Principios de Ciberseguridad y Gobernanza

Questions and Answers

¿Cuál de los siguientes objetivos de seguridad asegura que la información no sea alterada sin autorización?

• Disponibilidad
• Confidencialidad
• Integridad (correct)
• Autenticidad

La disponibilidad se refiere a proteger la información contra el acceso no autorizado.

False (B)

¿Qué aspecto de la seguridad considera a las personas como el activo más importante de una organización?

Ciberseguridad

La __________ significa mantener a entidades no autorizadas fuera del acceso a los activos de información.

confidencialidad

Asocia cada término con su definición correspondiente:

Confidencialidad = Mantener la información privada y restringida Integridad = Asegurar que la información no sea alterada Disponibilidad = Acceso a la información cuando se requiera Autenticidad = Confirmar la veracidad de la comunicación

¿Qué significa la no repudio en el contexto de la seguridad?

La capacidad de demostrar que una acción ha ocurrido (C)

La capacitación adecuada de las personas es irrelevante para la postura de seguridad de una organización.

False (B)

¿Qué tres objetivos principales deben asegurarse en la ciberseguridad?

Disponibilidad, integridad, confidencialidad

¿Cuál es el control administrativo que puede ayudar a detectar fraudes mediante la rotación de tareas y vacaciones obligatorias?

Segregación de funciones (A)

La ingeniería social implica ataques para obtener datos sensibles manipulando individuos.

True (A)

¿Qué son los 'campeones de seguridad' en una organización?

Miembros que promueven prácticas de seguridad dentro de sus equipos.

La _______ es la forma en la que las acciones de los empleados pueden poner en riesgo a una institución.

conciencia de seguridad

¿Qué método se utiliza para aplicar elementos de juego a la capacitación de conciencia de seguridad?

Gamificación (A)

La separación de funciones es un control que depende de que un solo individuo tenga acceso completo a información crítica.

False (B)

¿Qué se necesita cuando un cliente presenta un cheque por más de $3,500 para ser cambiado?

Una autorización supervisora.

Asocia las siguientes acciones con su propósito:

Capacitación de seguridad = Mejorar la conciencia de seguridad Control de acceso = Restringir el acceso a sistemas sensibles Vacaciones obligatorias = Detectar posibles fraudes Segregación de funciones = Reducir el riesgo de abuso de poder

¿Cuál de las siguientes definiciones describe mejor la no repudación?

Es la incapacidad de negar haber realizado una acción. (B)

Un control es una debilidad en un sistema que permite a una fuente de amenaza comprometer su seguridad.

False (B)

¿Qué es un riesgo en el contexto de la ciberseguridad?

Es la probabilidad de que una fuente de amenaza explote una vulnerabilidad y el impacto correspondiente en la empresa.

La gobernanza de seguridad es un _____ que proporciona supervisión y cumplimiento.

marco de trabajo

Relaciona las definiciones con los términos correspondientes:

Vulnerabilidad = Debilidad en un sistema que permite que se comprometa la seguridad Amenaza = Peligro potencial asociado con la explotación de una vulnerabilidad Política de seguridad = Declaración de gestión sobre el rol de la seguridad Procedimiento = Tareas detalladas para lograr un objetivo específico

¿Qué describe mejor un sistema de gestión de seguridad de la información (ISMS)?

Un conjunto de políticas y procedimientos para alinear seguridad con necesidades empresariales. (B)

Las directrices son requisitos específicos que son obligatorios para la organización.

False (B)

¿Quiénes son responsables en última instancia de la gobernanza de seguridad en una organización?

La alta dirección.

Flashcards

Objetivos de la seguridad

Los objetivos de la seguridad de la información son la confidencialidad, integridad, disponibilidad, autenticidad y no repudio.

Confidencialidad

Mantener la información en secreto, evitando que entidades no autorizadas la accedan.

Integridad de los datos

Que la información esté libre de alteraciones no autorizadas.

Disponibilidad de datos

Garantizar el acceso oportuno y confiable a los datos y recursos para usuarios autorizados.

