Métricas de Seguridad

Questions and Answers

¿Cuál es la recomendación para respaldar múltiples servidores de correo?

No respaldarlos al mismo tiempo (correct)

Respaldar semanalmente

Respaldarlos todos al mismo tiempo

Respaldar solo el servidor principal

La automatización de las pruebas de respaldo es especialmente útil en organizaciones pequeñas.

False

¿Qué porcentaje del dato promedio de una organización se estima que vive en sus buzones de correo?

75 por ciento

Para facilitar el cumplimiento de _____, el mecanismo de respaldo debe estar bien documentado.

e-discovery

Asocia cada situación con su tipo de riesgo potencial:

Errores o accidentes = Necesidad de recuperación de datos Ataques = Compromiso de la confidencialidad Desastres naturales = Pérdida de acceso Mal funcionamiento del sistema = Interrupción de operaciones

¿Qué debe documentarse en detalle en la configuración de los servidores de correo?

Los detalles de la configuración del servidor

Es recomendable involucrar a los usuarios en las pruebas de recuperación de sus propios respaldos.

True

¿Cuál es un paso importante en la comprensión del riesgo asociado a los sistemas de información?

Considerar lo que puede suceder que afecte el funcionamiento de los sistemas.

¿Cuál de los siguientes ratios indica la eficiencia de un sistema de detección y respuesta (NDR)?

Alertas a incidentes

El objetivo de la gestión es minimizar el número de incidentes de alta gravedad.

True

¿Qué representan las mediciones A1 y B1 en el contexto presentado?

A1 representa el número de alertas y B1 el número de incidentes declarados.

La razón de alertas a incidentes se representa como A1:B1, donde A1 es ______ y B1 es ______.

alertas, incidentes

¿Qué sugiere un ratio alto de alertas a incidentes?

Alta cantidad de falsas alarmas

El segundo métrico mencionado es la comparación de B1 con una línea base establecida.

True

¿Cuáles son los dos factores que son importantes para rastrear en el ISMS según el escenario hipotético?

Factor A (alertas del NDR) y Factor B (incidentes declarados).

Asocia cada métrico con su descripción:

A1:B1 = Ratio de alertas a incidentes B1 = Número de incidentes declarados Baseline = Línea de base establecida A1 = Número de alertas generadas

¿Cuál es uno de los elementos clave que deben incluirse en los procesos de prueba de copias de seguridad de datos?

Desarrollar escenarios que representen amenazas específicas

Es importante mantener un inventario de datos que sea un documento estático.

False

¿Por qué es crucial la política de retención de datos en una organización?

Para asegurar que los datos críticos sean respaldados y almacenados adecuadamente.

Los usuarios a menudo mantienen una carpeta local con los datos más __________ para ellos.

importantes

Relaciona las siguientes acciones con su propósito:

Desarrollar escenarios = Capturar amenazas representativas Automatizar pruebas = Minimizar el esfuerzo requerido por los auditores Mantener un inventario = Documentar y rastrear cambios en los datos Probar copias de seguridad = Asegurar disponibilidad de datos

¿Qué riesgo tiene el uso de carpetas locales por parte de los usuarios?

Los archivos locales no siempre se respaldan

Es aceptable que los usuarios deshabiliten las copias de seguridad si consideran que sus archivos no son críticos.

False

¿Qué debe hacerse para asegurar que las pruebas de respaldo se realicen periódicamente?

Implementar automatización en el proceso de prueba.

¿Cuál es el objetivo principal del phishing?

Hacer que un objetivo haga clic en un enlace malicioso.

El spear-phishing se refiere a ataques generales dirigidos a cualquier persona.

False

¿Qué técnica utiliza un atacante durante el pretexting?

Inventar una situación creíble.

El phishing que se dirige a ejecutivos de alto nivel se llama ______.

whaling

¿Cuál es la razón principal para incluir a todos los tomadores de decisiones clave en la revisión de gestión?

