apetito aplica al riesgo operativo y la tolerancia al estratégico.

¿Qué tres elementos componen el marco GRC?. Gestión, Regulación y Compliance. Gobernanza, Gestión de riesgos y Cumplimiento. Gobierno, Resiliencia y Controles. Gobernanza, Respuesta y Comunicación.

¿A qué nivel de gestión pertenece principalmente el Enterprise Risk Management (ERM)?. Operacional. Táctico. Estratégico. Técnico.

¿Cuántos componentes tiene el marco COSO ERM 2017?. 3 componentes. 5 componentes. 7 componentes. 10 componentes.

¿Qué diferencia hay entre un estándar y un marco de trabajo en gestión del ciberriesgo?. El estándar es normativo y permite certificación externa; el marco es referencial y se autoevalúa. El marco es normativo y obliga a realizar acciones; el estándar es solo orientativo. Ambos permiten obtener certificaciones de cumplimiento externas. Los marcos son exclusivos del ámbito OT y los estándares del ámbito IT.

¿Cuál es el estándar de referencia para la gestión del riesgo en seguridad de la información en el ámbito IT?. ISO 27005. IEC 62443. ISO 29134. NIST SP 800-82.

¿Cuántos niveles de madurez (Tiers) define el NIST Cybersecurity Framework?. 3 niveles. 5 niveles. 4 niveles. 6 niveles.

¿En qué país se originó la metodología MAGERIT?. Francia. España. Noruega. Alemania.

En MAGERIT, ¿cómo se calcula el riesgo?. Amenaza × Vulnerabilidad. Degradación × Frecuencia. Impacto × Probabilidad. Activo × Control.

¿Cuál es la principal limitación de los métodos cualitativos frente a los cuantitativos?. No pueden identificar amenazas sobre activos digitales. Solo priorizan riesgos pero no cuantifican económicamente ni permiten calcular el ROI de los controles. Requieren mayor esfuerzo computacional que la simulación de Montecarlo. No son compatibles con ISO 27001.

¿Cuál es el entregable principal del análisis cuantitativo de ciberriesgo?. Mapa de calor con escala 5x5. Árbol de amenazas STRIDE. Inventario de activos valorado. Curva de pérdidas esperadas (Loss Exceedance Curve).

En la Simulación de Montecarlo aplicada al ciberriesgo, ¿qué distribución se recomienda al trabajar con intervalos de confianza del 90%?. Lognormal. Normal. Uniforme. Binomial.

¿Qué significan las siglas FAIR en el análisis cuantitativo de ciberriesgo?. Framework for Advanced Information Risk. Factor Analysis of Information Risk. Formal Assessment of Integrated Risks. Frequency Analysis of Incident Reports.

En la técnica PERT, ¿cómo se calcula la estimación a partir de mínimo, máximo y más probable (ML)?. (min + max) / 2. (min + ML + max) / 3. (min + 4·ML + max) / 6. (min + 2·ML + max) / 4.

¿Cuál de los enfoques para medir la probabilidad la estima en función de lo fácil que es explotar las vulnerabilidades existentes?. Enfoque Frecuentista. Enfoque por Grado de Vulnerabilidad. Enfoque Bayesiano. Distribución Beta.

¿Qué ventaja ofrece la Distribución Beta frente al frecuentismo simple para estimar probabilidades?. Permite calcular probabilidades condicionales entre sucesos dependientes. Elimina la necesidad de datos históricos internos. Siempre produce estimaciones más conservadoras. Cuantifica la incertidumbre mediante un intervalo de confianza en lugar de dar un único valor puntual.

¿Qué diferencia un KRI de un IoC?. El KRI es predictivo (señala condiciones que favorecen un riesgo futuro); el IoC es reactivo (evidencia de compromiso ya ocurrido). El IoC es predictivo y el KRI es reactivo. Los KRI se usan en OT y los IoC en IT. Ambos son indicadores del presente; la diferencia es solo terminológica.

