Cuestionarios de Análisis de Riesgos en Sistemas de Información

Questions and Answers

¿Cuál es el objetivo principal de la seguridad de la información según el texto?

Analizar, entender, perseguir y aprender de las filtraciones de datos.

Mantener la disponibilidad, integridad, confidencialidad y autenticidad de los datos. (correct)

Evitar la suplantación o engaño de la identidad de origen y destino.

Implementar el Proceso de Gestión de Riesgos dentro de un marco de trabajo.

Según la terminología de la normativa ISO 31000, ¿qué responde Magerit?

Proceso de Gestión de los Riesgos dentro del Marco de Gestión de Riesgos. (correct)

Marco de trabajo para la toma de decisiones en la gestión de riesgos.

Implementación de la Gestión de los Riesgos.

Órganos de gobierno toman decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información.

¿Cuál es la función de las salvaguardas en el análisis de riesgos según el texto?

Detectar y prevenir las amenazas que puedan afectar a los activos de la organización.

Reducir la probabilidad de que una amenaza se materialice y minimizar el impacto en caso de materializarse. (correct)

Evaluar y cuantificar los riesgos asociados a la manipulación de los datos.

Analizar y entender las filtraciones de datos para su posterior prevención.

¿Cuál es la definición de riesgo según MAGERIT?

Posibilidad de que un evento ocurra y afecte a los objetivos de la organización.

¿Cuál es el enfoque principal para estimar el riesgo en el análisis de riesgos?

El impacto ponderado con la tasa de ocurrencia de la amenaza

¿Cuáles son los activos esenciales en un sistema de información, según el texto?

La información manejada y los servicios prestados

¿Qué reflejan las estructuras de dependencias según el texto?

La seguridad de los activos superiores y la propagación del daño en caso de amenazas

¿Qué considera la valoración de activos según el texto?

Coste de reposición, mano de obra, lucro cesante, sanciones, daños a otros activos, personas y medio ambiente

¿Cuál es un criterio importante para la valoración de activos, según el texto?

Homogeneidad y relatividad

¿Qué permite el análisis cuantitativo en el contexto de la valoración de activos?

Sumar valores numéricos de forma natural y comparar costos de soluciones y seguros

¿Qué permite el análisis cualitativo en el contexto de la valoración de activos?

Posicionar el valor de cada activo en un orden relativo respecto de los demás

¿Por qué es fundamental la valoración de activos en un sistema de información, según el texto?

Para determinar el nivel de protección requerido

¿Qué papel juegan los activos inferiores en relación con los activos superiores, según el texto?

Son pilares en los que se apoya la seguridad de los activos superiores

¿Cómo se obtiene la estimación realista de impacto y riesgo, según el texto?

Al incorporar salvaguardas al escenario teórico inicial

¿Qué se evalúa en términos de degradación y probabilidad de ocurrencia en el análisis de riesgos?

La influencia de una amenaza en el valor del activo

¿Cómo se calcula el impacto acumulado en el análisis de riesgos?

Considerando el valor acumulado del activo y las amenazas a las que está expuesto

¿Qué se deriva del impacto de las amenazas sobre los activos considerando la probabilidad de ocurrencia en el análisis de riesgos?

El riesgo, considerando la probabilidad de ocurrencia

¿Qué guía el tratamiento del riesgo en función de la probabilidad y el impacto?

La distinción de zonas de riesgo

¿Qué permite el análisis de riesgos en términos de toma de decisiones críticas?

Aceptar un cierto nivel de riesgo

¿Cuál es el objetivo principal de Magerit según el texto?

Implementar el Proceso de Gestión de Riesgos dentro de un marco de trabajo

¿Cuál es la función principal de las salvaguardas en el análisis de riesgos según el texto?

Proteger los activos contra las amenazas

¿Qué es el análisis de riesgos?

El proceso sistemático para estimar la magnitud de los riesgos a los que está expuesta una organización.

¿Qué es el modelo de valor?

Caracterización del valor que representan los activos para la organización así como de las dependencias entre los diferentes activos.

¿Qué es un mapa de riesgos?

Relación de las amenazas a que están expuestos los activos.

¿Qué es la declaración de aplicabilidad?

Para un conjunto de salvaguardas, se indica sin son de aplicación en el sistema de información bajo estudio o si, por el contrario, carecen de sentido.

¿Qué es la evaluación de salvaguardas?

Evaluación de la eficacia de las salvaguardas existentes en relación al riesgo que afrontan.

¿Qué es el estado de riesgo?

Caracterización de los activos por su riesgo residual; es decir, por lo que puede pasar tomando en consideración las salvaguardas desplegadas.

¿Cuál es la definición de informe de insuficiencias?

Ausencia o debilidad de las salvaguardas que aparecen como oportunas para reducir los riesgos sobre el sistema. Es decir, recoge las vulnerabilidades del sistema, entendidas como puntos débilmente protegidos por los que las amenazas podrían materializarse.

¿Cuál es la definición de cumplimiento de normativa?

Satisfacción de unos requisitos. Declaración de que se ajusta y es conforme a la normativa correspondiente.

¿Qué es el plan de seguridad?

Conjunto de proyectos de seguridad que permiten materializar las decisiones de tratamiento de riesgos.

