Métricas de Seguridad

Questions and Answers

¿Cuál es la recomendación para respaldar múltiples servidores de correo?

• No respaldarlos al mismo tiempo (correct)
• Respaldar semanalmente
• Respaldarlos todos al mismo tiempo
• Respaldar solo el servidor principal

La automatización de las pruebas de respaldo es especialmente útil en organizaciones pequeñas.

False (B)

¿Qué porcentaje del dato promedio de una organización se estima que vive en sus buzones de correo?

75 por ciento

Para facilitar el cumplimiento de _____, el mecanismo de respaldo debe estar bien documentado.

e-discovery

Asocia cada situación con su tipo de riesgo potencial:

Errores o accidentes = Necesidad de recuperación de datos Ataques = Compromiso de la confidencialidad Desastres naturales = Pérdida de acceso Mal funcionamiento del sistema = Interrupción de operaciones

¿Qué debe documentarse en detalle en la configuración de los servidores de correo?

Los detalles de la configuración del servidor (D)

Es recomendable involucrar a los usuarios en las pruebas de recuperación de sus propios respaldos.

True (A)

¿Cuál es un paso importante en la comprensión del riesgo asociado a los sistemas de información?

Considerar lo que puede suceder que afecte el funcionamiento de los sistemas.

¿Cuál de los siguientes ratios indica la eficiencia de un sistema de detección y respuesta (NDR)?

Alertas a incidentes (C)

El objetivo de la gestión es minimizar el número de incidentes de alta gravedad.

True (A)

¿Qué representan las mediciones A1 y B1 en el contexto presentado?

A1 representa el número de alertas y B1 el número de incidentes declarados.

La razón de alertas a incidentes se representa como A1:B1, donde A1 es ______ y B1 es ______.

alertas, incidentes

¿Qué sugiere un ratio alto de alertas a incidentes?

Alta cantidad de falsas alarmas (B)

El segundo métrico mencionado es la comparación de B1 con una línea base establecida.

True (A)

¿Cuáles son los dos factores que son importantes para rastrear en el ISMS según el escenario hipotético?

Factor A (alertas del NDR) y Factor B (incidentes declarados).

Asocia cada métrico con su descripción:

A1:B1 = Ratio de alertas a incidentes B1 = Número de incidentes declarados Baseline = Línea de base establecida A1 = Número de alertas generadas

¿Cuál es uno de los elementos clave que deben incluirse en los procesos de prueba de copias de seguridad de datos?

Desarrollar escenarios que representen amenazas específicas (C)

Es importante mantener un inventario de datos que sea un documento estático.

False (B)

¿Por qué es crucial la política de retención de datos en una organización?

Para asegurar que los datos críticos sean respaldados y almacenados adecuadamente.

Los usuarios a menudo mantienen una carpeta local con los datos más __________ para ellos.

importantes

Relaciona las siguientes acciones con su propósito:

Desarrollar escenarios = Capturar amenazas representativas Automatizar pruebas = Minimizar el esfuerzo requerido por los auditores Mantener un inventario = Documentar y rastrear cambios en los datos Probar copias de seguridad = Asegurar disponibilidad de datos

¿Qué riesgo tiene el uso de carpetas locales por parte de los usuarios?

Los archivos locales no siempre se respaldan (D)

Es aceptable que los usuarios deshabiliten las copias de seguridad si consideran que sus archivos no son críticos.

False (B)

¿Qué debe hacerse para asegurar que las pruebas de respaldo se realicen periódicamente?

Implementar automatización en el proceso de prueba.

¿Cuál es el objetivo principal del phishing?

Hacer que un objetivo haga clic en un enlace malicioso. (A)

El spear-phishing se refiere a ataques generales dirigidos a cualquier persona.

False (B)

¿Qué técnica utiliza un atacante durante el pretexting?

Inventar una situación creíble.

El phishing que se dirige a ejecutivos de alto nivel se llama ______.

whaling

¿Cuál es la razón principal para incluir a todos los tomadores de decisiones clave en la revisión de gestión?

