Gestión de Riesgos de Sistemas de Información

Questions and Answers

¿Cuál de las siguientes es una metodología de evaluación de riesgos conocida?

• NIST SP 800-30 (correct)
• Agile
• ISO/IEC 27001
• CMMI

La gestión del riesgo se refiere solamente a la identificación de amenazas externas.

False (B)

¿Qué es un análisis de falla (FMEA)?

Un método para determinar funciones, identificar fallas funcionales y evaluar las causas y efectos de las fallas.

El proceso de gestionar riesgos busca reducir el riesgo a un nivel __________.

aceptable

Empareja las metodologías de evaluación de riesgos con sus descripciones:

NIST SP 800-30 = Evaluación de riesgos estándar FRAP = Proceso de análisis de riesgo facilitado OCTAVE = Evaluación de amenazas críticas, activos y vulnerabilidades FMEA = Análisis de fallas y efectos

¿Cuál es el enfoque central de la gestión de riesgos?

Cuantificar pérdidas y probabilidades (D)

Un análisis cuantitativo de riesgos es completamente preciso en todos los aspectos.

False (B)

Una __________ es una causa potencial de un incidente no deseado que puede resultar en daño a un sistema.

amenaza

¿Cuál de las siguientes opciones es aceptable para no actuar sobre un riesgo identificado?

Cuando el costo de la contramedida supera el valor del activo y la posible pérdida. (A)

El equipo de BCP debe incluir representantes de todos los departamentos u unidades organizacionales.

True (A)

¿Quiénes deben ser parte del grupo de planificación para un BCP?

Representantes de todos los departamentos o unidades organizacionales.

La respuesta a un desastre debe ser rápida y ________.

honesta

Relaciona la acción con su descripción adecuada:

Planificación = Preparar acciones para enfrentar desastres Respuesta = Actuar rápidamente ante un problema Comunicación = Interacción con partes interesadas externas Evaluación = Identificación de vulnerabilidades y riesgos

¿Cuál de las siguientes afirmaciones describe mejor el análisis de riesgos cualitativo?

Se basa en el juicio y la intuición de expertos. (B)

El análisis automatizado de riesgos incrementa la carga de trabajo manual involucrada en el análisis.

False (B)

¿Qué ecuación se utiliza para calcular la pérdida anualizada esperada (ALE)?

SLE × ARO

La _______________ de los controles es una evaluación de uno o más controles para determinar su eficacia.

evaluación

Relaciona las siguientes categorías de controles con su descripción:

Controles administrativos = Regulaciones y procedimientos internos Controles técnicos = Medidas tecnológicas para proteger activos Controles físicos = Protecciones físicas contra amenazas Controles correctivos = Acciones para corregir incidentes de seguridad

¿Cuál es uno de los principales objetivos del análisis de riesgos?

Identificar activos y asignarles valores. (D)

Los riesgos pueden ser transferidos, evitados, reducidos o aceptados.

True (A)

¿Qué significa la sigla SLE en la gestión de riesgos?

Expectativa de pérdida única

¿Qué respuesta proporciona la verificación del control de seguridad?

¿Hemos implementado el control de manera correcta? (A)

La mejora continua se limita a la identificación de amenazas y no incluye la reducción de desperdicios.

False (B)

¿Cuál es el propósito principal de un Plan de Continuidad del Negocio (BCP)?

Asegurar que las funciones críticas del negocio se mantengan durante un desastre.

El análisis de impacto empresarial (_____) es uno de los primeros pasos más importantes en el desarrollo de un BCP.

BIA

Relaciona los siguientes términos con su definición correcta:

Plan de Continuidad del Negocio (BCP) = Procedimientos para mantener funciones críticas durante desastres Gestión de Continuidad del Negocio (BCM) = Enfoque general para la gestión de BCP y DRP Cambio en la Gestión = Monitoreo de cambios en el entorno Análisis de Impacto Empresarial (BIA) = Evaluación del impacto de un desastre

¿Qué elemento es más crítico para el desarrollo de un BCP?

El apoyo y compromiso del ejecutivo (B)

Los BCP pueden volverse obsoletos rápidamente debido a cambios en el personal y en la organización.

True (A)

¿Qué tipos de amenazas pueden afectar a un negocio?

Naturales, humanas o técnicas.

Flashcards

Gestión de riesgos

El proceso de identificar y evaluar los riesgos, reducirlos a un nivel aceptable y asegurar que permanezcan en ese nivel.

Política de gestión de riesgos de sistemas de información (ISRM)

Proporciona la base y la dirección para los procesos y procedimientos de gestión de riesgos de seguridad de la organización, abordando todos los aspectos de la seguridad de la información.

Amenaza

Una causa potencial de un incidente no deseado, que puede causar daño a un sistema u organización.

Metodologías de evaluación de riesgos

Diferentes enfoques para evaluar riesgos, incluyendo NIST SP 800-30, FRAP, OCTAVE y FMEA.

Análisis de modos y efectos de fallas (FMEA)

Método para determinar funciones, identificar fallas funcionales y evaluar las causas de fallas y sus efectos a través de un proceso estructurado.

Análisis cualitativo de riesgos

Evalúa riesgos sin asignar valores monetarios precisos, enfocado en la probabilidad y el impacto.

Análisis cuantitativo de riesgos

Intenta asignar valores monetarios a los componentes del análisis, calculando la probabilidad y el costo potencial.

Análisis de árboles de fallas

Enfoque útil para detectar fallas en sistemas y entornos complejos.

¿Qué es el análisis de riesgos cualitativo?

Un método de análisis de riesgos que utiliza el juicio y la intuición en lugar de números para evaluar las amenazas.

