¿Cuál no es un objetivo del CSF del NIST? Ayudar a los responsables y operadores de infraestructuras críticas a identificar, inventariar y gestionar riesgos informáticos. Establecer un lenguaje distinto para gestionar riesgos de ciberseguridad. Establecer criterios para la definición de métricas para el control del desempeño en la implementación. Ninguna de las anteriores.
¿Qué son los Perfiles del marco del CSF del NIST? Presenta los estándares, directrices y prácticas de la industria de una manera que permita la comunicación de actividades y resultados de ciberseguridad. Proporcionan un contexto sobre cómo una organización ve el riesgo de la ciberseguridad. Representa los resultados basados en las necesidades empresariales que una organización ha seleccionado de las Categorías y Subcategorías. Ninguna de las anteriores.
¿Cuál no es una función del Framework Core del CSF del NIST? Detectar (DE). Analizar (AN). Identificar (ID). Ninguna de las anteriores.
¿Qué permite la función Recuperar? Desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia. Desarrollar e implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. Desarrollar e implementar las salvaguardias apropiadas para asegurar la provisión de servicios de Infraestructura crítica. Ninguna de las anteriores.
¿Cuáles son las subcategorías? Extensión de las funciones de Ciberseguridad. Controles de Ciberseguridad. Secciones específicas de normas. Ninguna de las anteriores.
¿El Framework NIST consta de 5 funciones simultáneas y continuas? Falso. Verdadero.
En el proceso de gestión de riesgo ¿con qué debe cumplir el nivel de implementación de RIESGO INFORMADO? Las prácticas de gestión de riesgos son aprobadas por la administración, pero no pueden establecerse como políticas de toda la organización. Las prácticas de gestión de riesgos de la organización son formalmente aprobadas y expresadas como políticas. La organización adapta sus prácticas de ciberseguridad basadas en las lecciones aprendidas y los indicadores predictivos. Ninguna de las anteriores.
¿Las 5 funciones continuas del CSF del NIST dan pie al ciclo de vida de la Ciberseguridad? Verdadero. Falso. Depende de las partes interesadas. Ninguna de las anteriores.
¿Qué indica la actividad “crear un perfil actual del CSF”? La organización crea un perfil objetivo que se centra en la evaluación de las categorías y subcategorías del marco que describen los resultados deseados de ciberseguridad de la organización. La organización desarrolla un perfil actual indicando los resultados de categoría y subcategoría del núcleo del Marco que se están alcanzando actualmente. Esta evaluación podría guiarse por el proceso general de gestión de riesgos de la organización o por actividades anteriores de evaluación de riesgo.
¿Qué permite la función Identificar? Desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia. Desarrollar el entendimiento organizacional para manejar el riesgo de ciberseguridad a los sistemas, activos, datos y capacidades. Desarrollar e implementar las salvaguardias apropiadas para asegurar la provisión de servicios de Infraestructura crítica. Ninguna de las anteriores.
“El Marco proporciona un lenguaje común para comunicar los requisitos entre las partes interesadas interdependientes responsables de la prestación de servicios esenciales de infraestructura crítica”. El anterior enunciado es: Verdadero. Falso. Depende de las partes interesadas. Ninguna de las anteriores.
¿Cuál es el objeto y campo de aplicación del ISO/IEC 27032? Proporcionar una guía para mejorar el estado de la Ciberseguridad, destacando aspectos únicos de dicha actividad y su dependencia de otros ámbitos de seguridad. Aplicar como marco de referencia para la seguridad de la información en los países miembros de América latina. Desarrollar e implementar las actividades apropiadas para mantener los planes de resiliencia cibernética. Ninguna de las anteriores.
Según el ISO/IEC 27032, ¿cuál de los siguientes ámbitos no se encuentra relacionado con la Ciberseguridad? Seguridad de la Información. Seguridad de Internet. Seguridad en RRHH. Ninguna de las anteriores.
¿Cuál de los proveedores se incluyen dentro de las partes interesadas del ciberespacio? Proveedores de servidores. Proveedores de aplicaciones. Proveedores de accesos remotos. Ninguna de las anteriores.
¿Qué incluye la categoría de Activos personales del ciberespacio? Laptop de la entidad. La propiedad intelectual. Moneda virtual. Ninguna de las anteriores.
¿Cuál opción no pertenece a las Amenazas para los activos personales? Acceso y exploit indebidos. Robo del dinero de la persona y fraude. Fuga o robo de información personal. Ninguna de las anteriores.
¿Cuál opción no pertenece a los Roles de las partes interesadas en la Ciberseguridad? Roles de las organizaciones. Roles de los consumidores. Roles de los socios. Ninguna de las anteriores.
