AGR - 1,2,3,4,5,6,7,8

¿Cuál es la definición operativa de riesgo según el temario?. La posibilidad de que un sistema falle por causas técnicas internas. La probabilidad de que un incidente no deseado ocurra y cause un impacto o pérdida en un activo. El conjunto de amenazas identificadas en un análisis de vulnerabilidades. El impacto económico directo de un ataque de ransomware.

¿De qué dos parámetros depende el riesgo según la fórmula básica?. Probabilidad e Impacto. Amenaza y Vulnerabilidad. Activo y Amenaza. Control y Exposición.

¿Qué diferencia hay entre riesgo inherente y riesgo residual?. El riesgo inherente afecta a terceros; el residual es propio de la organización. El riesgo inherente es el nivel de riesgo sin controles; el residual es el que queda tras aplicar medidas. El riesgo residual siempre es mayor que el inherente. El riesgo inherente solo aplica a OT; el residual a IT.

¿Cuál de los siguientes NO es un objetivo de la ciber-resiliencia según NIST SP 800-160?. Anticipate. Withstand. Recover. Encrypt.

¿Qué fase precede a "Analizar el riesgo" en el proceso de gestión del ciberriesgo?. Tratar el riesgo. Valorar el riesgo. Identificar el riesgo. Establecer el contexto.

¿Qué distingue el apetito por el riesgo de la tolerancia al riesgo?. El apetito es el riesgo aceptado voluntariamente para alcanzar objetivos; la tolerancia es el límite máximo de exposición. La tolerancia es el riesgo aceptado voluntariamente; el apetito es el límite máximo. Ambos conceptos son sinónimos en el contexto del ciberriesgo. El apetito aplica al riesgo operativo y la tolerancia al estratégico.

¿Qué tres elementos componen el marco GRC?. Gestión, Regulación y Compliance. Gobernanza, Gestión de riesgos y Cumplimiento. Gobierno, Resiliencia y Controles. Gobernanza, Respuesta y Comunicación.

¿A qué nivel de gestión pertenece principalmente el Enterprise Risk Management (ERM)?. Operacional. Táctico. Estratégico. Técnico.

¿Cuántos componentes tiene el marco COSO ERM 2017?. 3 componentes. 5 componentes. 7 componentes. 10 componentes.

¿Qué diferencia hay entre un estándar y un marco de trabajo en gestión del ciberriesgo?. El estándar es normativo y permite certificación externa; el marco es referencial y se autoevalúa. El marco es normativo y obliga a realizar acciones; el estándar es solo orientativo. Ambos permiten obtener certificaciones de cumplimiento externas. Los marcos son exclusivos del ámbito OT y los estándares del ámbito IT.

¿Cuál es el estándar de referencia para la gestión del riesgo en seguridad de la información en el ámbito IT?. ISO 27005. IEC 62443. ISO 29134. NIST SP 800-82.

¿Cuántos niveles de madurez (Tiers) define el NIST Cybersecurity Framework?. 3 niveles. 5 niveles. 4 niveles. 6 niveles.

¿En qué país se originó la metodología MAGERIT?. Francia. España. Noruega. Alemania.

En MAGERIT, ¿cómo se calcula el riesgo?. Amenaza × Vulnerabilidad. Degradación × Frecuencia. Impacto × Probabilidad. Activo × Control.

¿Cuál es la principal limitación de los métodos cualitativos frente a los cuantitativos?. No pueden identificar amenazas sobre activos digitales. Solo priorizan riesgos pero no cuantifican económicamente ni permiten calcular el ROI de los controles. Requieren mayor esfuerzo computacional que la simulación de Montecarlo. No son compatibles con ISO 27001.

¿Cuál es el entregable principal del análisis cuantitativo de ciberriesgo?. Mapa de calor con escala 5x5. Árbol de amenazas STRIDE. Inventario de activos valorado. Curva de pérdidas esperadas (Loss Exceedance Curve).

