Factores y Medidas en ISMS

Questions and Answers

¿Cuál de las siguientes opciones describe correctamente un indicador clave de rendimiento (KPI)?

• Un atributo que puede cambiar en el tiempo.
• Un indicador que muestra el rendimiento de un ISMS en relación a sus metas. (correct)
• Un valor que se utiliza como referencia.
• Una observación cuantitativa de un factor en un momento específico.

Los usuarios privilegiados presentan un riesgo significativo para la organización y deben ser gestionados cuidadosamente.

True (A)

¿Qué se debe hacer con las cuentas de usuario cuando el usuario deja la organización?

Suspender las cuentas de usuario.

La __________ se centra en restaurar los sistemas de información después de un evento desastroso.

recuperación de desastres

Asocia cada término con su definición correcta:

Factor = Atributo de un ISMS que puede cambiar con el tiempo. Métrica = Valor derivado de la comparación de múltiples mediciones. Línea de base = Valor de un factor que actúa como punto de referencia. Capacitación en seguridad = Proceso de enseñanza de habilidades específicas.

¿Cuál es una característica de buenas métricas?

Relevantes y comparativas. (A)

¿Cuál de las siguientes opciones describe mejor el phishing?

Un método de ingeniería social realizado a través de comunicación digital. (B)

Las copias de seguridad de datos son fiables sólo si se verifican para restaurar datos.

True (A)

¿Qué término se utiliza para describir los procesos que aseguran la continuidad de las operaciones empresariales?

Continuidad del negocio

La capacitación en concientización sobre seguridad ayuda a las personas a reconocer y responder mejor a los problemas de seguridad.

True (A)

¿Qué es un 'drive-by download'?

Un ataque automático que se activa al visitar un sitio web malicioso.

Un _______ de recuperación de desastres y continuidad del negocio necesita ser evaluado regularmente.

proceso

¿Cuál es un indicador clave de rendimiento (KPI)?

Un indicador significativo que muestra el rendimiento de un ISMS. (A)

Las revisiones de gestión son reuniones formales donde se determina la efectividad de los sistemas de gestión de seguridad de la información.

True (A)

¿Qué significa la sigla KRI?

Indicador clave de riesgo.

Un ataque que manipula a las personas para que violen protocolos de seguridad se llama ________.

ingeniería social

Flashcards

Factor (ISMS)

Atributo de un Sistema de Gestión de la Seguridad de la Información (ISMS) cuyo valor puede cambiar con el tiempo.

Medición (ISMS)

Observación cuantitativa de un factor en un momento específico.

Línea Base (ISMS)

Valor de un factor que proporciona un punto de referencia o indica que se cumple una condición alcanzando un valor umbral.

Métrica (ISMS)

Valor derivado al comparar múltiples mediciones entre sí o con una línea base.

Indicador (ISMS)

Métrica importante que describe un elemento clave de la efectividad de un ISMS.

KPI (ISMS)

Indicador particularmente significativo que muestra el rendimiento de un ISMS en comparación con sus objetivos.

KRIs (ISMS)

Miden el riesgo inherente en realizar una acción o conjunto de acciones.

Continuidad del Negocio

Procesos para asegurar que los procesos críticos del negocio no se vean afectados o se recuperen rápidamente tras un incidente grave.

¿Qué es un indicador clave de rendimiento (KPI)?

Un valor que indica que se cumple una condición o un factor que muestra el rendimiento de un Sistema de Gestión de la Información (ISMS).

¿Qué son los Indicadores Clave de Riesgo (KRIs)?

Son indicadores que describen la efectividad del Sistema de Gestión de la Información (ISMS) y muestran dónde se encuentra la organización en relación con su apetito de riesgo.

Seguridad de la concienciación

El proceso de exponer a las personas a problemas de seguridad, para que puedan reconocerlos y responder mejor.

Ingeniería Social

El proceso de manipular a las personas para que realicen acciones que violen los protocolos de seguridad.

Phishing

Ingeniería social realizada a través de la comunicación digital.

Descarga por pase (drive-by download)

Un ataque automático que se activa simplemente al visitar un sitio web malicioso.

Revisión de la gestión

Una reunión formal en la que los líderes de la organización determinan si los sistemas de gestión de la seguridad de la información están logrando sus objetivos de manera efectiva.

Razones legítimas para suspender una cuenta de usuario

Motivos válidos para suspender, en lugar de eliminar, una cuenta de usuario, incluyendo cumplimiento regulatorio, protección de datos personales e investigación.

Study Notes

ISMS Factors and Measurements

• A factor is an attribute of an ISMS that can change over time.
• A measurement is a quantitative observation of a factor at a specific point in time.
• A baseline is a reference value for a factor, indicating a condition is met.
• A metric is a derived value from comparing multiple measurements, or against a baseline.
• Good metrics are relevant, quantifiable, actionable, robust, simple, and comparative.
• An indicator details a key element of an ISMS's effectiveness.
• A KPI (Key Performance Indicator) is a significant indicator comparing ISMS performance to goals.
• KRIs (Key Risk Indicators) measure the inherent risk in certain actions.

ISMS Risk Management

• Privileged user accounts present significant organizational risk, requiring careful management.
• User accounts should be suspended when a user leaves permanently or for an extended period.

Business Continuity and Disaster Recovery

• Data backups should be verified for usability for data restoration.
• Business continuity describes the processes to keep vital business functions operational during incidents.
• Disaster recovery focuses on restoring information systems after a disaster.

Security Training and Awareness

• Security training equips people for specific security functions effectively.
• Security awareness training educates people about security issues to better recognize and respond to them.
• Social engineering manipulates individuals to violate security protocols.
• Phishing is social engineering employing digital communication.

Additional Concepts

• A drive-by download is an automatic attack triggered by visiting a malicious website.
• Disaster recovery and business continuity should be regularly evaluated to remain effective.
• Reports should be tailored to their audience for effectiveness.
• Management reviews determine if information security management systems effectively meet goals.