Marco de Arquitectura SABSA

Questions and Answers

¿Cuál es la definición de 'baseline' en el contexto de la gestión de cambios?

• Un estándar que debe ser seguido rigurosamente.
• Un conjunto de procedimientos recomendados.
• Un procedimiento específico a seguir para la protección de datos.
• Un punto en el tiempo utilizado como comparación. (correct)

¿Qué distingue a un baseline de un estándar?

• Los baselines son desarrollados por organismos de estándares, los estándares son internos.
• Los baselines son opcionales, mientras que los estándares son obligatorios.
• Los baselines son puntos de comparación en el tiempo, los estándares son reglas que deben seguirse. (correct)
• No hay diferencia, son términos intercambiables.

¿Cómo se debe interpretar el término 'baseline' en la gestión de cambios?

• Un estado temporal que refleja normas a nivel organizacional. (correct)
• Una recomendación que se puede ignorar.
• Un marco rígido que no permite modificaciones.
• Una cifra específica de comparación económica.

¿Cuál de las siguientes afirmaciones es correcta acerca de los baselines?

Los baselines pueden cambiar con el tiempo y son puntos de referencia. (A)

¿Cuál es el propósito de un baseline en el contexto de los datos?

Proporcionar un punto de partida para medir cambios futuros. (A)

¿En qué contexto puede cambiar un baseline?

Cuando se implementan nuevas políticas de seguridad. (A)

Los baselines son utilizados principalmente para:

Medir y comparar cambios a lo largo del tiempo. (A)

Cuando se dice que un baseline es un 'punto de comparación', se está refiriendo a:

Un estado en el tiempo en relación con cambios futuros. (A)

¿Cuál es el propósito principal de implementar un contramedida en una organización?

Reducir el riesgo asociado a vulnerabilidades. (D)

¿Cuál de las siguientes opciones se considera una contramedida efectiva?

Instalar antimalware y mantener actualizadas las firmas. (C)

¿Qué representa una vulnerabilidad dentro de una organización?

Un aspecto de seguridad que no está adecuadamente gestionado. (B)

¿Qué se entiende por 'riesgo' en el contexto de la seguridad organizacional?

La posibilidad de que un agente de amenaza utilice malware. (B)

¿Qué se puede hacer para mitigar el riesgo de malware en una organización?

Actualizar las firmas del software antimalware regularmente. (B)

¿Cómo se relacionan los términos control, contramedida y salvaguarda?

Son sinónimos y se utilizan para describir mecanismos de reducción de riesgos. (A)

¿Cuál de las siguientes opciones es una acción de prevención contra incendios que no se consideraría una contramedida?

No llevar a cabo mantenimiento a los equipos eléctricos. (D)

¿Cuál de las siguientes acciones no ayuda a la protección contra vulnerabilidades?

Utilizar contraseñas débiles para facilitar el acceso. (C)

¿Cuál es el principal objetivo del modelo de negocio en el nivel contextual?

Identificar el riesgo empresarial. (D)

En el nivel conceptual, ¿cuál es el enfoque principal?

Describir los objetivos de seguridad. (D)

En el nivel lógico, ¿qué aspecto es crítico para la gestión de la seguridad?

El perfil de la entidad de seguridad. (C)

¿Qué se define en el modelo de datos físico en términos de seguridad?

Las reglas y procedimientos de seguridad. (B)

¿Cuál es la función de los estándares de seguridad en el nivel de componentes?

Detallar productos y herramientas de seguridad. (A)

¿Qué aspecto gestionan las operaciones en el nivel operativo?

La garantía de la continuidad operativa. (C)

En el contexto de la geografía empresarial, ¿qué representa principalmente el modelo de seguridad?

Las ubicaciones de las operaciones específicas. (B)

¿Cuál es uno de los principales objetivos de la estrategia de seguridad en el proceso de gestión?

Asegurar la correcta gestión de servicios. (A)

¿Qué aspecto se considera al gestionar los ciclos de procesamiento de seguridad?

Las dependencias de tiempo en la seguridad. (D)

En el marco de referencia de SABSA, ¿a qué se refiere el modelo conceptual?

A los atributos de negocio. (C)

¿Cuál es la principal responsabilidad de los CFO y CEO en relación con los interesados?

Divulgar la condición financiera y salud de la empresa. (A)

¿Qué ley fue promulgada en respuesta a las debacles corporativas de Enron y WorldCom?

Ley Sarbanes-Oxley (SOX). (A)

¿Qué consecuencias pueden enfrentar los CFO y CEO por incumplimiento bajo la Ley Sarbanes-Oxley?

Multas personales y prisión. (C)

En el caso de Joseph Sullivan, ¿qué delitos se le imputaron?

Obstrucción de la justicia y misprisión de un delito. (D)

¿Qué sanción enfrentó Facebook en 2019 por las malas divulgaciones sobre datos de usuarios?

Multa de $100 millones. (A)

¿Por qué Jun Ying, ex CIO de Equifax, fue encarcelado?