¿Qué indican las Directrices para las organizaciones y proveedores de servicios? Gestionar el riesgo de seguridad de la información en el negocio, entre otras. Deberían orientar a los consumidores sobre cómo mantenerse seguros en línea, entre otras. Cómo ellos podrían influir positivamente en el estado de la Ciberseguridad, entre otras. Ninguna de las anteriores.
Según el ISO/IEC 27032, ¿cuáles son las categorías de los controles de Ciberseguridad? Controles a nivel de software, protección del servicio, controles del usuario final y controles contra ataques de ingeniería social. Controles a nivel de aplicación, protección del servicio, controles del usuario final y controles contra ataques de ingeniería inversa. Controles a nivel de aplicación, protección del servidor, controles del usuario final y controles contra ataques de ingeniería social. Ninguna de las anteriores.
¿Qué incluyen el Marco de intercambio y coordinación de la información? Los socios estratégicos. Las Personas y Organizaciones. Las técnicas de aprendizaje. Ninguna de las anteriores.
¿En dónde los controles del ISO/IEC 27032 se pueden incluir, complementariamente con el ISO 27001? La política del SGSI. El alcance del SGSI. La declaración de aplicabilidad (Statement of Applicability- SoA). Ninguna de las anteriores.
Dentro del Framework del NIST, ¿cuáles estándares se incluyen como controles de referencia normativos? ISO/IEC 27001, NIST SP 800-82, ISA 62443. CIS CSC 7.1, COBIT 2019, ISO 31000. ISO/IEC 27032, ISO/IEC 27002, ISO 38500. Todas las anteriores. Ninguna de las anteriores.
¿Cuáles son las 5 funciones simultáneas y continuas del Framework NIST? Intensificar, Proteger, Detectar, Responder y Recuperar. Identificar, Proteger, Detectar, Atacar y Recuperar. Implementar, Proteger, Defender, Resistir y Resiliencia. Identificar, Proteger, Detectar, Responder y Recuperar. Ninguna de las anteriores.
¿La diferencia entre Ciberseguridad y Seguridad de la Información es que la Seguridad de la Información trata información independiente de su formato y la Ciberseguridad se refiere a la protección de los activos digitales? Falso. Verdadero.
¿Para la gestión de riesgos de Ciberseguridad qué metodología puedes usar como referencia? ISO 31000. ISO/IEC 27005. Cobit for Risk. Todas las anteriores. Ninguna de las anteriores.
¿Cuál se define como un tipo de programa malicioso que secuestra la información, restringiendo el acceso a la misma y solicitando el pago de un rescate a cambio de quitar esta restricción? Cryptojacking. Botnet. Ransomware. Shadow IT. Spear Phishing.
¿Cuál es el proceso que identifica las amenazas y peligros que existen para una organización? Recuperación de desastres. Continuidad del negocio. Gestión de Riesgos de Ciberseguridad. Seguridad de la información. Ninguna de las anteriores.
¿Cuál/es de las siguientes maneras es más efectiva para ayudar a mitigar la amenaza de la ingeniería social? a) Comprar tecnologías de seguridad informática de última generación. b) Hacer una campaña sobre Ingeniería social como parte de la Seguridad de la información. c) Implementar un programa permanente de educación y concienciación sobre la Ciberseguridad. d) Son válidas B y C. e) Ninguna de las anteriores.
¿Las funciones y responsabilidades dentro del Marco de Ciberseguridad del NIST se definen en los controles ID.AM-6 y PR-AT-3? Verdadero. Falso.
¿Qué se debería hacer para medir la eficacia del Programa de Ciberseguridad? Definir indicadores usando la metodología SMART. Comprar una herramienta automatizada. Ninguna de las anteriores. Todas las anteriores.
El proceso de Gestión de Riesgos de nivel 3: Las prácticas de gestión de riesgos de la organización son formalmente aprobadas y expresadas como políticas. La priorización de las actividades de ciberseguridad puede no estar directamente relacionada con los objetivos de riesgo de la organización. No se formalizan las prácticas organizativas de gestión de riesgos de ciberseguridad y se gestiona el riesgo de manera ad hoc y a veces reactiva. La gestión de riesgos de ciberseguridad es por incidente presentado.
La Función Recuperar soporta: La recuperación oportuna a las operaciones normales para reducir el impacto de un evento de ciberseguridad. Implementar las actividade apropiadas para tomar medidas respecto a un evento de ciberseguridad detectado. Implementar controles continuos de ciberseguridad. Ninguna es correcta.
