Gestión de Riesgos y Seguridad de la Información

Questions and Answers

¿Cuál de las siguientes opciones se centra en la evaluación del riesgo?

CIS Controls

NIST RMF

OCTAVE (correct)

ISO/IEC 27005

¿Qué marco se utiliza principalmente en conjunto con la serie de normas ISO/IEC 27000?

NIST SP 800-53

ISO/IEC 27005 (correct)

FAIR

NIST Cybersecurity Framework

¿Qué enfoque proporciona un catálogo de controles para la protección de sistemas federales de EE. UU.?

COBIT 2019

NIST SP 800-53 (correct)

Zachman Framework

CIS Controls

¿Qué modelo se desarrolló por John Zachman?

Zachman Framework

¿Cuál de los siguientes marcos se desarrolló en respuesta a la necesidad de asegurar sistemas gubernamentales?

NIST Cybersecurity Framework

¿Qué marco se considera una de las aproximaciones más simples para seleccionar y aplicar controles?

CIS Controls

¿Cuál de estos marcos se centra en medir las probabilidades de incidentes y sus impactos?

FAIR

¿Cuál de las siguientes opciones es un marco de gestión y gobernanza de TI desarrollado por ISACA?

COBIT 2019

¿Cuál es una de las familia de controles bajo los CIS mencionada en el contenido?

Controles de Protección de Datos

¿Cuántos subcontroles tiene la familia de controles mencionada en el contenido?

171

El control 13 de Protección de Datos incluye cuáles de los siguientes subcontroles?

Monitorear el tráfico de red no autorizado

¿Cuál de las siguientes afirmaciones es correcta sobre los controles CIS?

Los controles son flexibles según los recursos de la organización.

¿Qué subcontrol está relacionado con la gestión de dispositivos USB?

13.7 Gestionar dispositivos USB

Cuál de las siguientes opciones describe mejor el control 13.8?

Gestionar la configuración de lectura/escritura de medios removibles externos

¿Qué subcontrol se encarga de la encriptación de datos en dispositivos de almacenamiento USB?

13.9 Cifrar datos en dispositivos de almacenamiento USB

¿Qué aspecto de los controles CIS es fundamental para su implementación efectiva?

La disponibilidad de recursos en la organización.

¿Cuáles son los grupos de implementación que se mencionan en los subcontroles?

IG1, IG2, IG3

¿Cuál es la preocupación principal de los grupos de implementación más pequeños?

Asegurarse de que el negocio siga funcionando.

¿Qué categoría de controles se centra en las personas y procesos para mejorar la ciberseguridad?

Controles organizacionales.

¿Cuál de las siguientes afirmaciones describe mejor el Grupo de Implementación 2?

Incluye organizaciones con múltiples departamentos y preocupación por la pérdida de confianza pública.

¿Qué es COBIT 2019?

Un marco para la gobernanza y gestión de la tecnología de la información.

¿Qué enfoque tienen los controles básicos?

Deben ser implementados por todas las organizaciones para alcanzar la seguridad mínima.

Un ataque exitoso contra organizaciones del Grupo de Implementación 3 puede causar:

Daños significativos al bienestar público.

¿Cuál es uno de los objetivos principales de los grupos de implementación?

Asegurar que los recursos se concentren en los requisitos más críticos.

¿Cuál es la principal preocupación de las organizaciones en el Grupo de Implementación 1?

Mantener la operación del negocio ante un ciberataque.

Qué tipo de malentendidos suelen surgir entre las personas de negocios y el departamento de TI?

Los negocios no entienden las especificaciones técnicas necesarias.

Cuál es una consecuencia de la confusión entre las personas de negocio y el departamento de TI?

Recompra de nuevas soluciones y pérdida de tiempo.

Cuál es el propósito de las arquitecturas empresariales?

Permitir que ambas partes vean la organización de manera comprensible.

Qué representa el Zachman Framework en el contexto de las arquitecturas empresariales?

Un marco genérico adecuado para el trabajo en sistemas de información.

Cómo se describe la relación entre los especialistas en una empresa y en el campo médico?

Ambos deben entender el cuerpo humano o la organización como un todo.

Qué se puede perder si no se optimiza la funcionalidad empresarial?

Oportunidades de negocio y participación en el mercado.

Cuál de las siguientes no es una vista que proporciona el marco de la arquitectura empresarial?

El enfoque financiero de la empresa.

Qué tipo de soluciones incorrectas se pueden implementar debido a los malentendidos entre las áreas?

Soluciones que ignoran las especificaciones técnicas.

