Gestión de Riesgos de Sistemas de Información

Questions and Answers

¿Cuál de las siguientes es una metodología de evaluación de riesgos conocida?

NIST SP 800-30 (correct)

Agile

ISO/IEC 27001

CMMI

La gestión del riesgo se refiere solamente a la identificación de amenazas externas.

False

¿Qué es un análisis de falla (FMEA)?

Un método para determinar funciones, identificar fallas funcionales y evaluar las causas y efectos de las fallas.

El proceso de gestionar riesgos busca reducir el riesgo a un nivel __________.

aceptable

Empareja las metodologías de evaluación de riesgos con sus descripciones:

NIST SP 800-30 = Evaluación de riesgos estándar FRAP = Proceso de análisis de riesgo facilitado OCTAVE = Evaluación de amenazas críticas, activos y vulnerabilidades FMEA = Análisis de fallas y efectos

¿Cuál es el enfoque central de la gestión de riesgos?

Cuantificar pérdidas y probabilidades

Un análisis cuantitativo de riesgos es completamente preciso en todos los aspectos.

False

Una __________ es una causa potencial de un incidente no deseado que puede resultar en daño a un sistema.

amenaza

¿Cuál de las siguientes opciones es aceptable para no actuar sobre un riesgo identificado?

Cuando el costo de la contramedida supera el valor del activo y la posible pérdida.

El equipo de BCP debe incluir representantes de todos los departamentos u unidades organizacionales.

True

¿Quiénes deben ser parte del grupo de planificación para un BCP?

Representantes de todos los departamentos o unidades organizacionales.

La respuesta a un desastre debe ser rápida y ________.

honesta

Relaciona la acción con su descripción adecuada:

Planificación = Preparar acciones para enfrentar desastres Respuesta = Actuar rápidamente ante un problema Comunicación = Interacción con partes interesadas externas Evaluación = Identificación de vulnerabilidades y riesgos

¿Cuál de las siguientes afirmaciones describe mejor el análisis de riesgos cualitativo?

Se basa en el juicio y la intuición de expertos.

El análisis automatizado de riesgos incrementa la carga de trabajo manual involucrada en el análisis.

False

¿Qué ecuación se utiliza para calcular la pérdida anualizada esperada (ALE)?

SLE × ARO

La _______________ de los controles es una evaluación de uno o más controles para determinar su eficacia.

evaluación

Relaciona las siguientes categorías de controles con su descripción:

Controles administrativos = Regulaciones y procedimientos internos Controles técnicos = Medidas tecnológicas para proteger activos Controles físicos = Protecciones físicas contra amenazas Controles correctivos = Acciones para corregir incidentes de seguridad

¿Cuál es uno de los principales objetivos del análisis de riesgos?

Identificar activos y asignarles valores.

Los riesgos pueden ser transferidos, evitados, reducidos o aceptados.

True

¿Qué significa la sigla SLE en la gestión de riesgos?

Expectativa de pérdida única

¿Qué respuesta proporciona la verificación del control de seguridad?

¿Hemos implementado el control de manera correcta?

La mejora continua se limita a la identificación de amenazas y no incluye la reducción de desperdicios.

False

¿Cuál es el propósito principal de un Plan de Continuidad del Negocio (BCP)?

Asegurar que las funciones críticas del negocio se mantengan durante un desastre.

El análisis de impacto empresarial (_____) es uno de los primeros pasos más importantes en el desarrollo de un BCP.

BIA

Relaciona los siguientes términos con su definición correcta:

Plan de Continuidad del Negocio (BCP) = Procedimientos para mantener funciones críticas durante desastres Gestión de Continuidad del Negocio (BCM) = Enfoque general para la gestión de BCP y DRP Cambio en la Gestión = Monitoreo de cambios en el entorno Análisis de Impacto Empresarial (BIA) = Evaluación del impacto de un desastre

¿Qué elemento es más crítico para el desarrollo de un BCP?

El apoyo y compromiso del ejecutivo

Los BCP pueden volverse obsoletos rápidamente debido a cambios en el personal y en la organización.

True

¿Qué tipos de amenazas pueden afectar a un negocio?

Naturales, humanas o técnicas.

Study Notes

Chapter Review

• Risk management is the process of identifying, assessing, reducing risk to an acceptable level, and ensuring it remains at that level.
• An ISRM (Information Systems Risk Management) policy establishes the framework for security risk management processes and procedures, addressing all aspects of information security.
• A threat is a potential cause of an unwanted event that can harm a system or organization.
• Key risk assessment methodologies include NIST SP 800-30, FRAP (Facilitated Risk Analysis Process), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), and FMEA (Failure Modes and Effects Analysis).
• FMEA is a structured method to determine system functions, identify potential failures, and analyze their causes and effects.
• Fault tree analysis helps to identify failures in complex systems and environments.
• Quantitative risk analysis assigns monetary values to assets in the analysis, while qualitative analysis uses judgment and experience instead of numerical values.
• Qualitative risk analysis relies on expert experience to assess probabilities, potential losses, and the severity of threats.
• SLE x ARO = ALE (Single Loss Expectancy x Annualized Rate of Occurrence = Annualized Loss Expectancy).

Quick Review

• Risk management seeks to identify risks, assess their impact, and implement controls.
• Risk management controls encompass administrative, technical, and physical measures.
• Four risk assessment methodologies are mentioned: NIST SP 800-30, FRAP, OCTAVE, and FMEA.
• FMEA is a technique for analyzing potential failures by examining possible causes and their consequences.

Risk Management (Chapter 2)

• The main goals of risk analysis involve identifying assets, assigning values, identifying vulnerabilities and threats, quantifying the impact, and balancing risk with the cost of mitigation.
• Risk analysis should acknowledge uncertainty, impacting the confidence in findings.
• Automated risk analysis tools reduce manual work and estimate future losses.
• Risk management teams should include personnel from different organizational departments.
• Risk can be transferred, avoided, reduced, or accepted.
• Threats multiplied by vulnerability and asset values equal total risk; multiplying again by controls gap equals residual risk.
• Risk controls are categorised as administrative, technical, and physical.
• Control assessments evaluate controls' implementation correctness, effectiveness, and desired outcomes.
• Security controls are verified (did we implement correctly?) and validated (did we implement the right control?).
• Continuous risk monitoring is vital for identifying, assessing, and controlling risk.
• Change management addresses risks introduced by environmental changes.
• Continuous improvement in procedures and processes is crucial.
• Business Continuity Management (BCM) encompasses strategies for BCP and DRP (Disaster Recovery Plan).
• A BCP defines procedures for emergency responses, extended backups, and post-disaster recovery.
• A BCP should encompass the whole organization, prioritize critical applications, and require executive support.
• Threats can be natural, man-made, or technical and include business impact analysis (BIA).

Questions

• Risk management should address all identified risks.
• Risk mitigation should commence when the cost of the countermeasure does not exceed the asset value and potential loss.

Description

Este cuestionario revisa los conceptos clave en la gestión de riesgos dentro de los sistemas de información. Se aborda la identificación y evaluación de riesgos, así como las metodologías de análisis de riesgos como FMEA y OCTAVE. Ideal para estudiantes o profesionales que buscan entender mejor la seguridad de la información.