Amenazas y analisis de riesgo - VIU

¿Cuál de las afirmaciones es correcta?. El Director de Seguridad de una compañía se encargará y supervisará un análisis de riesgos tras la ocurrencia de un incidente de seguridad. El Director de Seguridad de una compañía solo realizará un análisis de riesgos tras una auditoría o inspección de los sistemas, redes y procesos. El Director de Seguridad de una compañía no necesita realizar un mantenimiento riguroso, continuo y periódico de los análisis de riesgos ya que normalmente eso se lo aporta un proveedor externo o los fabricantes. Ninguna respuesta es correcta.

En términos de gestión de riesgos, ¿qué es el "riesgo aceptable"?. El nivel más alto de riesgo que una organización puede soportar. Un riesgo que ha sido completamente eliminado. El riesgo inherente antes de cualquier análisis. El nivel de riesgo que una organización está dispuesta a aceptar sin más mitigación.

Todos los principios que tiene que cumplir la gestión de la información en cualquier Organización son: Confidencialidad, integridad y disponibilidad. Confidencialidad, integridad y autenticidad. Confidencialidad, integridad, autenticidad, disponibilidad y durabilidad. Confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad.

¿Qué aspecto NO se considera típicamente en la valoración de un activo durante el análisis de riesgos?. Su relevancia para la estrategia empresarial. Su accesibilidad y exposición a potenciales amenazas. El rendimiento técnico del sistema en el que se procesa. El potencial impacto financiero de su compromiso.

¿Cómo se debería gestionar un riesgo identificado con un alto impacto potencial pero una baja probabilidad de ocurrencia?. Siempre debe evitarse debido a su alto impacto. Debe transferirse completamente a una aseguradora. Solo debe ser monitorizado debido a su baja probabilidad. Debe evaluarse cuidadosamente para determinar si se justifica una mitigación costosa o una transferencia parcial.

¿Qué estrategia de tratamiento de riesgos implica modificar la probabilidad o el impacto de un riesgo?. Evitación del riesgo. Aceptación del riesgo. Transferencia del riesgo. Mitigación del riesgo.

La valoración de los activos puede llevarse a cabo mediante: El cálculo del % de degradación cuando se produce un incidente. El uso de dimensiones: probabilidad, potencialidad y frecuencia. El uso de dimensiones: probabilidad, riesgo, degradación, aparición y frecuencia. Criterios que sean homogéneos, repetibles, comparables, uniformes, comprensibles, etc., y usando preferentemente los parámetros o dimensiones de ciberseguridad habituales.

Una vez superada un análisis de riesgos podemos certificarlo frente a la ISO 27001: Sólo si se ha certificado tras una auditoría de calidad y eficiencia energética. No, pues necesitaríamos realizar también un plan de continuidad de negocio y otro de recuperación frente a desastres. No, deberíamos primero hacer una auditoría de protección de datos. Estaríamos más preparados, pero sólo podríamos hacerlo siempre y cuando completemos, tras el análisis de riesgos, lo que solicita la propia norma de gestión de seguridad de la información.

Una acción razonable y lógica después de realizar un análisis sería: Documentar y comunicar los resultados a las partes interesadas relevantes. Diseñar y elaborar un plan de continuidad de negocio o PCN basado en los riesgos identificados. Establecer un cronograma para la revisión regular y la actualización del análisis de riesgos. Todas las respuestas son correctas.

¿Cuál de las siguientes afirmaciones es correcta?. Es responsabilidad del propietario/responsable del activo definir la clasificación de éste y su valor en un análisis de riesgos. Es responsabilidad del propietario/responsable del activo revisarlo periódicamente y asegurarse que está actualizado y en un nivel apropiado, en un análisis de riesgos. No es responsabilidad del responsable de seguridad definir la asignación del valor del activo, pero sí asesorar al propietario/responsable del mismo, en un análisis de riesgos. Todas las afirmaciones son correctas.

Las tres partes esenciales de la gestión de riesgos o risk management son: Identificación de activos, Análisis de riesgos y Tratamiento de riesgos. Identificación de activos, identificación de amenazas e identificación de vulnerabilidades. Ninguna respuesta es correcta. Análisis de riesgos, Evaluación de los riesgos y Tratamiento de riesgos.

¿Qué marco de referencia se utiliza específicamente para la gestión de riesgos de la información?. ISO 9001. ISO 31000. ISO 27001. ISO 27005.

El compromiso de todo el personal de la organización pasa por practicar la comunicación interna relativa a la detección de cualquier tipo de: Vulnerabilidad. Riesgo o amenaza. Incidente de seguridad. Todas las respuestas son correctas.