¿Qué tipo de nueva información debe ser recopilada y procesada al implementar un nuevo sistema?

Si se requieren nuevos elementos de datos

¿Qué función cumple la arquitectura empresarial en una organización?

Identificar cómo los cambios en un componente pueden afectar a otros

¿Cuándo se deben considerar los nuevos dispositivos de red?

Si se modifican o añaden nuevas aplicaciones

¿Cómo se puede utilizar la arquitectura en un proceso de renovación tecnológica?

Para asegurar que los nuevos sistemas soporten todas las funciones necesarias

¿Qué revela la arquitectura sobre una organización?

Que opera como un organismo completo

¿Qué se debe evaluar al añadir una nueva función de negocio?

Los cambios necesarios en la arquitectura existente

¿Cuál es una de las preguntas clave al considerar nuevas aplicaciones?

Si se necesitan comprar nuevas aplicaciones o modificar las existentes

¿Qué aspecto es fundamental para asegurar una buena integración tecnológica?

Identificar todos los estándares y regulaciones pertinentes

Study Notes

Gestión de Riesgos

• NIST RMF: Marco de Gestión de Riesgos desarrollado por el Instituto Nacional de Estándares y Tecnología, incluye las publicaciones especiales 800-39, 800-37 y 800-30.
• ISO/IEC 27005: Enfocado en el tratamiento del riesgo, se usa junto con las normas de la serie ISO/IEC 27000.
• OCTAVE: Evaluación de Amenazas Críticas Operativas, desarrollada en la Universidad Carnegie Mellon, centrada en la evaluación de riesgos.
• FAIR: Análisis de Riesgo de Información del Instituto FAIR, que mide con precisión las probabilidades de incidentes y sus impactos.

Programas de Seguridad

• Serie ISO/IEC 27000: Conjunto de estándares internacionales para desarrollar y mantener un Sistema de Gestión de Seguridad de la Información (ISMS).
• Marco de Ciberseguridad NIST: Desarrollado para asegurar sistemas gubernamentales, amplio y compuesto para la seguridad de la información basada en riesgos.

Controles de Seguridad

• NIST SP 800-53: Publicación que ofrece un catálogo de controles y un proceso para su selección, enfocado en proteger sistemas federales de EE. UU.
• Controles CIS: Proporciona un enfoque simple para seleccionar e implementar controles adecuados en organizaciones de diversos tamaños.
• COBIT 2019: Marco para la gobernanza y gestión de IT desarrollado por ISACA, que optimiza el valor de IT equilibrando recursos, riesgos y beneficios.

Arquitectura Empresarial

• Zachman Framework: Modelo para el desarrollo de arquitecturas empresariales creado por John Zachman.
• TOGAF: Marco de la Open Group para el desarrollo de arquitecturas empresariales, proporciona metodología y estructura.

Respuesta a Incidentes y Gestión

• Los controles de CIS son agrupados en tres categorías:
  • Básicos: Controles esenciales que toda organización debe implementar.
  • Fundacionales: Mejores prácticas técnicas para mejorar la seguridad.
  • Organizacionales: Enfocados en personas y procesos para mantener y mejorar la ciberseguridad.

Grupos de Implementación

• Grupo de Implementación 1: Organizaciones pequeñas a medianas con recursos limitados, con datos de baja sensibilidad.
• Grupo de Implementación 2: Organizaciones más grandes que manejan información sensible y cumplen regulaciones.
• Grupo de Implementación 3: Grandes organizaciones con expertos en seguridad, manejando información crítica.

Subcontroles de Protección de Datos

• Ejemplos de subcontroles bajo el control 13 (Protección de Datos) incluyen:
  • Mantener un inventario de información sensible.
  • Monitorear y bloquear tráfico de red no autorizado.
  • Cifrar datos en dispositivos móviles y en dispositivos USB.

Importancia de la Arquitectura Empresarial

• Permite a las organizaciones entender el impacto en sus componentes internos y facilita la comunicación entre departamentos de negocio y tecnología.
• Diferentes perspectivas dentro de la misma organización ayudan a optimizar la funcionalidad de negocio y evitar confusiones.

Description

Este cuestionario abarca conceptos fundamentales sobre la gestión de riesgos y los estándares de seguridad de la información, incluyendo NIST RMF, ISO/IEC 27005, OCTAVE y FAIR. También se revisan programas de seguridad y controles recomendados como NIST SP 800-53. Ideal para profesionales y estudiantes interesados en ciberseguridad y gestión de riesgos.