Las diferentes formas de tratar el riesgo son:

Evitarlo, reducir sus posibilidades de ocurrencia, acotar sus consecuencias, compartirlo con otra organización y aceptar que pueda ocurrir.

¿Cuáles son las 4 etapas cíclicas de los sistemas de gestión de la seguridad de la información (SGSI) [ISO 27001]?

Planificación -> implementación y operación -> monitorización y evaluación -> mantenimiento y mejora.

¿Cuáles son los pasos del análisis de riesgos?

1. Determinar los activos -> 2. Determinar a qué amenazas están expuestos -> 3. Determinar qué salvaguardas hay dispuestas y cuán eficaces son -> 4. Estimar el impacto

Los árboles o grafos de dependencias...

Reflejan de arriba hacia abajo las dependencias, mientas que de abajo hacia arriba la propagación del daño caso de materializarse las amenazas.

¿Cuáles son tipos de amenazas?

De origen natural, del entorno (de origen industrial), defectos de las aplicaciones, causadas por las personas de forma accidental, causadas por las personas de forma deliberada.

El impacto repercutido...

Es el calculado sobre un activo teniendo en cuenta su valor propio y las amenazas a que están expuestos los activos que dependen de el.

El impacto es...

La medida del daño sobre un activo derivado de la materialización de una amenaza.

La degradación es...

Cuán perjudicado resultaría el [valor del] activo debido a un impacto.

¿Tipos de salvaguardas? señale la falsa

[PR] protección

¿Cuáles son los tipos de salvaguardas?

[PR] prevención, [DR] disuasión, [EL] eliminación, [IM] minimización del impacto, [CR] corrección, [RC] recuperación, [MN] monitorización, [DC] detección, [AW] concienciación, [AD] administración.

Análisis de riesgos...

El impacto refleja el daño posible (lo peor que puede ocurrir), mientras que el riesgo refleja el daño probable (lo que probablemente ocurra).

Las estimaciones deben ser...

Lo más objetivas que sea posible o al menos, que sean repetibles, explicables y comparables.

Se puede reducir el riesgo haciendo lo siguiente... señale la incorrecta

Monitorizando los sistemas y llevando una auditoría.

Study Notes

Análisis de Riesgos: Valoración de Activos y Dependencias

1. El riesgo se estima como el impacto ponderado con la tasa de ocurrencia de la amenaza en un análisis paso a paso.
2. Los activos esenciales en un sistema de información son la información manejada y los servicios prestados.
3. Los activos dependen de otros más prosaicos, formando árboles o grafos de dependencias.
4. Las estructuras de dependencias reflejan la seguridad de los activos superiores y la propagación del daño en caso de amenazas.
5. Los activos pueden estructurarse en capas, donde las superiores dependen de las inferiores, incluyendo desde información hasta personal y suministros.
6. La valoración de activos considera el coste de reposición, mano de obra, lucro cesante, sanciones, daños a otros activos, personas y medio ambiente.
7. La homogeneidad y relatividad son criterios importantes para la valoración de activos.
8. El análisis cuantitativo permite sumar valores numéricos de forma natural y comparar costos de soluciones y seguros.
9. El análisis cualitativo permite posicionar el valor de cada activo en un orden relativo respecto de los demás.
10. La valoración de activos es fundamental para determinar el nivel de protección requerido en un sistema de información.
11. Los activos inferiores son pilares en los que se apoya la seguridad de los activos superiores.
12. La estimación realista de impacto y riesgo se obtiene al incorporar salvaguardas al escenario teórico inicial.

Análisis de Riesgos: Pasos y Consideraciones Importantes

1. Escalas de "órdenes de magnitud" se utilizan para estimar el riesgo en base a valoraciones cualitativas o cuantitativas.
2. La interrupción del servicio tiene diferentes impactos según su duración, lo cual dificulta la evaluación proporcional del riesgo.
3. Las amenazas pueden ser de origen natural, industrial, de aplicaciones o causadas por personas de forma accidental o deliberada.
4. La influencia de una amenaza en el valor del activo se evalúa en términos de degradación y probabilidad de ocurrencia.
5. El impacto se refiere al daño causado por la materialización de una amenaza sobre el activo.
6. El impacto acumulado se calcula considerando el valor acumulado del activo y las amenazas a las que está expuesto.
7. El impacto repercutido se calcula tomando en cuenta el valor propio del activo y las amenazas a las que están expuestos los activos de los que depende.
8. Los impactos acumulados y repercutidos pueden ser agregados bajo ciertas condiciones.
9. El riesgo se deriva del impacto de las amenazas sobre los activos, considerando la probabilidad de ocurrencia.
10. Se distinguen zonas de riesgo en función de la probabilidad y el impacto, lo que guía el tratamiento del riesgo.
11. El riesgo acumulado se calcula considerando el impacto acumulado y la probabilidad de la amenaza.
12. El análisis de riesgos permite tomar decisiones críticas, como aceptar un cierto nivel de riesgo, y contribuye a la gestión de incidentes técnicos en el sistema de información.

Description

Análisis de Riesgos en Sistemas de Información: Dos cuestionarios que abordan la valoración de activos, dependencias y consideraciones importantes en la evaluación de riesgos. Aprende sobre la estimación del impacto, la probabilidad de ocurrencia de amenazas y cómo tomar decisiones críticas para la gestión de incidentes técnicos.