Es un conjunto de actividades de ciberseguridad, resultados deseados y referencias aplicables que son comunes en todos los sectores de infraestructura crítica y se organizan entorno a resultados particulares: Niveles. Núcleo del Marco. Perfil del Marco. Políticas de Ciberseguridad.
Según el Marco de Ciberseguridad del NIST la gestión del riesgo de la cadena de suministro (SCRM) abarca: Proveedores y compradores de tecnología. Proveedores y compradores de tecnología, así como proveedores y compradores de no tecnológicos. Proveedores de Tecnología y Proveedores No tecnológicos. Ninguna es correcta.
La Función de Responder apoya: A Desarrollar e Implementar las actividades apropiadas para identificar la ocurrencia de un evento de ciberseguridad. La capacidad de limitar o contener el impacto de un posible evento de ciberseguridad. La capacidad de contener el impacto de un posible evento de ciberseguridad. Todas son correctas.
¿Cuál de los siguientes se incluye en el ciberespacio? Personas, software, servicios de Internet, dispositivos de tecnología de comunicación (TIC) y Redes Personas, software, hardware, servicios de Internet, dispositivos de tecnología de comunicación (TIC) y redes conectadas. Personas, software,hardware, cables de enrutamiento, servicios de Internet, tecnología de comunicación (TIC) dispositivos y redes conectadas. Personas, software, hardware, Internet e Intranet.
Se refiere a que el personal y los socios de la organización reciben educación sobre ciberseguridad y son capacitados para cumplir con sus deberes y responsabilidades relacionados: Cultura de ciberseguridad. Campaña de concienciación. Concienciación y capacitación. Formación y desarrollo de habilidades.
La gestión de riesgos es un proceso continuo de: Investigacion, estatus y respuestas al riesgo. Identificación, evaluación y análisis al riesgo. Identificación, evaluación y respuesta al riesgo. Modificación, Retención, Compartir o Evitar el riesgo.
El Framework Core consta de cinco funciones simultáneas y continuas: Intensificar, Proteger, Detectar, Responder y Recuperar. Identificar, Proteger, Detectar, Atacar y Recuperar. Identificar, Proteger, Detectar, Responder y Recuperar. Implementar, Proteger, Defender, Resistir, Resiliencia.
La función de Detectar permite: El descubrimiento oportuno de eventos de ciberseguridad. Implementar Control de acceso, concienciación y Capacitación. Implementar controles continuos de ciberseguridad. Contener el impacto de un incidente.
Los pasos que una organización podría utilizar para crear un nuevo programa de Ciberseguridad o mejorar un programa existente son: Definir Alcance, Crear un Perfil Actual, Evaluar Riesgos, Tratar Riesgos, Crear Perfil Objetivo, Realizar análisis de Brechas e Implantar controles. Priorización y Alcance, Orientación, Crear un Perfil Actual, Realizar una evaluación de riesgos, Crear un Perfil objetivo, Determinar, Analizar y priorizar brechas e implementar plan de acción. Definir Alcance, Crear un Perfil Actual, Realizar una evaluación de riesgos, Crear perfil objetivo, Realizar análisis de Brechas e implementar Controles. Definir Alcance, Orientación, Crear un Perfil Actual, Realizar una evaluación de riesgos, Crear un Perfil objetivo, Determinar, Analizar y Priorizar brechas e Implementar plan de acción.
Según el Marco de Ciberseguridad del NIST se define al Ciberespacio como: Entorno complejo resultante de la Interacción de persona, softwares y servicios en Internet por medio de dispositivos y redes de tecnología conectados a éste, los que no existen en forma física. Un dominio global dentro del entorno de información que consiste en la red Interdependiente de Infraestructuras de sistemas de información, incluyendo Internet, redes de telecomunicaciones, sistemas informáticos, procesadores y controladores Integrados. Entorno complejo que resulta de la interacción de personas , softwares y servicios en Internet, con el apoyo de dispositivos físicos y comunicaciones de tecnología de Información y redes distribuidas mundialmente. Sistema global de redes Interconectadas en el dominio público.
Las funciones del Marco de Ciberseguridad organizan: Las actividades básicas de ciberseguridad en su nivel más alto. La lista de vulnerabilidades detectadas en el negocio. Las categorías del riesgo organizacional. Las clausulas para alinearse a la ISO 27032.
Es el nivel más alto en la estructura para organizar las actividades básicas de Ciberseguridad organizan: Categoria Perfil Función Subcategoria.
La participación externa del Nivel 4: La organización entiende sus dependencias y socios y recibe información de estos socios. La organización gestiona el riesgo y comparte activamente la información con los socios. La organización conoce su papel en el ecosistema más grande, pero no ha formalizado sus capacidades. Se implementa la gestión de riesgos en base a ISO 31000.
