Gestión de Riesgos: Capítulo 2

Questions and Answers

¿Qué componente del manejo de riesgos se centra en la evaluación de la probabilidad y el impacto de las amenazas?

Evaluación de riesgos (correct)

Monitoreo de riesgos

Gestión de la continuidad del negocio

Framing

¿Cuál de las siguientes afirmaciones sobre el manejo de riesgos es cierta?

Las organizaciones no deben preocuparse por los riesgos de la cadena de suministro.

Siempre se puede crear un entorno 100% seguro.

El manejo de riesgos incluye identificar, evaluar y monitorear riesgos. (correct)

El manejo de riesgos solo se refiere a amenazas informáticas.

¿Cuál de los siguientes términos se relaciona más estrechamente con la continuidad del negocio?

Recuperación de desastres (correct)

Evaluación de vulnerabilidades

Gestión de proyectos

Planificación estratégica

¿Qué es fundamental entender al defender los sistemas de información?

El concepto de riesgo

¿Qué se busca lograr mediante el manejo de riesgos?

Reducir el riesgo a un nivel aceptable.

¿Qué aspecto del manejo de riesgos se enfoca en las vulnerabilidades de una organización?

Identificación de riesgos

¿Qué elemento del manejo de riesgos se considera menos atendido por las organizaciones?

Riesgos de la cadena de suministro

¿Cuál es la relación entre riesgo y vulnerabilidad en el contexto de la ciberseguridad?

El riesgo es la probabilidad de que una vulnerabilidad sea explotada.

¿Cuál es el propósito principal de la política de gestión de riesgos de sistemas de información (ISRM)?

Establecer el nivel de riesgo aceptable para la organización.

¿Qué debe incluir la política ISRM en relación a la gestión del riesgo?

Los procesos formales de identificación de riesgos.

¿Cómo se relaciona la política ISRM con el proceso de planificación estratégica de la organización?

La política ISRM debe estar conectada con los procesos de planificación estratégica de la organización.

¿Cuál de los siguientes elementos NO es parte del enfoque de la política ISRM?

La creación de un código de comportamiento personal para los empleados.

¿Qué se debe hacer para llevar a cabo correctamente la gestión de riesgos?

Tener un entendimiento integral de la organización y los riesgos a los que se enfrenta.

¿Cuál de los siguientes aspectos es CRUCIAL en la gestión de riesgos según la política ISRM?

El apoyo y compromiso de los líderes senior.

¿Cómo debería estructurarse el equipo de ISRM?

El equipo debe estar delegado con responsabilidades claras y documentadas.

¿Cuál es un componente importante de la política ISRM respecto al riesgo?

El análisis de riesgos debe ser continuo y flexible.

¿Por qué es importante incluir a miembros de varios departamentos en el equipo de evaluación de riesgos?

Porque cada departamento tiene diferentes amenazas y un enfoque único sobre ellas.

¿Cuál es una de las preguntas que debe formularse al evaluar riesgos?

¿Con qué frecuencia podría ocurrir un evento de riesgo?

¿Qué información es esencial para validar la evaluación de riesgos?

Las encuestas internas, entrevistas y talleres.

¿Qué puede suceder si el equipo de evaluación de riesgos carece de miembros de diferentes departamentos?

El equipo puede no comprender completamente las amenazas específicas de cada área.

¿Por qué es problemático delegar tareas de evaluación de riesgos a niveles más bajos dentro de un departamento?

Porque no tienen el mismo nivel de conocimiento que los gerentes.

¿Cuál es el papel de la confianza en la evaluación de riesgos?

Mejorar la calidad de las decisiones sobre los riesgos.

¿Qué se debe hacer si no se puede incluir a todos los departamentos en el equipo de evaluación de riesgos?

Entrevistar a personas de cada departamento para obtener información.

Cuando se evalúan riesgos, ¿qué aspecto se debe considerar para entender su impacto?

La productividad del departamento afectado.

¿Qué representa el término ARO en la ecuación ALE?

Tasa anualizada de ocurrencia

Si el daño potencial de un incendio es de $37,500 y la ARO es 0.1, ¿cuál sería el valor ALE?

$3,750

¿Cuál es un factor importante a considerar al evaluar el riesgo asociado a una amenaza?

La posible pérdida de ingresos por interrupción

¿Qué implica un ARO mayor que 1?

Que la amenaza puede ocurrir varias veces al año

¿Qué criterio no se debe utilizar al determinar cuánto gastar en protección contra amenazas?

Las pérdidas estructurales solamente

¿Qué representa la 'incertidumbre' en el análisis de riesgos?