Dar legitimidad y poder al ISMS (A)

Relaciona las siguientes técnicas de ataque con su descripción:

Phishing = Mensajes engañosos enviados a múltiples personas Spear-phishing = Ataques dirigidos a individuos específicos Whaling = Phishing enfocado en ejecutivos de alto nivel Pretexting = Usar una historia falsa para obtener información

La revisión de gestión debe llevarse a cabo de manera anual, sin excepciones.

False (B)

¿Cuál de las siguientes afirmaciones sobre el pretexting es correcta?

Fue legal en Estados Unidos hasta 2007. (B)

¿Qué deben considerar los líderes antes de programar la revisión de gestión?

La disponibilidad de los líderes clave.

Un ataque de 'drive-by download' redirige al usuario a un servidor de distribución de malware sin su conocimiento.

True (A)

Las revisiones de gestión deben ser ______ para asegurar un proceso de toma de decisiones informado.

periódicas

¿Qué tipo de correos electrónicos usa un phisher principalmente?

Correos electrónicos engañosos o atractivos.

Relaciona los elementos con su función en la revisión de gestión:

Resultados de auditorías internas = Insumo clave para la revisión Frecuencia de las revisiones = Influencia en la toma de decisiones Comunicación con ejecutivos = Lenguaje de negocios Progreso de cambios = Evaluación de resultados

¿Qué sucede si las revisiones de gestión se realizan con demasiada frecuencia?

Se vuelven reactivo (A)

Es importante comunicar los resultados de manera clara y rápida a los líderes desde el primer intento.

True (A)

Menciona un tipo de insumo que se utiliza en la revisión de gestión.

Resultados de auditorías relevantes.

¿Cuál es la fórmula general para el enfoque de ingresos?

Valor = ingresos esperados / tasa de capitalización (B)

El enfoque de mercado requiere conocer cuánto están pagando otras empresas por un activo similar.

True (A)

¿Qué porcentaje de eficacia tiene la solución considerada en el control según el contenido?

80%

La tasa de capitalización se calcula como el ingreso neto dividido por el ______ del activo.

valor

Asocia el tipo de enfoque con su descripción:

Enfoque de ingresos = Considera el ingreso esperado Enfoque de mercado = Basado en los precios de activos similares en el mercado Enfoque de costo = Analiza el costo de implementación de controles Enfoque de riesgos = Evalúa la eficacia de controles ante ataques

Si el informe de inteligencia de amenazas genera un ingreso neto de $1,000 y se proyecta que generará $2,000 este año, ¿cuál es su valor presente si la tasa de capitalización es 0.10?

$20,000 (B)

El riesgo residual es la cantidad total de riesgo que permanece incluso después de implementar controles.

False (B)

Si los costos de vida de implementar controles son $180,000 y mitigan riesgos de $1,000,000, el riesgo residual es ______.

$20,000

Flashcards

Indicador de Incidente de Alta Gravedad

Razón entre incidentes de alta gravedad declarados en un periodo de reporte y una línea base establecida.

Métricas A1:B1

Ratio de alertas generadas (Factor A) a incidentes declarados (Factor B).

Métricas B1:Línea Base

Comparación de la cantidad de incidentes (B1) con una línea base predefinida.

Factor A

Variable, como alertas del sistema de detección y respuesta de red (NDR).

Factor B

Variable, como incidentes declarados.

Línea Base

Valor de referencia para comparar medidas de incidentes y otras variables.

KPI

Indicador clave de rendimiento. Sirve para medir el rendimiento de un proceso o sistema.

Datos de buzón de correo

Aproximadamente el 75% de los datos de una organización promedio se encuentran en los buzones de correo.

Proceso de copia de seguridad del correo electrónico

El proceso de copia de seguridad de los servidores de correo puede variar considerablemente dependiendo del sistema de correo utilizado, pero la documentación detallada de la configuración de los servidores es esencial.

Servidor de correo

Un servidor que almacena y administra el correo electrónico.

Verificación de copias de seguridad

Las copias de seguridad no son útiles sin la capacidad de recuperación ante errores, accidentes, ataques o desastres.

Modelado de amenazas

Comprender qué puede suceder o hacerse a los sistemas que destruya, degrade o interrumpa la operación.

Pruebas automatizadas

Realizar pruebas de copia de seguridad de manera automática, especialmente en grandes organizaciones, para cubrir posibles contingencias.