¿Cuál de las siguientes afirmaciones es correcta?. El tiempo de recuperación objetivo (RTO) siempre debe ser mayor que el tiempo de pérdida máxima de información (RPO), es decir: RTO > RPO. El tiempo de máximo permitido de interrupción (MTD) siempre debe ser inferior al tiempo de pérdida máxima de información (RPO), es decir: MTD < RPO. El tiempo de máximo permitido de interrupción (MTD) siempre debe ser igual a la suma de los RTO y RPO, es decir: MTD = RTO + RPO. El tiempo de recuperación objetivo (RTO) siempre debe ser inferior al tiempo de máximo permitido de interrupción (MTD), es decir: RTO < MTD.

¿Qué desafío plantea la gestión de múltiples marcos de control, como ENS, NIST e ISO, en una única organización?. Los marcos son generalmente incompatibles entre sí. Imposibilidad de cumplir con más de un marco simultáneamente. Necesidad de integrar y armonizar prácticas diversas para una gestión integrada de riesgos. Todas las respuestas son correctas.

La detección de los riesgos conlleva una estructura bien definida, con un control adecuado y su manejo, a través de acciones factibles y efectivas. Para ello se cuenta con las siguientes técnicas de manejo del riesgo: Evitar, borrar, transferir y compartir. Mitigar, reducir, asumir o aceptar el riesgo. Evitar, asumir o aceptar el riesgo y transferir. Evitar, reducir, asumir o aceptar el riesgo, transferir y compartir.

Seleccione el enunciado correcto: Los Sistemas de la Información solamente han de ser protegidos del exterior. Los Sistemas de la Información solo pueden ser protegidos internamente por el Director de Seguridad informática. Los Sistemas de la Información solo pueden ser protegidos internamente y externamente por el Director de Seguridad informática. Los Sistemas de la Información, no solamente han de ser protegidos del exterior, sino también desde el interior.

El BIA o business impact analysis o análisis de impacto en el negocio: Sirve para medir el valor de los activos en cuanto a confidencialidad, integridad y disponibilidad. Realiza pruebas de caja negra y pruebas de caja blanca en los activos de los procesos de negocio críticos. Realiza pruebas de resistencia de los activos frente a ataques de intrusión. Sirve para medir el valor y el impacto de los activos de los procesos de negocio críticos en términos de disponibilidad, con parámetros como MTD, RTO y RPO.

Según MAGERIT, ¿qué concepto describe el daño potencial que una amenaza puede causar?. Impacto. Riesgo. Vulnerabilidad. Probabilidad.

¿Qué se evalúa principalmente en un análisis de impacto al negocio (BIA)?. Las vulnerabilidades detectadas en los sistemas de información. Los activos de negocio críticos y su impacto en términos de disponibilidad. La capacidad del sistema para mitigar riesgos financieros. El nivel de aceptación del riesgo residual por parte de la alta dirección.

Según MAGERIT, ¿qué elemento constituye una salvaguarda?. Una amenaza identificada y documentada. Una medida para proteger activos contra amenazas. Un procedimiento para aceptar riesgos residuales. Una estrategia para reducir la probabilidad de impacto financiero.

¿Qué característica describe mejor el "riesgo residual"?. El nivel de riesgo que queda después de implementar las salvaguardas. El riesgo inherente a una organización antes de realizar un análisis. El nivel de riesgo aceptado sin necesidad de mitigación. El nivel de riesgo documentado en el informe inicial de evaluación.

En términos de continuidad de negocio, ¿qué describe mejor el MTD?. El tiempo máximo que un sistema puede estar inactivo antes de causar un impacto crítico. El tiempo necesario para restaurar un sistema tras una interrupción. El tiempo durante el cual se puede tolerar la pérdida de datos. El tiempo total requerido para evaluar un análisis de impacto.

¿Qué acción es un ejemplo de mitigación de riesgos?. Contratar un seguro contra desastres naturales. Rechazar un proyecto por su alto riesgo inherente. Implementar cifrado para proteger datos sensibles. Aceptar el riesgo de fallo temporal en un servidor no crítico.

¿Cuál es el objetivo principal de la herramienta PILAR en el análisis de riesgos?. Realizar auditorías financieras en sistemas de información. Documentar los activos y amenazas de manera manual. Automatizar el análisis de riesgos siguiendo la metodología MAGERIT. Generar planes de continuidad empresarial sin análisis de riesgos previo.

