Gestión de Riesgos y Seguridad de la Información
41 Questions
0 Views

Choose a study mode

Play Quiz
Study Flashcards
Spaced Repetition
Chat to lesson

Podcast

Play an AI-generated podcast conversation about this lesson

Questions and Answers

¿Cuál de las siguientes opciones se centra en la evaluación del riesgo?

  • CIS Controls
  • NIST RMF
  • OCTAVE (correct)
  • ISO/IEC 27005
  • ¿Qué marco se utiliza principalmente en conjunto con la serie de normas ISO/IEC 27000?

  • NIST SP 800-53
  • ISO/IEC 27005 (correct)
  • FAIR
  • NIST Cybersecurity Framework
  • ¿Qué enfoque proporciona un catálogo de controles para la protección de sistemas federales de EE. UU.?

  • COBIT 2019
  • NIST SP 800-53 (correct)
  • Zachman Framework
  • CIS Controls
  • ¿Qué modelo se desarrolló por John Zachman?

    <p>Zachman Framework</p> Signup and view all the answers

    ¿Cuál de los siguientes marcos se desarrolló en respuesta a la necesidad de asegurar sistemas gubernamentales?

    <p>NIST Cybersecurity Framework</p> Signup and view all the answers

    ¿Qué marco se considera una de las aproximaciones más simples para seleccionar y aplicar controles?

    <p>CIS Controls</p> Signup and view all the answers

    ¿Cuál de estos marcos se centra en medir las probabilidades de incidentes y sus impactos?

    <p>FAIR</p> Signup and view all the answers

    ¿Cuál de las siguientes opciones es un marco de gestión y gobernanza de TI desarrollado por ISACA?

    <p>COBIT 2019</p> Signup and view all the answers

    ¿Cuál es una de las familia de controles bajo los CIS mencionada en el contenido?

    <p>Controles de Protección de Datos</p> Signup and view all the answers

    ¿Cuántos subcontroles tiene la familia de controles mencionada en el contenido?

    <p>171</p> Signup and view all the answers

    El control 13 de Protección de Datos incluye cuáles de los siguientes subcontroles?

    <p>Monitorear el tráfico de red no autorizado</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones es correcta sobre los controles CIS?

    <p>Los controles son flexibles según los recursos de la organización.</p> Signup and view all the answers

    ¿Qué subcontrol está relacionado con la gestión de dispositivos USB?

    <p>13.7 Gestionar dispositivos USB</p> Signup and view all the answers

    Cuál de las siguientes opciones describe mejor el control 13.8?

    <p>Gestionar la configuración de lectura/escritura de medios removibles externos</p> Signup and view all the answers

    ¿Qué subcontrol se encarga de la encriptación de datos en dispositivos de almacenamiento USB?

    <p>13.9 Cifrar datos en dispositivos de almacenamiento USB</p> Signup and view all the answers

    ¿Qué aspecto de los controles CIS es fundamental para su implementación efectiva?

    <p>La disponibilidad de recursos en la organización.</p> Signup and view all the answers

    ¿Cuáles son los grupos de implementación que se mencionan en los subcontroles?

    <p>IG1, IG2, IG3</p> Signup and view all the answers

    ¿Cuál es la preocupación principal de los grupos de implementación más pequeños?

    <p>Asegurarse de que el negocio siga funcionando.</p> Signup and view all the answers

    ¿Qué categoría de controles se centra en las personas y procesos para mejorar la ciberseguridad?

    <p>Controles organizacionales.</p> Signup and view all the answers

    ¿Cuál de las siguientes afirmaciones describe mejor el Grupo de Implementación 2?

    <p>Incluye organizaciones con múltiples departamentos y preocupación por la pérdida de confianza pública.</p> Signup and view all the answers

    ¿Qué es COBIT 2019?

    <p>Un marco para la gobernanza y gestión de la tecnología de la información.</p> Signup and view all the answers

    ¿Qué enfoque tienen los controles básicos?

    <p>Deben ser implementados por todas las organizaciones para alcanzar la seguridad mínima.</p> Signup and view all the answers

    Un ataque exitoso contra organizaciones del Grupo de Implementación 3 puede causar:

    <p>Daños significativos al bienestar público.</p> Signup and view all the answers

    ¿Cuál es uno de los objetivos principales de los grupos de implementación?

    <p>Asegurar que los recursos se concentren en los requisitos más críticos.</p> Signup and view all the answers

    ¿Cuál es la principal preocupación de las organizaciones en el Grupo de Implementación 1?

    <p>Mantener la operación del negocio ante un ciberataque.</p> Signup and view all the answers

    Qué tipo de malentendidos suelen surgir entre las personas de negocios y el departamento de TI?

    <p>Los negocios no entienden las especificaciones técnicas necesarias.</p> Signup and view all the answers

    Cuál es una consecuencia de la confusión entre las personas de negocio y el departamento de TI?

    <p>Recompra de nuevas soluciones y pérdida de tiempo.</p> Signup and view all the answers

    Cuál es el propósito de las arquitecturas empresariales?

    <p>Permitir que ambas partes vean la organización de manera comprensible.</p> Signup and view all the answers

    Qué representa el Zachman Framework en el contexto de las arquitecturas empresariales?

    <p>Un marco genérico adecuado para el trabajo en sistemas de información.</p> Signup and view all the answers

    Cómo se describe la relación entre los especialistas en una empresa y en el campo médico?

    <p>Ambos deben entender el cuerpo humano o la organización como un todo.</p> Signup and view all the answers

    Qué se puede perder si no se optimiza la funcionalidad empresarial?