Dar legitimidad y poder al ISMS

Relaciona las siguientes técnicas de ataque con su descripción:

Phishing = Mensajes engañosos enviados a múltiples personas Spear-phishing = Ataques dirigidos a individuos específicos Whaling = Phishing enfocado en ejecutivos de alto nivel Pretexting = Usar una historia falsa para obtener información

La revisión de gestión debe llevarse a cabo de manera anual, sin excepciones.

False

¿Cuál de las siguientes afirmaciones sobre el pretexting es correcta?

Fue legal en Estados Unidos hasta 2007.

¿Qué deben considerar los líderes antes de programar la revisión de gestión?

La disponibilidad de los líderes clave.

Un ataque de 'drive-by download' redirige al usuario a un servidor de distribución de malware sin su conocimiento.

True

Las revisiones de gestión deben ser ______ para asegurar un proceso de toma de decisiones informado.

periódicas

¿Qué tipo de correos electrónicos usa un phisher principalmente?

Correos electrónicos engañosos o atractivos.

Relaciona los elementos con su función en la revisión de gestión:

Resultados de auditorías internas = Insumo clave para la revisión Frecuencia de las revisiones = Influencia en la toma de decisiones Comunicación con ejecutivos = Lenguaje de negocios Progreso de cambios = Evaluación de resultados

¿Qué sucede si las revisiones de gestión se realizan con demasiada frecuencia?

Se vuelven reactivo

Es importante comunicar los resultados de manera clara y rápida a los líderes desde el primer intento.

True

Menciona un tipo de insumo que se utiliza en la revisión de gestión.

Resultados de auditorías relevantes.

¿Cuál es la fórmula general para el enfoque de ingresos?

Valor = ingresos esperados / tasa de capitalización

El enfoque de mercado requiere conocer cuánto están pagando otras empresas por un activo similar.

True

¿Qué porcentaje de eficacia tiene la solución considerada en el control según el contenido?

80%

La tasa de capitalización se calcula como el ingreso neto dividido por el ______ del activo.

valor

Asocia el tipo de enfoque con su descripción:

Enfoque de ingresos = Considera el ingreso esperado Enfoque de mercado = Basado en los precios de activos similares en el mercado Enfoque de costo = Analiza el costo de implementación de controles Enfoque de riesgos = Evalúa la eficacia de controles ante ataques

Si el informe de inteligencia de amenazas genera un ingreso neto de $1,000 y se proyecta que generará $2,000 este año, ¿cuál es su valor presente si la tasa de capitalización es 0.10?

$20,000

El riesgo residual es la cantidad total de riesgo que permanece incluso después de implementar controles.

False

Si los costos de vida de implementar controles son $180,000 y mitigan riesgos de $1,000,000, el riesgo residual es ______.

$20,000

Study Notes

Security Metrics

• Security metrics are used to measure the effectiveness of a security program.
• Organizations use metrics to show whether they are moving toward or away from their security goals.
• Metrics should align with the security goals and organization's business goals.
• Metrics can be quantified consistently.
• Metrics ought to be actionable, informing immediate actions to improve outcomes.
• Metrics should be robust and relevant over time, enabling trend analysis.
• Metrics should be simple enough for stakeholders to understand.
• Metrics should be comparative, enabling comparisons to baselines or other metrics.

Quantifying Security

• Security assessments are conducted to answer specific questions about security systems.
• The purpose is to address tactical questions regarding system vulnerabilities and attacks.
• Executive-level stakeholders are more interested in how an organization generates value for stakeholders.
• Cybersecurity leaders transform tactical observations into strategic insights for executives.
• Information security management systems (ISMS) should be measured to provide organizations with actionable insights.

Risk Metrics

• Risk metrics show how organizational risk is changing.
• They allow the communication of risk to executive audiences.
• They focus on future risks.
• Risk metrics can be used to assess the probability of risks.

Preparedness Metrics

• Preparedness metrics evaluate how prepared an organization is to handle security incidents.
• They examine the maintenance of controls and procedures for maintaining security.
• Preparedness metrics include staff training, system patch levels, and vendor security rating.