¿Qué principio se refiere a la capacidad de registrar y rastrear acciones sobre los activos de información?. Confidencialidad. Disponibilidad. Trazabilidad. Autenticidad.

¿Cuál es una amenaza típica de origen natural en el contexto de MAGERIT?. Interrupciones en el suministro eléctrico. Incendios provocados por fallos técnicos. Inundaciones. Fallos de configuración en sistemas operativos.

¿Qué estrategia de tratamiento de riesgos consiste en delegar el impacto a terceros?. Evitación. Transferencia. Aceptación. Mitigación.

En el contexto de MAGERIT, ¿qué significa "amenaza latente"?. Una amenaza que ha ocurrido previamente pero no ha sido documentada. Una amenaza que existe pero que aún no se ha manifestado. Una amenaza que ya ha sido mitigada completamente. Una amenaza que afecta exclusivamente la confidencialidad.

¿Qué técnica de análisis de riesgos prioriza la identificación de riesgos sobre los activos más críticos?. Análisis cualitativo. Análisis cuantitativo. Análisis basado en activos. Análisis por escenarios.

¿Qué representa un "activo de frontera" en el análisis de riesgos?. Un activo que no tiene riesgos asociados. Un activo protegido exclusivamente por salvaguardas internas. Un activo que sirve como interfaz entre sistemas internos y externos.

Según MAGERIT, ¿cuál es la principal razón para clasificar los activos en un análisis de riesgos?. Asignar responsabilidades de seguridad. Identificar su valor y su impacto potencial ante una amenaza. Determinar cuáles activos son redundantes. Facilitar el monitoreo de sistemas no críticos.

¿Qué describe mejor el concepto de "riesgo inherente"?. El nivel de riesgo que queda después de implementar salvaguardas. Un riesgo que se acepta sin mitigación. El nivel de riesgo antes de aplicar cualquier medida de control. Un riesgo generado únicamente por amenazas externas.

¿Cuál es un ejemplo de amenaza relacionada con el factor humano en una organización?. Fallo en la infraestructura de red. Errores de configuración realizados por empleados. Interrupción del suministro eléctrico. Ataques automatizados por malware.

En un análisis de riesgos, ¿qué se considera una vulnerabilidad?. Una debilidad que puede ser explotada por una amenaza. Una amenaza que aún no se ha manifestado. El daño potencial causado por un incidente. Una salvaguarda ineficaz en un activo.

¿Qué tipo de análisis se enfoca en medir riesgos en términos financieros?. Análisis cualitativo. Análisis cuantitativo. Análisis basado en escenarios. Análisis heurístico.

¿Qué componente debe incluirse siempre en un Plan de Continuidad de Negocio (PCN)?. Una lista de empleados clave. Un análisis de impacto al negocio (BIA). Una descripción detallada de todos los activos. Una lista de proveedores externos aprobados.

¿Qué dimensión de la seguridad busca garantizar que la información esté accesible cuando se necesita?. Confidencialidad. Integridad. Disponibilidad. Trazabilidad.

¿Qué funcionalidad permite PILAR en la gestión de riesgos?. Automatizar únicamente la identificación de amenazas. Generar informes detallados con análisis de riesgos siguiendo MAGERIT. Monitorear en tiempo real los sistemas críticos. Gestionar incidentes de seguridad después de su ocurrencia.

¿Qué norma establece un marco de referencia específico para evaluar y tratar riesgos?. ISO 31000. ISO 27005. ENS (Esquema Nacional de Seguridad). ISO 9001.

¿Qué se debe priorizar al crear un Plan de Continuidad de Negocio (PCN)?. Proteger únicamente la infraestructura de TI. Reducir los costos asociados a la recuperación. Asegurar la integridad de los datos críticos. Garantizar la disponibilidad de los procesos críticos.

¿Qué relación existe entre una amenaza y una vulnerabilidad en el contexto del análisis de riesgos?. Una amenaza siempre elimina la vulnerabilidad del sistema. Una amenaza explota una vulnerabilidad para causar un impacto. Las vulnerabilidades no están relacionadas con las amenazas. Una amenaza se considera mitigada si existe una vulnerabilidad.

¿Cuál es la diferencia entre riesgo inherente y riesgo residual?. El riesgo inherente considera las salvaguardas aplicadas, mientras que el residual no. Ambos términos son equivalentes y describen el mismo nivel de riesgo. El riesgo inherente existe antes de aplicar controles; el residual es lo que queda después de implementarlos. El riesgo residual es siempre más alto que el riesgo inherente.

