¿Cuánto sabes sobre seguridad informática?

Implantación de un sistema de gestión de seguridad de la información

1. La gestión de la ciberseguridad se realiza mediante técnicas y procesos que se inspiran en buenas prácticas identificadas por la comunidad profesional internacional.

2. El concepto de riesgo comprende todo tipo de vulnerabilidades, amenazas que pueden producir numerosas pérdidas para las organizaciones, dependiendo del valor de la información a proteger.

3. Los objetivos de seguridad siempre están supeditados a los objetivos generales y el interés de los usuarios particulares y de las organizaciones.

4. Se revisan periódicamente los valores de los activos, las amenazas, impactos, las vulnerabilidades, etc.

5. A la hora de implantar un SGSI y su respectivo sistema de controles, podemos diferenciar tres tipos de proyectos de seguridad: el Plan Director, el SGSI o el ENS.

6. El Plan Director de Seguridad (PDS) determina el alcance del sistema de protección de ciberseguridad que queremos desplegar.

7. Un completo SGSI permite completar el ciclo de mejora continua y está basado en un estándar reconocido como ISO 27000.

8. El Esquema Nacional de Seguridad (ENS) es un instrumento circunscrito al ámbito de las Administraciones Públicas.

9. El análisis de riesgos es un elemento central del SGSI y debería ser obligatorio siempre para poder ver evoluciones en el modelo de mejora continua.

10. El Anexo A de la norma ISO 27001:2013 es un modelo de buenas prácticas en la implantación de controles efectivos.

11. Los controles preventivos, reactivos y disuasorios incluyen la adopción de salvaguardas, procedimientos o mecanismos tecnológicos capaces de reducir el riesgo.

12. Las buenas prácticas o estándares actúan como guías de ayuda y facilitan el proceso de planificación o despliegue del SGSI.Estándares de ciberseguridad para organizaciones

13. Las normas ISO 27000 cubren a todo tipo de organizaciones, independientemente de su tamaño o naturaleza.

14. La norma ISO 27002:2013 ha sido actualizada recientemente con cambios en su contenido, como la reducción de controles sugeridos a 113.

15. COBIT define siete criterios de control de la información para garantizar la confiabilidad, calidad y seguridad.

16. ISF facilita una herramienta de controles que cubre los contenidos de ISO 27002:2013, NIST Cybersecurity Framework, CIS Top 20, PCI DSS de COBIT 5 for Information Security.

17. PCI Data Security Standard define el conjunto de requerimientos para gestionar la seguridad y definir todo tipo de medidas de protección que intervienen en el tratamiento, procesado o almacenamiento de información de tarjetas de crédito o débito.

18. La efectividad, eficiencia, confidencialidad, integridad y disponibilidad son criterios clave en la medición de efectividad de controles.

19. La adopción y establecimiento de controles de seguridad siempre debe estar alineado con los objetivos organizacionales o de negocio.

20. La gestión efectiva de un sistema de ciberseguridad requiere que la información fluya hacia y desde todas las partes de la organización.

21. La comunicación es un elemento esencial para la organización porque el mayor factor de riesgo reside en las personas.

22. El análisis y gestión de riesgos TI comienza en la identificación de amenazas, vulnerabilidades y en el análisis de riesgos.

23. El SLE y el ALE son indicadores clave para medir las pérdidas derivadas de un evento individual o esperadas al año.

24. La incertidumbre es un factor clave en el análisis y gestión de riesgos, que requiere respuesta a preguntas sobre la amenaza, impacto, frecuencia y nivel de incertidumbre.Resumen de conceptos clave sobre seguridad informática

25. La seguridad informática es importante para proteger los datos y sistemas de una organización.

26. El riesgo de seguridad se calcula como la probabilidad de que ocurra una amenaza y su impacto potencial.

27. El análisis de riesgos es una herramienta para identificar y evaluar los riesgos de seguridad.

28. El costo de un incidente de seguridad se puede calcular utilizando el Single-loss expectancy (SLE).

29. El SLE se calcula multiplicando el valor del activo por el factor de exposición.

30. El valor del activo es el valor total del recurso que se está protegiendo.

31. El factor de exposición es la probabilidad de que un activo se vea afectado por una amenaza.

32. El ALE (Annualized Loss Expectancy) representa la pérdida anual esperada por una amenaza.

33. El ALE se calcula multiplicando el SLE por la frecuencia de la amenaza durante un año.

34. El web surfing puede constituir una amenaza para la seguridad informática en una organización.

35. El coste laboral del web surfing puede ser calculado utilizando el salario por hora y el tiempo empleado.

36. La seguridad informática requiere una evaluación continua y una implementación de medidas de protección adecuadas.