La falta de confianza en una estimación

Al determinar el ALE, ¿por qué es importante conocer el daño potencial en términos monetarios?

Para poder establecer un presupuesto de seguridad razonable

¿Cuál de las siguientes afirmaciones sobre un equipo de evaluación de riesgos es correcta?

Deben tener diversidad para considerar múltiples factores

¿Qué simboliza el evento OR en la lógica de árboles de fallos?

El evento A ocurre cuando uno o más de los eventos B, C o D suceden.

¿Qué significa el símbolo AND en una lógica de fallos?

El evento D ocurre solo si tanto E como F suceden.

¿Cuál de los siguientes es un ejemplo común de evento de falla de software que se puede analizar?

Alarmas falsas

¿Cuál es la diferencia principal entre un análisis de riesgo cuantitativo y cualitativo?

El análisis cuantitativo asigna valores a los elementos del riesgo para evaluar su impacto.

¿Qué constituye uno de los primeros pasos en un proceso de gestión de riesgos?

Identificar los activos organizacionales a ser evaluados.

¿Qué aspecto del análisis de riesgos cuantitativos se calcula?

La efectividad de los salvaguardias.

¿Cuál de los siguientes pasos se realiza después de recopilar datos en la gestión de riesgos?

Ejecutar el análisis de riesgos.

¿Qué se busca determinar en el proceso de análisis de riesgos?

Los valores monetarios y la probabilidad de eventos adversos.

Study Notes

Conceptos de Gestión de Riesgos

• La gestión de riesgos implica identificar, evaluar y reducir riesgos a un nivel aceptable.
• No existe un ambiente 100% seguro; todos tienen vulnerabilidades y amenazas.
• La gestión adecuada requiere comprensión holística de la organización y sus amenazas.

Políticas de Gestión de Riesgos de Sistemas de Información

• Se necesita un compromiso firme de líderes senior y un proceso documentado para la gestión de riesgos.
• La política de gestión de riesgos de sistemas de información (ISRM) debe alinearse con la política general de gestión de riesgos de la organización.
• Elementos clave de la política ISRM incluyen objetivos del equipo, niveles de riesgo aceptables, y procesos formales de identificación de riesgos.

Evaluación de Riesgos

• Es crucial hacer las preguntas correctas para enfocar la evaluación de riesgos:
  • ¿Qué eventos podrían ocurrir?
  • ¿Cuál podría ser el impacto potencial?
  • ¿Con qué frecuencia podría suceder?
  • ¿Qué nivel de confianza tenemos en las respuestas anteriores?
• La evaluación debe incluir miembros de diversos departamentos para comprender y cuantificar todas las amenazas.

Análisis de Riesgos: Enfoques Cuantitativos y Cualitativos

• El análisis cuantitativo asigna valores monetarios a elementos del proceso de análisis de riesgos.
• La ecuación de Pérdida Esperada Anual (ALE) se utiliza para calcular la cantidad de dinero que debe destinarse a la protección contra amenazas específicas:
  • ALE = Valor de Pérdida Sostenible (SLE) × Tasa Anualizada de Ocurrencia (ARO).
• Ejemplo práctico: Si el daño potencial de un incendio es 37,500ylaprobabilidaddequeocurraes0.1,elALEserıˊa37,500 y la probabilidad de que ocurra es 0.1, el ALE sería 37,500ylaprobabilidaddequeocurraes0.1,elALEserıˊa3,750.

Importancia de la Diversidad en el Equipo de Evaluación de Riesgos

• Un equipo diverso puede prever todos los impactos de un evento, no solo las pérdidas estructurales, sino también los ingresos perdidos, posibles multas y lesiones de empleados.
• La incertidumbre en análisis de riesgos se refiere a la falta de confianza en una estimación, lo que puede afectar la tomada de decisiones.

Gestión de Riesgos en la Cadena de Suministro y Continuidad del Negocio

• La atención a los riesgos en la cadena de suministro es crucial, ya que representan un problema significativo.
• La continuidad del negocio está estrechamente vinculada a la gestión de riesgos, afectando la capacidad de la organización para operar tras un desastre.

Respuesta y Monitoreo de Riesgos

• La gestión continua de riesgos incluye el monitoreo para asegurar que el nivel de riesgo aceptable se mantenga.
• Las decisiones de gestión de riesgos deben basarse en la evaluación y retroalimentación constante sobre los efectos de las decisiones previas.

Description

Este capítulo aborda la gestión de riesgos, incluyendo la evaluación, respuesta y monitoreo de riesgos. También se explora la gestión de riesgos en la cadena de suministro y la continuidad del negocio. Con este conocimiento, podrás entender mejor cómo proteger a tu organización de posibles amenazas.