¿Qué ventaja ofrece PILAR al realizar un análisis de riesgos?. Reduce los costos asociados al análisis de riesgos. Automatiza el proceso de identificar amenazas, activos y riesgos. Evalúa exclusivamente los riesgos financieros. Genera políticas de seguridad sin intervención humana.

¿Cuál es la principal diferencia entre ISO 31000 e ISO 27005?. ISO 31000 es específica para la gestión de riesgos en TI, mientras que ISO 27005 no lo es. Ambas normas tienen el mismo alcance y objetivos. ISO 31000 aborda la gestión de riesgos en general, mientras que ISO 27005 se centra en la seguridad de la información. ISO 27005 se enfoca en normativas nacionales, mientras que ISO 31000 es internacional.

¿Qué parámetro del BIA determina cuánto tiempo puede estar inactivo un sistema sin causar daño crítico?. RTO (Tiempo de Recuperación Objetivo). RPO (Punto de Recuperación Objetivo). MTD (Tiempo Máximo de Interrupción Tolerable). Tiempo de Respuesta a Incidentes (TRI).

¿Qué se consideró un objetivo principal de la asignatura según la presentación inicial?. Capacitar en la resolución de incidentes mediante herramientas de seguridad. Entender la relación entre amenazas, vulnerabilidades y medidas de mitigación. Crear planes de seguridad sin necesidad de análisis de riesgos. Realizar auditorías de calidad en sistemas de TI.

¿Qué acción se incluye en un plan de tratamiento de riesgos?. Identificar nuevas amenazas futuras. Documentar únicamente los riesgos aceptados. Establecer medidas de mitigación o transferencia para los riesgos identificados. Evaluar el impacto financiero de las amenazas mitigadas.

¿Cuál es un ejemplo de amenaza deliberada en un análisis de riesgos?. Una inundación en un centro de datos. Un ataque de phishing para obtener credenciales. Un fallo accidental en la configuración de un servidor. Un corte de suministro eléctrico.

¿Qué diferencia a un análisis de riesgos cualitativo de uno cuantitativo?. El análisis cualitativo se enfoca en valores numéricos, mientras que el cuantitativo no. El análisis cualitativo evalúa riesgos en términos descriptivos, mientras que el cuantitativo utiliza valores numéricos. Ambos son iguales en alcance y enfoque. El análisis cuantitativo es subjetivo, mientras que el cualitativo no.

¿Qué se entiende por riesgo aceptable?. El nivel de riesgo que queda después de implementar salvaguardas. El nivel de riesgo que la organización está dispuesta a tolerar sin medidas adicionales. Un riesgo que ha sido completamente eliminado. El nivel más alto de riesgo identificado en el análisis.

¿Qué documento complementa el análisis de riesgos para lograr la certificación ISO 27001?. Informe de auditoría financiera. Plan de Continuidad de Negocio (PCN). Registro de proveedores externos. Manual de calidad organizacional.

¿Qué tipo de activo se considera más vulnerable a las amenazas humanas?. Centros de datos. Credenciales de usuario. Infraestructura de red. Sistemas de respaldo.

¿Qué elemento es clave en el cálculo del RTO?. La disponibilidad del personal técnico. El tiempo necesario para restaurar un servicio crítico. Los costos asociados al tiempo de inactividad. El número de usuarios afectados.

¿Qué normativa está enfocada específicamente en la gestión de riesgos en España?. ISO 27005. NIST. ENS (Esquema Nacional de Seguridad). COBIT.

¿Qué nivel de probabilidad corresponde a un riesgo clasificado como "alto" en MAGERIT?. 10%. 25%. Mayor al 50%. Inferior al 20%.

¿Qué objetivo busca el análisis de riesgos según los principios de la gestión de la seguridad de la información?. Identificar y priorizar riesgos para tomar decisiones informadas. Eliminar completamente todas las amenazas existentes. Asegurar que ningún activo sea vulnerado. Reducir el tiempo de recuperación a cero en caso de incidentes.

¿Qué diferencia al ENS del NIST en términos de gestión de riesgos?. ENS está orientado a la seguridad en España, mientras que NIST tiene un enfoque internacional. ENS regula específicamente el sector público en España, mientras que NIST ofrece un marco general para la ciberseguridad. NIST aplica únicamente a la protección de datos financieros. ENS y NIST son equivalentes en alcance y objetivos.

¿Qué papel juega el análisis de impacto en el negocio (BIA) en un plan de continuidad de negocio (PCN)?. Identifica las amenazas externas más críticas. Determina los procesos críticos y sus tiempos de recuperación aceptables. Genera listas de riesgos residuales. Prioriza únicamente los sistemas financieros en caso de fallos.