Análisis de riesgos, objetivos principales

Identificar activos, vulnerabilidades y amenazas; cuantificar el impacto y encontrar un equilibrio económico entre el impacto del riesgo y el costo de las protecciones.

SLE × ARO = ALE

Fórmula para calcular la expectativa de pérdida anualizada (ALE). SLE = expectativa de pérdida única, ARO = frecuencia de ocurrencia anual.

Qué incluye un equipo de gestión de riesgos?

Personas de diferentes departamentos de la organización, no solo personal técnico, con experiencia y educación.

Cómo se puede manejar el riesgo?

Transferirlo, evitarlo, reducirlo o aceptarlo.

Riesgo total (fórmula)

(Amenazas × vulnerabilidad × valor del activo).

¿Qué es un control?

Acciones para reducir el impacto de un riesgo. Tipos: administrativos, técnicos y físicos; preventivos, detectivos, correctivos, disuasivos, de recuperación y compensatorios.

Evaluación de control

Evaluación de la implementación correcta, funcionamiento y resultados deseados de uno o más controles.

¿Cuándo es aceptable no tomar medidas ante un riesgo identificado?

Cuando el costo de la contramedida supera el valor del activo y la posible pérdida.

Preparación de planes de continuidad del negocio (BCP)

Los planes deben ser preparados por las personas que los ejecutarán, incluyendo representantes de todos los departamentos.

Equipo de respuesta a desastres (BCP)

Debe identificar a las personas que interactuarán con partes externas, como reporteros, accionistas, clientes y funcionarios cívicos.

Respuesta a desastres

Debe ser rápida, honesta y consistente con cualquier otra respuesta organizacional.

Mitigación de riesgos

Implica abordar y reducir todos los riesgos a través del entendimiento de regulaciones, identificación de vulnerabilidades y proponer soluciones.

Verificación de controles de seguridad

Proceso que responde a la pregunta: ¿Implementamos el control correctamente?

Validación de controles de seguridad

Proceso que responde a la pregunta: ¿Implementamos el control correcto?

Monitoreo de riesgos

Proceso continuo para agregar, reevaluar, eliminar y evaluar la eficacia de los controles para mitigar los riesgos a niveles tolerables.

Plan de continuidad del negocio (BCP)

Documento que detalla procedimientos para asegurar el mantenimiento de funciones críticas del negocio y minimizar pérdidas.

Gestión de la cadena de suministro

Sección de proveedores involucrados en la entrega de un producto.

Gestión de la continuidad empresarial (GCE)

Enfoque general para la gestión de todas las partes del BCP y el DRP.

Análisis de impacto empresarial (AIE)

Paso inicial crucial en el desarrollo de un plan de continuidad del negocio. Implica recopilar, analizar e interpretar datos cualitativos y cuantitativos sobre el impacto de un desastre en el negocio.

Mejora continua

Práctica de identificar oportunidades, mitigar amenazas, mejorar la calidad y reducir el desperdicio como un esfuerzo continuo.

Study Notes

Chapter Review

• Risk management is the process of identifying, assessing, reducing risk to an acceptable level, and ensuring it remains at that level.
• An ISRM (Information Systems Risk Management) policy establishes the framework for security risk management processes and procedures, addressing all aspects of information security.
• A threat is a potential cause of an unwanted event that can harm a system or organization.
• Key risk assessment methodologies include NIST SP 800-30, FRAP (Facilitated Risk Analysis Process), OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation), and FMEA (Failure Modes and Effects Analysis).
• FMEA is a structured method to determine system functions, identify potential failures, and analyze their causes and effects.
• Fault tree analysis helps to identify failures in complex systems and environments.
• Quantitative risk analysis assigns monetary values to assets in the analysis, while qualitative analysis uses judgment and experience instead of numerical values.
• Qualitative risk analysis relies on expert experience to assess probabilities, potential losses, and the severity of threats.
• SLE x ARO = ALE (Single Loss Expectancy x Annualized Rate of Occurrence = Annualized Loss Expectancy).

Quick Review

• Risk management seeks to identify risks, assess their impact, and implement controls.
• Risk management controls encompass administrative, technical, and physical measures.
• Four risk assessment methodologies are mentioned: NIST SP 800-30, FRAP, OCTAVE, and FMEA.
• FMEA is a technique for analyzing potential failures by examining possible causes and their consequences.

Risk Management (Chapter 2)

• The main goals of risk analysis involve identifying assets, assigning values, identifying vulnerabilities and threats, quantifying the impact, and balancing risk with the cost of mitigation.
• Risk analysis should acknowledge uncertainty, impacting the confidence in findings.
• Automated risk analysis tools reduce manual work and estimate future losses.
• Risk management teams should include personnel from different organizational departments.
• Risk can be transferred, avoided, reduced, or accepted.
• Threats multiplied by vulnerability and asset values equal total risk; multiplying again by controls gap equals residual risk.
• Risk controls are categorised as administrative, technical, and physical.
• Control assessments evaluate controls' implementation correctness, effectiveness, and desired outcomes.
• Security controls are verified (did we implement correctly?) and validated (did we implement the right control?).
• Continuous risk monitoring is vital for identifying, assessing, and controlling risk.
• Change management addresses risks introduced by environmental changes.
• Continuous improvement in procedures and processes is crucial.
• Business Continuity Management (BCM) encompasses strategies for BCP and DRP (Disaster Recovery Plan).
• A BCP defines procedures for emergency responses, extended backups, and post-disaster recovery.
• A BCP should encompass the whole organization, prioritize critical applications, and require executive support.
• Threats can be natural, man-made, or technical and include business impact analysis (BIA).

Questions

• Risk management should address all identified risks.
• Risk mitigation should commence when the cost of the countermeasure does not exceed the asset value and potential loss.