En la Simulación de Montecarlo aplicada al ciberriesgo, ¿qué distribución se recomienda al trabajar con intervalos de confianza del 90%?. Lognormal. Normal. Uniforme. Binomial.

¿Qué significan las siglas FAIR en el análisis cuantitativo de ciberriesgo?. Framework for Advanced Information Risk. Factor Analysis of Information Risk. Formal Assessment of Integrated Risks. Frequency Analysis of Incident Reports.

En la técnica PERT, ¿cómo se calcula la estimación a partir de mínimo, máximo y más probable (ML)?. (min + max) / 2. (min + ML + max) / 3. (min + 4·ML + max) / 6. (min + 2·ML + max) / 4.

¿Cuál de los enfoques para medir la probabilidad la estima en función de lo fácil que es explotar las vulnerabilidades existentes?. Enfoque Frecuentista. Enfoque por Grado de Vulnerabilidad. Enfoque Bayesiano. Distribución Beta.

¿Qué ventaja ofrece la Distribución Beta frente al frecuentismo simple para estimar probabilidades?. Permite calcular probabilidades condicionales entre sucesos dependientes. Elimina la necesidad de datos históricos internos. Siempre produce estimaciones más conservadoras. Cuantifica la incertidumbre mediante un intervalo de confianza en lugar de dar un único valor puntual.

¿Qué diferencia un KRI de un IoC?. El KRI es predictivo (señala condiciones que favorecen un riesgo futuro); el IoC es reactivo (evidencia de compromiso ya ocurrido). El IoC es predictivo y el KRI es reactivo. Los KRI se usan en OT y los IoC en IT. Ambos son indicadores del presente; la diferencia es solo terminológica.

¿Cuál es una característica de los talleres de calibración?. Solo pueden ser internos a la organización. Requieren obligatoriamente el Método Delphi. Los grupos son multidisciplinares, con diferentes perfiles, conocimientos e intereses. Están diseñados únicamente para estimar el impacto económico.

En el modelo STRIDE de Microsoft, ¿qué pilar de seguridad afecta principalmente la amenaza de Tampering?. Confidencialidad. Integridad. Disponibilidad. No repudio.

¿Cuál es la función del protocolo TAXII en el contexto de la inteligencia de amenazas?. Define el lenguaje estándar para describir objetos de amenaza en JSON. Es la plataforma open source de compartición de malware impulsada por FIRST. Establece las categorías de amenazas cloud según la CSA. Estandariza cómo se comparte la inteligencia de amenazas mediante una API RESTful sobre HTTPS.

En el análisis de árbol de fallos (FTA), ¿cómo se calcula la probabilidad de una puerta AND?. Multiplicando las probabilidades de todas sus entradas. Sumando las probabilidades de todas sus entradas. Tomando el valor máximo entre todas sus entradas. Promediando las probabilidades de todas sus entradas.

La EIPD es obligatoria según el RGPD cuando: Se procesan datos de más de 500 empleados. Sea probable que el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. La organización opera en más de dos países de la UE. Se usa cloud para almacenar cualquier dato personal.

En el modelo de responsabilidad compartida en cloud, ¿quién es siempre responsable de la seguridad física en IaaS, PaaS y SaaS?. El cliente. Ambos por igual. El proveedor cloud. Un auditor independiente.

¿Cuál de las siguientes iniciativas de la CSA es una matriz de controles de seguridad específicos para entornos cloud?. CAIQ (Consensus Assessment Initiative Questionnaire). CCM (Cloud Control Matrix). Egregious Eleven. Security Guidance v4.0.

Según la metodología FAIR, ¿cuáles son los dos factores de primer nivel que determinan el riesgo?. Threat Capability y Difficulty. Contact Frequency y Probability of Action. Primary Loss y Secondary Loss. Loss Event Frequency y Loss Magnitude.