Prueba de copia de seguridad del usuario

Para probar las copias de seguridad de los usuarios, se puede restaurar la copia de seguridad a una computadora nueva y permitir que el usuario la utilice como si fuera la original.

Phishing

Técnica de ingeniería social donde un atacante intenta obtener información confidencial, como credenciales, engañando a la víctima con un correo electrónico o enlace.

Spear Phishing

Tipo de phishing que se centra en individuos o grupos específicos, en lugar de un público masivo.

Whaling

Spear phishing dirigido a ejecutivos de alto nivel.

Drive-by Download

Técnica utilizada en phishing donde la víctima es redirigida a un servidor de distribución de malware de forma invisible.

Pretexting

Forma de ingeniería social donde el atacante inventa una situación creíble para persuadir a la víctima a violar una política de seguridad.

Pruebas de Respaldos de Datos

Procesos formales para verificar la disponibilidad de los respaldos de datos cuando se necesitan.

Escenarios de Pruebas

Conjunto de eventos que representan amenazas a la organización para probar los respaldos.

Respaldos de Datos Críticos

Datos esenciales para las operaciones de la organización.

Automatización de Pruebas

Reducir el esfuerzo de los auditores y asegurar pruebas periódicas.

Políticas de Retención de Datos

Establecen cuánto tiempo se conservan los datos.

Políticas de Respaldo de Datos de Usuario

Guías sobre cómo se respaldan los archivos de los usuarios.

Inventario de Datos

Listado de los datos y su respaldo.

Respaldos Locales del Usuario

Archivos que los usuarios almacenan en sus dispositivos personales.

Revisión de Dirección

Proceso periódico para tomar decisiones estratégicas en la organización, incluyendo a todos los tomadores de decisiones clave.

Comunicación con Ejecutivos

Comunicación clara, concisa y rápida; utiliza el lenguaje del negocio.

Ciclo Plan-Haz-Verifica-Actúa

Proceso iterativo para la mejora continua en un sistema de gestión.

Frecuencia de las revisiones

Depende de la madurez del sistema de gestión y la disponibilidad de los líderes.

Implementación de las decisiones

Duración del tiempo requerido para implementar las decisiones de la revisión anterior.

Entradas a la Revisión de Dirección

Información diversa para la toma de decisiones, incluyendo resultados de auditorías internas y externas.

Método de Ingresos

Evalúa el valor de un activo basándose en su contribución esperada a los ingresos de la empresa. Se calcula dividiendo los ingresos esperados por la tasa de capitalización.

Tasa de Capitalización

Relación entre las ganancias netas (ingresos) y el valor del activo.

Método de Mercado

Determina el valor de un activo comparándolo con los precios de activos similares en el mercado.

Implementación de Controles

La decisión de implementar controles de seguridad se basa en una comparación entre los costos de implementación y los riesgos mitigados.

Controles Imperfectos

Los controles de seguridad no eliminan por completo los riesgos, y pueden fallar ocasionalmente.

Probabilidad de Éxito Control

La eficacia de un control se mide por la probabilidad de que impida un ataque.

Riesgo Residual

Riesgo restante después de implementar un control de seguridad. Representa la probabilidad de que el control falle y se produzca el daño.

Study Notes

Security Metrics

• Security metrics are used to measure the effectiveness of a security program.
• Organizations use metrics to show whether they are moving toward or away from their security goals.
• Metrics should align with the security goals and organization's business goals.
• Metrics can be quantified consistently.
• Metrics ought to be actionable, informing immediate actions to improve outcomes.
• Metrics should be robust and relevant over time, enabling trend analysis.
• Metrics should be simple enough for stakeholders to understand.
• Metrics should be comparative, enabling comparisons to baselines or other metrics.

Quantifying Security

• Security assessments are conducted to answer specific questions about security systems.
• The purpose is to address tactical questions regarding system vulnerabilities and attacks.
• Executive-level stakeholders are more interested in how an organization generates value for stakeholders.
• Cybersecurity leaders transform tactical observations into strategic insights for executives.
• Information security management systems (ISMS) should be measured to provide organizations with actionable insights.

Risk Metrics

• Risk metrics show how organizational risk is changing.
• They allow the communication of risk to executive audiences.
• They focus on future risks.
• Risk metrics can be used to assess the probability of risks.