¿Cuál es una característica de los talleres de calibración?. Solo pueden ser internos a la organización. Requieren obligatoriamente el Método Delphi. Los grupos son multidisciplinares, con diferentes perfiles, conocimientos e intereses. Están diseñados únicamente para estimar el impacto económico.

En el modelo STRIDE de Microsoft, ¿qué pilar de seguridad afecta principalmente la amenaza de Tampering?. Confidencialidad. Integridad. Disponibilidad. No repudio.

¿Cuál es la función del protocolo TAXII en el contexto de la inteligencia de amenazas?. Define el lenguaje estándar para describir objetos de amenaza en JSON. Es la plataforma open source de compartición de malware impulsada por FIRST. Establece las categorías de amenazas cloud según la CSA. Estandariza cómo se comparte la inteligencia de amenazas mediante una API RESTful sobre HTTPS.

En el análisis de árbol de fallos (FTA), ¿cómo se calcula la probabilidad de una puerta AND?. Multiplicando las probabilidades de todas sus entradas. Sumando las probabilidades de todas sus entradas. Tomando el valor máximo entre todas sus entradas. Promediando las probabilidades de todas sus entradas.

La EIPD es obligatoria según el RGPD cuando: Se procesan datos de más de 500 empleados. Sea probable que el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. La organización opera en más de dos países de la UE. Se usa cloud para almacenar cualquier dato personal.

En el modelo de responsabilidad compartida en cloud, ¿quién es siempre responsable de la seguridad física en IaaS, PaaS y SaaS?. El cliente. Ambos por igual. El proveedor cloud. Un auditor independiente.

¿Cuál de las siguientes iniciativas de la CSA es una matriz de controles de seguridad específicos para entornos cloud?. CAIQ (Consensus Assessment Initiative Questionnaire). CCM (Cloud Control Matrix). Egregious Eleven. Security Guidance v4.0.

Según la metodología FAIR, ¿cuáles son los dos factores de primer nivel que determinan el riesgo?. Threat Capability y Difficulty. Contact Frequency y Probability of Action. Primary Loss y Secondary Loss. Loss Event Frequency y Loss Magnitude.

¿Cuándo se aplica la estrategia de "Evitar" el riesgo?. Cuando el riesgo residual es bajo tras aplicar controles. Cuando el impacto es alto y no se puede reducir más. Cuando el coste de mitigar supera el valor del activo. Cuando la probabilidad de ocurrencia es muy alta.

¿Es posible eliminar completamente el riesgo mediante la mitigación?. Sí, si se aplican suficientes controles técnicos. No, siempre existirá un riesgo residual. Sí, siempre que se combinen mitigación y transferencia. Depende del tipo de activo afectado.

¿Quién es el responsable del Programa de Ciberseguridad y lo presenta a dirección para su aprobación?. El DPO (Delegado de Protección de Datos). El CIO (Director de Tecnología). El CISO (Director de Seguridad). El responsable de auditoría interna.

¿Cuál es el horizonte temporal del Plan Director de Seguridad?. Largo plazo, evoluciona con la organización. Corto plazo, habitualmente 12-18 meses. Medio plazo, entre 3 y 5 años. No tiene horizonte definido, es un documento permanente.

¿Cuál de los siguientes NO es un criterio de priorización de mitigaciones según el temario?. Por nivel de riesgo. Por cobertura. Por rentabilidad. Por antigüedad del activo afectado.

En la jerarquía documental de políticas de seguridad, ¿cuál es el único nivel NO obligatorio?. Políticas. Estándares. Procedimientos. Guías y mejores prácticas.

¿Qué mide el TDR (Technical Debt Ratio)?. El retorno de inversión de los controles de seguridad aplicados. La proporción entre el coste de resolución de la deuda de seguridad y el coste total de la infraestructura. El número de vulnerabilidades críticas pendientes de parchear. El coste total de adquisición de herramientas de seguridad.