Por tráfico de información privilegiada. (A)

¿Cuál es un objetivo principal de la Ley Sarbanes-Oxley?

Incrementar la transparencia en la contabilidad corporativa. (A)

En el nivel operativo del marco SABSA, ¿qué se gestiona principalmente?

La continuidad de las operaciones (A)

¿Cuál de las siguientes opciones describe mejor el impacto de SOX en los ejecutivos?

Responsabilidad personal por mala conducta financiera. (B)

¿Cuál de las siguientes opciones corresponde al nivel lógico dentro del marco SABSA?

Políticas de seguridad (D)

En el nivel conceptual, ¿qué atributo se evalúa para definir un modelo de negocio?

Objetivos de control (C)

En el contexto del modelo físico, ¿qué elementos se gestionan más específicamente?

Normas de seguridad (C)

¿Qué aspecto del modelo de seguridad se analiza en el nivel contextual?

Modelo de relaciones comerciales (C)

En el nivel de componentes, ¿qué se define específicamente?

Estándares y herramientas de seguridad (D)

¿Cuál es el objetivo principal de las estrategias de seguridad en el nivel físico?

Control de accesos (D)

En el nivel lógico, ¿qué tipo de riesgo se aborda principalmente?

Riesgo de operación (D)

En el nivel de datos, ¿qué estructuras son esenciales para asegurar la información?

Modelo de entidad y privilegios (B)

¿Qué se gestiona en el nivel de procesos dentro del marco SABSA?

Gestión de servicios de seguridad (D)

¿Cuál es la principal responsabilidad de un administrador de seguridad?

Crear cuentas de usuario y gestionar contraseñas. (D)

¿Qué debe hacer un supervisor cuando un empleado es despedido?

Informar al administrador de seguridad sobre el cambio de acceso. (D)

¿Cuál es la función principal de un analista de control de cambios?

Aprobar o rechazar solicitudes para realizar cambios. (C)

¿Qué aspecto es crucial para un analista de datos al organizar información dentro de una empresa?

Mantener estructuras de datos comprensibles y organizadas. (D)

¿Cuál es una de las tareas que debe realizar un administrador de seguridad al implementar nuevo software?

Evaluar el impacto en el rendimiento del sistema. (D)

¿Por qué es importante segmentar el ISMS al realizar una desinversión?

Para facilitar la auditoría de activos sin revelar información sensible (B)

¿Por qué es importante que un supervisor mantenga la información actualizada de los empleados?

Para garantizar que los derechos de acceso se alineen con las políticas de seguridad. (D)

¿Qué habilidades debe tener un analista de control de cambios?

Capacidad para evaluar el impacto de los cambios en la seguridad. (D)

¿Cuál es el papel de un comité de gobernanza en una organización?

Revisar las estructuras y prácticas organizacionales (D)

¿Qué es lo más importante en la organización de datos para un analista de datos?

Que la estructura de datos sea segura y estandarizada. (B)

¿Quiénes son los responsables de entender cómo afecta la seguridad a sus departamentos en una organización?

Los gerentes funcionales (D)

¿Qué deberías hacer al vender una unidad de negocio desde el punto de vista de ciberseguridad?

Prepararte para mostrar y probar las políticas de seguridad relevantes (D)

¿Cuál es una función clave de la alta dirección relacionada con la gestión de la ciberseguridad?

Crear la visión organizacional y objetivos (B)

¿Cuál es una expectativa de las partes interesadas al adquirir activos de una empresa?

Cumplimiento con las políticas de seguridad y procedimientos (D)

¿Por qué es beneficioso tener un comité de gobernanza en la organización?

Para ofrecer apoyo en la resolución de problemas difíciles (A)

¿Qué papel desempeñan los gerentes operativos en la ciberseguridad de una organización?

Conocen los detalles técnicos y procedimientos específicos (D)

¿Cuál es el propósito principal de una política regulatoria en una organización?

Asegurarse de que la organización cumpla con estándares específicos de la industria. (D)

¿Qué característica define a una política informativa?

Proporciona información sobre temas relevantes sin ser exigible. (B)

¿Cuál de las siguientes es una función de las políticas asesivas?

Alertar sobre comportamientos que deben ser evitados. (A)

¿Qué tipo de información se espera del uso de estándares organizacionales?

Requisitos obligatorios para el uso de tecnología y procedimientos. (A)

En el contexto de políticas organizativas, ¿cuál es una característica común de las políticas reguladoras?

Son detalles específicos para industrias reguladas y pueden incluir sanciones. (C)

¿Cuál de las siguientes afirmaciones describe mejor las políticas informativas?

Sirven para enseñar a los empleados sobre temas relevantes de la empresa. (C)

¿Cuál es una posible consecuencia de no seguir una política asesiva en una organización?

La empresa puede perder su certificación regulatoria. (B)

¿Qué implica el cumplimiento de estándares organizacionales en relación con el uso de tecnología?