La función Proteger permite: Entender el contexto empresarial, los recursos que soportan funciones criticas y los riesgos relacionados con la ciberseguridad. La gestión de Gestión de Activos y Ambiente de negocios. Desarrollar e implementar medidas de seguridad adecuadas para garantizar la entrega de servicios criticicos. Conducir a un estado final deseado estático.
De las siguientes afirmaciones sobre el Marco de Ciberseguridad cuales son correctas: A) Permite a las organizaciones describir su postura actual de Ciberseguridad. B) Permite a las organizaciones describir su objetivo deseado para Ciberseguridad. C) Permite a las organizaciones evaluar el progreso hacia el objetivo deseado. D) Todas son correctas. E) Solo a y c.
Control de acceso; Concientización y formación; Seguridad de los datos; Procesos y procedimientos para la protección de la información; Mantenimiento y Tecnología de protección son categorías de la función: Identificar Proteger Detectar Recuperar.
La conservación de la confidencialidad, integridad y disponibilidad de la información en el Ciberespacio se define como: Ciberseguridad Protección de Ciberespacio. Todas son correctas. Ninguna es correcta.
Las actividades de gestión del riesgo de suministro (SCRM) de ciberseguridad pueden incluir lo siguiente: Determinar los requisitos de ciberseguridad para los provedores. Promulgar requisitos de ciberseguridad mediante un acuerdo formal (por ejemplo, contratos). Comunicar a los proveedores como se verificarán y validarán esos requisitos de seguridad. Verificar que los requisitos de ciberseguridad se cumplan a través de una variedad de metodologías de evaluación. Todas son correctas.
De acuerdo con el marco de referencia de ciberseguridad del NIST una amenaza interna está definida como: Métodos y cosas usadas para explotar una vulnerabilidad. Los ejemplos incluyen la determinación, capacidad, motivación y recursos. Un individuo o grupo de individuos que tiene cualquier rol en la ejecución o soporte de un ataque. La amenaza de que una persona con información privilegiada utilice su acceso autorizado, consciente o inconscientemente, para hacer daño a la seguridad. Esta amenaza puede incluir daños por espionaje, terrorismo, divulgación no autorizada de información de seguridad nacional, o por pérdida o degradación de recursos o capacidades departamentales. Causa potencial de un incidente no deseado, el cual puede ocasionar daño a un sistema o a una organización.
Los niveles de implementación de marco ("Tiers") proporcionan: Los estándares, directrices y prácticas de la industria de una manera que permita la comunicación de actividades y resultados de ciberseguridad y los procesos implementados para manejar ese riesgo. Un contexto sobre cómo una organización ve el riesgo de la ciberseguridad y los procesos implementados para manejar ese riesgo. Refuerza la conexión entre los impulsores del negocio y las actividades de ciberseguridad. Una guía para poder certificarse.
El proceso de Gestión de Riesgos del Nivel 2: La priorización de las actividades de ciberseguridad puede no estar directamente relacionada con los objetivos de riesgo de la organización. Se conoce el riesgo de ciberseguridad a nivel organizativo, pero no se ha establecido un enfoque a nivel de toda organización para gestionar el riesgo de ciberseguridad. Se conoce muy poco el riesgo de ciberseguridad a nivel organizativo. No se establece planes de tratamientos de riesgos.
¿Relacione las funciones del Ciclo de vida marco de referencia de ciberseguridad (Identificar, Proteger, Responder Detectar, Recuperar) con las definiciones que se muestran a continuación? Identificar Proteger Responder Detectar Recuperar.
Las categorías del Marco de Ciberseguridad son: Las metodologías existentes para la gestión de Incidentes y ayudan a mostrar el Impacto de las Inversiones en ciberseguridad. Las subdivisiones de una función en grupos de resultados de ciberseguridad estrechamente vinculados a las necesidades programáticas y actividades. Las listas de comprobación de las acciones a realizar. Los controles de ciberseguridad a implementar.
Los Tiers caracterizan las prácticas de una organización en un rango, desde: Parcial (Tier 1) hasta Adaptativo (Tier 4). Inicial (Tier 1) hasta Avanzado (Tier 4). Estándar (Tier 1) hasta Final (Tier 4). Inicial (Tier 1) hasta Final (Tier 4.).
Para implementar el Marco de Ciberseguridad el flujo común de información y decisiones considera estos niveles: Ejecutivo, Empresarial o Proceso, Implementación u Operaciones. Gerencial, Técnico, Operativo. No existen niveles definidos. Ninguna es correcta.