¿Qué siglas corresponden al acrónimo IAAA en el contexto de las capacidades de seguridad tradicionales?. Identificación, Acceso, Autorización y Auditoría. Integridad, Autenticación, Autorización y Auditoría. Identificación, Autenticación, Autorización y Auditoría. Identificación, Autenticación, Acceso y Auditoría.

¿Cuál es la fórmula del ROI aplicada a la ciberseguridad?. (Gastos - Beneficios) / Beneficios. (Beneficios - Gastos) / Gastos. (Beneficios + Gastos) / Gastos. Beneficios / (Gastos x 2).

¿Qué concepto incluye el TCO además del coste de adquisición de un control de seguridad?. Solo las licencias anuales del producto. Las multas regulatorias asociadas al incidente que previene. El coste de los incidentes evitados gracias al control. Licencias, mantenimiento, operación y formación asociados al control.

¿Qué es un "cisne negro" en el contexto de la gestión del ciberriesgo?. Un ataque de origen estatal con alta probabilidad de ocurrencia. Un evento con baja probabilidad de ocurrencia pero alto impacto si se materializa. Un riesgo residual que no puede ser mitigado ni transferido. Una vulnerabilidad de día cero sin parche disponible.

¿Qué estrategia de tratamiento del riesgo se recomienda habitualmente para los cisnes negros?. Aceptar el riesgo dado su baja probabilidad. Mitigar hasta eliminar completamente el riesgo. Transferir el riesgo, complementando previamente con mitigación. Evitar el riesgo eliminando el activo afectado.

¿Cuál es el estándar de facto para la elaboración de SLAs en servicios TI?. ISO 27001. ITIL (Information Technology Infrastructure Library). NIST CSF. COBIT.

Externalizar un servicio de ciberseguridad a un proveedor, ¿elimina la responsabilidad de la organización sobre ese servicio?. Sí, la responsabilidad pasa íntegramente al proveedor. No, es un modelo de responsabilidad compartida donde cada parte tiene obligaciones definidas contractualmente. Sí, siempre que el contrato incluya cláusulas de seguridad. Depende del modelo de servicio: en SaaS sí se elimina, en IaaS no.

¿Cuál de las siguientes coberturas NO está habitualmente incluida en una ciberpóliza?. Gestión de crisis y notificación a afectados. Pérdida de ingresos por interrupción del negocio. Gastos de forense digital tras un incidente. Daños materiales y lesiones físicas causados por el incidente.

¿Qué se entiende por ciberriesgo silencioso (no afirmativo)?. Un riesgo cubierto de forma explícita por una ciberpóliza específica. Un riesgo ni explícitamente incluido ni excluido en pólizas tradicionales. Un riesgo derivado de ataques de estado que las aseguradoras excluyen siempre. Un riesgo interno causado por empleados de la propia organización.

¿Cuál es el perfil que debe tener un buen CISO según el temario?. Exclusivamente técnico, con dominio de todas las herramientas de seguridad. Exclusivamente legal y de cumplimiento normativo. Técnico combinado con habilidades de negocio, comunicación y liderazgo. Financiero, para gestionar el presupuesto de seguridad de forma óptima.

¿De qué tres cualidades debe disponer un buen director de seguridad según el temario?. Técnico, legal y financiero. Relevante, realista y líder. Proactivo, reactivo y comunicativo. Estratégico, operativo y táctico.

¿Cuál es el objetivo del CISO según la definición del temario?. Garantizar el cumplimiento normativo en materia de protección de datos. Gestionar el presupuesto de seguridad maximizando el ROI de los controles. Eliminar todos los ciberriesgos identificados en el análisis anual. Conocer y cuantificar el ciberriesgo para gestionarlo de acuerdo con la tolerancia decidida por la organización.

Al redactar un resumen ejecutivo de ciberriesgo para la dirección, ¿qué práctica se debe evitar?. Incluir una conclusión clara al final del documento. Usar jerga técnica y acrónimos sin explicar. Adaptar el tono y formato a la audiencia. Seguir la estructura del documento completo.