Preparedness Metrics

• Preparedness metrics evaluate how prepared an organization is to handle security incidents.
• They examine the maintenance of controls and procedures for maintaining security.
• Preparedness metrics include staff training, system patch levels, and vendor security rating.

Performance Metrics

• Performance metrics measure how well an organization's security team and systems detect, block, and respond to security incidents.
• It examines the organization's effectiveness in defeating security adversaries.
• Performance metrics frequently track the number of alerts and incidents.
• They might incorporate metrics pertaining to the mean time to detect issues (MTTD).
• They also track metrics pertaining to the mean time to resolve issues (MTTR).

Key Performance and Risk Indicators

• Key performance indicators (KPIs) and key risk indicators (KRIs) measure the performance of an ISMS compared to its goals.
• KPIs show how well the organization is doing now.
• KRIs show the likelihood of future risks.
• These metrics must be easy for both technical and business personnel to understand.
• They are aligned with the organization's overall business objectives.

Account Management

• Compromise of privileged accounts is a common attack vector.
• Attackers attempt to elevate privileges to achieve their goals.
• A good account management practice includes strong authentication, and restrictions on access to privileged accounts.

Modifying Accounts

• Changes to user accounts should be carefully controlled and documented, including the reason for the change and authorization.
• Security professionals should issue elevated privileges only on an as-needed basis.
• Care should be taken not to grant unnecessary privileges to users.

Suspending Accounts

• Unused or terminated users' accounts should be suspended or removed from systems.
• Testing account suspension policies is important to ensure proper operation.

Data Protection

• Sensitive data must be encrypted at rest and in transit.
• The organization should use appropriate controls to prevent unauthorized access to data.

Testing Data Backups

• Organizations should perform regular tests of backups to ensure they are functional.
• Scenarios of threats and emergencies help evaluate the backup procedure's effectiveness.
• A plan is needed that tests the most important data throughout the organization regularly.

Security Training and Awareness

• Security training is focused on teaching practical security skills.
• Security awareness training exposes personnel to security issues and how to mitigate them.
• The effectiveness of training should be measured to determine if there are improvements in awareness and skills.

Social Engineering

• Social engineering is the manipulation of individuals to compromise security protocols.
• Phishing is a form of social engineering and is usually delivered via a digital communication like e-mail.
• Some forms of social engineering target specific individuals or groups. This is called spear-phishing.

Online Safety

• The use of social media, and other online behaviors, can expose an organization to risks.
• Organizations should help enforce appropriate use of social communications to limit the risks.
• Social media posts can expose sensitive or valuable data about the company/organization.
• Drive-by downloads result from visiting malicious websites.

Disaster Recovery and Business Continuity

• Organizations need procedures to ensure business processes continue during disasters.
• Emergency response procedures should prioritize human safety.
• Disaster recovery addresses restoring organizational functions after a disaster.
• Business continuity ensures the organization operates in a disruptive event or crisis.

Management Review and Approval

• Management review assesses the effectiveness of the ISMS.
• Regular review is a key factor for a successful ISMS.
• Reviews look at high-level strategic issues, not technical details.
• The process must ensure that changes are authorized and implemented for maximum organizational benefit.
• Key input elements are audit results, open issues, comments from users, customer feedback, and recommendations for improvement based on initial inputs.

Analyzing Results

• Analyze the results of the assessment, considering business impact.
• Summarize the findings in a way that presents actionable insights.
• Reports should inform and persuade the audience.

Remediation

• Addressing vulnerabilities that were discovered.
• Vulnerability remediation needs to consider all factors.
• Appropriate remediation procedures are important to ensure organizational security.

Ethical Disclosure

• Vulnerabilities discovered during assessments must be disclosed to relevant parties.
• Ethical disclosure of vulnerabilities is important for all parties concerned.

Description

Este cuestionario examina las métricas de seguridad y su importancia en la efectividad de un programa de seguridad. Se discutirán aspectos clave como la alineación con objetivos comerciales y la capacidad de cuantificación y comparación de métricas a lo largo del tiempo. Prepárate para profundizar en cómo estas métricas pueden informar decisiones tácticas y estratégicas.