Son categorías dentro del Marco de Ciberseguridad: Gestión de activos. Gestión del riesgo de la cadena de suministro. Concienciación y capacitación. Procesos de Detección. Todas son correctas.
La función Identificar permite: Desarrollar el entendimiento organizacional para manejar el riesgo de ciberseguridad de los sistemas, activos, datos y capacidades. Conducir a un estado final deseado estático. Implementar el estado inicial del CSF. Mostrar los enlaces externos a otras secciones NIST.
Las categorías dentro de la función Responder son: Anomalías y eventos; Monitoreo continuo de la seguridad; Procesos de detección. Planificación de la recuperación; Mejoras y Comunicaciones. Gestión de activos; Ambiente del negocio; Gobernanza ; Evaluación de riesgos y Estrategia para la gestión de riesgos. Planificación de la respuesta; Comunicaciones; Análisis; Mitigación; Mejoras.
Perfil del Marco ("Perfil") representa: Una progresión desde respuestas Informales y reactivas a enfoques que son ágiles y están informados sobre el riesgo. Los resultados basados en las necesidades empresariales que una organización ha seleccionado de las Categorías y Subcategorías. Las prácticas descritas en el Marco. La linea base de la postura de Ciberseguridad de la empresa.
El Marco de Ciberseguridad proporciona una taxonomía común y un mecanismo para que las organizaciones: Combatan el cibercrimen. Describan su estado actual y estado objetivo de ciberseguridad. Gestionen la seguridad de la información. Implementen la ISO 27032.
Con respecto al marco de ciberseguridad del NIST cual afirmación en correcta: El marco tiene como base a la ISO 27032 El marco complementa y no reemplaza el proceso de gestión de riesgos y el programa de ciberseguridad cibernética de la organización El marco es un documento de cumplimiento obligatorio Todas las respuestas son correctas.
El proceso de Gestión de Riesgos del Nivel 1: No se formalizan las prácticas organizativas de gestión de riesgos de ciberseguridad y se gestiona el riesgo de manera ad hoc y a veces reactiva. El proceso de gestión de riesgos es cíclico y evolutivo. Insistente. Persistente.
Según el Marco de Ciberseguridad del NIST un incidente de seguridad cibernética se define como: Un cambio en la seguridad cibernética que puede tener un impacto en las operaciones de la organización (incluida la misión, las capacidades o la reputación). Ocurrencia detectada en el estado de un sistema, servicio o red que indica una posible violación de la política de la seguridad de la información o un fallo de los controles, o una situación desconocida hasta el momento y puede ser pertinente para la seguridad. Un evento de seguridad cibernética que se ha determinado que tiene un impacto en la organización, lo que provoca la necesidad de respuesta y recuperación. Evento singular o serie de eventos de seguridad de la información inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio de amenazar la seguridad de la información. Un ataque, a través del ciberespacio, dirigido al uso de ciberespacio por una empresa con el fin de interrumpir, deshabilitar, destruir o controlar maliciosamente un entorno informático y/o de infraestructura; o destruyendo la integridad de los datos o robando información controlada.
Las subcategorías del marco de ciberseguridad : Dividen una categoría en resultados específicos de las actividades técnicas y/o de gestión. Muestran las subdivisiones de una función en grupos de resultados de ciberseguridad. Son una lista de controles. Evento singular o serie de eventos de seguridad de la información inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones del negocio de amenazar la seguridad de la información. Medios para manejar riesgos, incluyendo políticas, directrices, practicas o estructuras organizacionales, las que pueden ser de naturaleza administrativas, técnica, gestión o legales.
Dentro del programa de Ciberseguridad cuando la organización compara el Perfil Actual y el Perfil Objetivo para determinar las brechas se denomina: Implementar el Plan de acción. Determinar, analizar y priorizar brechas. Definir y Priorizar el Alcance. Todas las anteriores.
Las referencias informativas del Marco de Ciberseguridad del NIST son: Referencias de las funciones especificas. Secciones especificas de normas, directrices y prácticas comunes entre los sectores de infraestructura critica. Enlaces externos a otras secciones NIST. Todas son correctas.
¿El Framework Core Identifica? Funciones, Categorías y Subcategorías. Funciones, Controles y Subcategorías. Fortalezas, Controles y Subcontroles. Funciones, Clausulas, Controles.
La organización crea un Perfil que se centra en la evaluación de las Categorías y Subcategorías del Marco que describes los resultados deseados de Ciberseguridad se conoce como: Perfil Actual. Perfil NIST. Perfil Objetivo. Ninguna es correcta.
|