    <p>Oportunidades de negocio y participación en el mercado.</p> Signup and view all the answers

    Cuál de las siguientes no es una vista que proporciona el marco de la arquitectura empresarial?

    <p>El enfoque financiero de la empresa.</p> Signup and view all the answers

    Qué tipo de soluciones incorrectas se pueden implementar debido a los malentendidos entre las áreas?

    <p>Soluciones que ignoran las especificaciones técnicas.</p> Signup and view all the answers

    ¿Qué tipo de nueva información debe ser recopilada y procesada al implementar un nuevo sistema?

    <p>Si se requieren nuevos elementos de datos</p> Signup and view all the answers

    ¿Qué función cumple la arquitectura empresarial en una organización?

    <p>Identificar cómo los cambios en un componente pueden afectar a otros</p> Signup and view all the answers

    ¿Cuándo se deben considerar los nuevos dispositivos de red?

    <p>Si se modifican o añaden nuevas aplicaciones</p> Signup and view all the answers

    ¿Cómo se puede utilizar la arquitectura en un proceso de renovación tecnológica?

    <p>Para asegurar que los nuevos sistemas soporten todas las funciones necesarias</p> Signup and view all the answers

    ¿Qué revela la arquitectura sobre una organización?

    <p>Que opera como un organismo completo</p> Signup and view all the answers

    ¿Qué se debe evaluar al añadir una nueva función de negocio?

    <p>Los cambios necesarios en la arquitectura existente</p> Signup and view all the answers

    ¿Cuál es una de las preguntas clave al considerar nuevas aplicaciones?

    <p>Si se necesitan comprar nuevas aplicaciones o modificar las existentes</p> Signup and view all the answers

    ¿Qué aspecto es fundamental para asegurar una buena integración tecnológica?

    <p>Identificar todos los estándares y regulaciones pertinentes</p> Signup and view all the answers

    Study Notes

    Gestión de Riesgos

    • NIST RMF: Marco de Gestión de Riesgos desarrollado por el Instituto Nacional de Estándares y Tecnología, incluye las publicaciones especiales 800-39, 800-37 y 800-30.
    • ISO/IEC 27005: Enfocado en el tratamiento del riesgo, se usa junto con las normas de la serie ISO/IEC 27000.
    • OCTAVE: Evaluación de Amenazas Críticas Operativas, desarrollada en la Universidad Carnegie Mellon, centrada en la evaluación de riesgos.
    • FAIR: Análisis de Riesgo de Información del Instituto FAIR, que mide con precisión las probabilidades de incidentes y sus impactos.

    Programas de Seguridad

    • Serie ISO/IEC 27000: Conjunto de estándares internacionales para desarrollar y mantener un Sistema de Gestión de Seguridad de la Información (ISMS).
    • Marco de Ciberseguridad NIST: Desarrollado para asegurar sistemas gubernamentales, amplio y compuesto para la seguridad de la información basada en riesgos.

    Controles de Seguridad

    • NIST SP 800-53: Publicación que ofrece un catálogo de controles y un proceso para su selección, enfocado en proteger sistemas federales de EE. UU.
    • Controles CIS: Proporciona un enfoque simple para seleccionar e implementar controles adecuados en organizaciones de diversos tamaños.
    • COBIT 2019: Marco para la gobernanza y gestión de IT desarrollado por ISACA, que optimiza el valor de IT equilibrando recursos, riesgos y beneficios.

    Arquitectura Empresarial

    • Zachman Framework: Modelo para el desarrollo de arquitecturas empresariales creado por John Zachman.
    • TOGAF: Marco de la Open Group para el desarrollo de arquitecturas empresariales, proporciona metodología y estructura.

    Respuesta a Incidentes y Gestión

    • Los controles de CIS son agrupados en tres categorías:
      • Básicos: Controles esenciales que toda organización debe implementar.
      • Fundacionales: Mejores prácticas técnicas para mejorar la seguridad.
      • Organizacionales: Enfocados en personas y procesos para mantener y mejorar la ciberseguridad.

    Grupos de Implementación

    • Grupo de Implementación 1: Organizaciones pequeñas a medianas con recursos limitados, con datos de baja sensibilidad.
    • Grupo de Implementación 2: Organizaciones más grandes que manejan información sensible y cumplen regulaciones.
    • Grupo de Implementación 3: Grandes organizaciones con expertos en seguridad, manejando información crítica.

    Subcontroles de Protección de Datos

    • Ejemplos de subcontroles bajo el control 13 (Protección de Datos) incluyen:
      • Mantener un inventario de información sensible.
      • Monitorear y bloquear tráfico de red no autorizado.
      • Cifrar datos en dispositivos móviles y en dispositivos USB.

    Importancia de la Arquitectura Empresarial

    • Permite a las organizaciones entender el impacto en sus componentes internos y facilita la comunicación entre departamentos de negocio y tecnología.
    • Diferentes perspectivas dentro de la misma organización ayudan a optimizar la funcionalidad de negocio y evitar confusiones.

    Studying That Suits You

    Use AI to generate personalized quizzes and flashcards to suit your learning preferences.

    Quiz Team

    Related Documents

    CISSP ALL-IN-ONE-9e Cap 4.pdf

    Description

    Este cuestionario abarca conceptos fundamentales sobre la gestión de riesgos y los estándares de seguridad de la información, incluyendo NIST RMF, ISO/IEC 27005, OCTAVE y FAIR. También se revisan programas de seguridad y controles recomendados como NIST SP 800-53. Ideal para profesionales y estudiantes interesados en ciberseguridad y gestión de riesgos.

    More Like This

    Use Quizgecko on...
    Browser
    Browser