Las normas deben aplicarse uniformemente en toda la organización. (D)

Study Notes

Marco de Arquitectura SABSA

• El marco SABSA se estructura en diferentes capas que abordan activos, motivaciones, procesos, personas, localización y tiempo.

Capas de la Arquitectura

• Contextual: Modelo de negocio y relaciones; considera el riesgo empresarial.
• Conceptual: Atributos del negocio, objetivos de control, y estrategias de seguridad.
• Lógica: Políticas de seguridad y servicios, definiciones y asociaciones de dominio.
• Física: Modelos de datos del negocio y mecanismos de seguridad, involucrando usuarios y aplicaciones.
• Componente: Estructuras de datos detalladas y herramientas de seguridad, como estándares y protocolos.
• Operacional: Aseguramiento de la continuidad de la operación y gestión de riesgos operativos.

Clasificación y Protección de Datos

• Necesidad de políticas específicas de clasificación de datos y estándares de protección definidos.
• Ejemplo de protección: Información confidencial debe ser protegida con AES256 tanto en reposo como en tránsito.

Objetivos Estratégicos y Tácticos

• Los objetivos estratégicos son finales, mientras que los objetivos tácticos son los pasos necesarios para alcanzarlos.
• Normas, procedimientos y directrices son herramientas tácticas que sustentan políticas de seguridad.

Baselines y Control de Riesgos

• Baselines: Puntos de referencia usados para comparar cambios futuros.
• Implementación de controles o contramedidas para mitigar riesgos, como configuración de software o dispositivos de hardware.

Vulnerabilidades y Riesgos

• Vulnerabilidades expuestas por falta de mantenimiento proactivo, como no actualizar software antimalware.
• Relación entre amenazas, vulnerabilidades y contramedidas: aplicar la contramedida adecuada puede reducir la exposición al riesgo.

Terminología de Seguridad

• Términos como "control", "contramedida" y "salvaguarda" son intercambiables y fundamentales en el ámbito de la seguridad.
• Confusión en la terminología puede afectar actividades de aplicación de seguridad.

Marco de Arquitectura SABSA

• Estructura del marco dividido en seis capas: Contextual, Conceptual, Lógico, Físico, Componente y Operacional, cada una abordando diferentes aspectos de la seguridad empresarial.
• La capa contextual se enfoca en el modelo de negocio y el riesgo comercial, estableciendo el marco para la seguridad.
• La capa conceptual incluye los objetivos de control de la empresa y las estrategias de seguridad.
• La capa lógica define políticos de seguridad y servicios asociados para proteger la información.
• La capa física detalla los mecanismos, procedimientos y herramientas de seguridad en la práctica.
• La capa componente se centra en estándares, productos y herramientas de seguridad.
• La capa operacional aborda la garantía de continuidad y gestión del riesgo operacional.

Implicaciones de Desinversión

• Es vital segmentar partes del Sistema de Gestión de Seguridad de la Información (ISMS) al vender una unidad de negocio.
• Las políticas y controles de seguridad aplicables deben ser transparentes para el comprador, lo que puede implicar auditorías.
• Se debe coordinar con el equipo legal para manejar la divulgación de información confidencial.

Comités de Gobernanza

• Los comités de gobernanza revisan las estructuras y prácticas de la organización, actuando como aliados para abordar problemas complejos.
• Estos comités informan a la junta directiva y son decisivos para la gestión de la seguridad organizacional.

Roles y Responsabilidades Organizacionales

• La alta dirección tiene la responsabilidad de comunicar la salud financiera de la organización a las partes interesadas.
• La Ley Sarbanes-Oxley (SOX) responsabiliza a CEO y CFO por reportes financieros precisos, con sanciones personales por incumplimiento.
• Casos de responsabilidad de ejecutivos de C-suite ilustran las consecuencias legales por problemas de ciberseguridad.

Funciones de Seguridad

• Los administradores de seguridad crean cuentas de usuario, implementan software de seguridad y gestionan accesos.
• Los supervisores aseguran que los empleados entiendan sus responsabilidades en materia de seguridad, manteniendo actualizada la información de cuentas.
• Los analistas de control de cambios se encargan de aprobar modificaciones a sistemas, asegurando que no introduzcan vulnerabilidades.

Estándares de Seguridad Organizacional

• Los estándares organizacionales establecen cómo deben usarse hardware y software y comportamientos esperados del usuario.
• Tres tipos de políticas:
  • Regulatorias: Aseguran cumplimiento con regulaciones específicas de la industria.
  • Advisory: Recomiendan comportamientos y actividades dentro de la organización.
  • Informativas: Informan a los empleados sobre temas relevantes sin ser ejecutables.

Description

Este cuestionario explora el marco de arquitectura SABSA, sus capas y cómo abordan los activos, motivaciones, procesos y seguridad. También se discutirá la necesidad de políticas de clasificación y protección de datos en este contexto. A través de preguntas clave, podrás valorar tu comprensión de la estructura de SABSA.