Performance Metrics

• Performance metrics measure how well an organization's security team and systems detect, block, and respond to security incidents.
• It examines the organization's effectiveness in defeating security adversaries.
• Performance metrics frequently track the number of alerts and incidents.
• They might incorporate metrics pertaining to the mean time to detect issues (MTTD).
• They also track metrics pertaining to the mean time to resolve issues (MTTR).

Key Performance and Risk Indicators

• Key performance indicators (KPIs) and key risk indicators (KRIs) measure the performance of an ISMS compared to its goals.
• KPIs show how well the organization is doing now.
• KRIs show the likelihood of future risks.
• These metrics must be easy for both technical and business personnel to understand.
• They are aligned with the organization's overall business objectives.

Account Management

• Compromise of privileged accounts is a common attack vector.
• Attackers attempt to elevate privileges to achieve their goals.
• A good account management practice includes strong authentication, and restrictions on access to privileged accounts.

Modifying Accounts

• Changes to user accounts should be carefully controlled and documented, including the reason for the change and authorization.
• Security professionals should issue elevated privileges only on an as-needed basis.
• Care should be taken not to grant unnecessary privileges to users.

Suspending Accounts

• Unused or terminated users' accounts should be suspended or removed from systems.
• Testing account suspension policies is important to ensure proper operation.

Data Protection

• Sensitive data must be encrypted at rest and in transit.
• The organization should use appropriate controls to prevent unauthorized access to data.

Testing Data Backups

• Organizations should perform regular tests of backups to ensure they are functional.
• Scenarios of threats and emergencies help evaluate the backup procedure's effectiveness.
• A plan is needed that tests the most important data throughout the organization regularly.

Security Training and Awareness

• Security training is focused on teaching practical security skills.
• Security awareness training exposes personnel to security issues and how to mitigate them.
• The effectiveness of training should be measured to determine if there are improvements in awareness and skills.

Social Engineering

• Social engineering is the manipulation of individuals to compromise security protocols.
• Phishing is a form of social engineering and is usually delivered via a digital communication like e-mail.
• Some forms of social engineering target specific individuals or groups. This is called spear-phishing.

Online Safety

• The use of social media, and other online behaviors, can expose an organization to risks.
• Organizations should help enforce appropriate use of social communications to limit the risks.
• Social media posts can expose sensitive or valuable data about the company/organization.
• Drive-by downloads result from visiting malicious websites.

Disaster Recovery and Business Continuity

• Organizations need procedures to ensure business processes continue during disasters.
• Emergency response procedures should prioritize human safety.
• Disaster recovery addresses restoring organizational functions after a disaster.
• Business continuity ensures the organization operates in a disruptive event or crisis.

Management Review and Approval

• Management review assesses the effectiveness of the ISMS.
• Regular review is a key factor for a successful ISMS.
• Reviews look at high-level strategic issues, not technical details.
• The process must ensure that changes are authorized and implemented for maximum organizational benefit.
• Key input elements are audit results, open issues, comments from users, customer feedback, and recommendations for improvement based on initial inputs.

Analyzing Results

• Analyze the results of the assessment, considering business impact.
• Summarize the findings in a way that presents actionable insights.
• Reports should inform and persuade the audience.

Remediation

• Addressing vulnerabilities that were discovered.
• Vulnerability remediation needs to consider all factors.
• Appropriate remediation procedures are important to ensure organizational security.

Ethical Disclosure

• Vulnerabilities discovered during assessments must be disclosed to relevant parties.
• Ethical disclosure of vulnerabilities is important for all parties concerned.

Description

Este cuestionario examina las métricas de seguridad y su importancia en la efectividad de un programa de seguridad. Se discutirán aspectos clave como la alineación con objetivos comerciales y la capacidad de cuantificación y comparación de métricas a lo largo del tiempo. Prepárate para profundizar en cómo estas métricas pueden informar decisiones tácticas y estratégicas.