Personas como activo de seguridad

Las personas son el activo más importante y pueden ser los mayores defensores o perjudicadores de la seguridad cibernética.

Influencers de la seguridad

Objetivos, activos, leyes, regulaciones, privacidad, amenazas y, por supuesto, las personas.

Enfoque en las personas

La contratación correcta, asignación de roles y entrenamiento adecuado son claves para una postura de seguridad robusta.

Enlace de seguridad con influencias

Crear conexiones entre la seguridad y cada uno de los influencers.(objetivos, activos, leyes, regulaciones, etc.)

¿Qué es la autenticidad?

Son las protecciones que aseguran que algo proviene de la fuente que afirma.

¿Qué es la no repudio?

Significa que alguien no puede negar ser la fuente de una acción dada,relacionado con la autenticidad.

¿Qué es una vulnerabilidad?

Es un punto débil en un sistema que permite a una fuente de amenaza comprometer su seguridad.

¿Qué es una amenaza?

Es cualquier peligro potencial asociado con la explotación de una vulnerabilidad.

¿Qué es un control/contramedida?

Es algo puesto en marcha para mitigar (reducir) el riesgo potencial.

¿Qué es la gobernanza de seguridad?

Un marco que proporciona supervisión, responsabilidad y cumplimiento.

¿Qué es una política de seguridad?

Una declaración de la gerencia que dicta el papel de la seguridad en la organización.

¿Qué es un estándar?

Documentos que describen requisitos específicos de cumplimiento obligatorio, que apoyan las políticas de seguridad.

Control Administrativo

Un control administrativo es un proceso o procedimiento que ayuda a garantizar la seguridad de la información y los sistemas. Algunos ejemplos incluyen la rotación de puestos, las vacaciones obligatorias y la separación de funciones.

Rotación de Puestos

La rotación de puestos implica mover a los empleados a diferentes roles dentro de la organización de forma periódica. Esto ayuda a prevenir la corrupción o el fraude al evitar que un solo individuo tenga demasiado control sobre un área o tarea.

Vacaciones Obligatorias

Las vacaciones obligatorias requieren que los empleados tomen tiempo libre del trabajo, incluso si no quieren. Esto ayuda a detectar fraudes o errores al permitir que otros revisen el trabajo de alguien mientras está ausente.

Separación de Funciones

La separación de funciones garantiza que ninguna persona tenga el control completo sobre una actividad o tarea crítica. Se divide el trabajo para evitar que un solo individuo pueda cometer fraude o causar daños.

Conocimiento Dividido

Una variación de la separación de funciones donde la información necesaria para completar una tarea se divide entre dos o más personas. Esto dificulta que un solo individuo obtenga todo el conocimiento necesario para llevar a cabo una acción dañina.

Control Dual

Un método de control que implica la autorización de dos personas diferentes para ejecutar una acción. Esto agrega una capa de seguridad adicional al requerir que dos individuos autoricen una operación.

Ingeniería Social

Un ataque donde los atacantes manipulan a las personas para que revelen información confidencial o para que realicen acciones que perjudiquen a la organización.

Capacitación de Sensibilización en Seguridad

Un programa que educa a los empleados sobre las amenazas y las mejores prácticas de seguridad. Ayuda a las personas a entender cómo proteger la información y los sistemas.

Study Notes

Cybersecurity Principles

• Security encompasses confidentiality, integrity, availability, authenticity, and nonrepudiation
• Confidentiality: Preventing unauthorized access to information
• Integrity: Ensuring data accuracy and preventing unauthorized modifications
• Availability: Ensuring timely access to data and resources
• Authenticity: Verifying the source of information
• Nonrepudiation: Preventing denial of actions or transactions

Security Governance

• Security governance is a framework for oversight, accountability, and compliance
• Information Security Management System (ISMS): A system of policies, procedures, and standards to align security with business needs
• Enterprise Security Architecture: Implements security strategy through layers of solutions, processes, and procedures
• Security Governance Framework: Supports security goals; established by senior management, and implemented consistently throughout the organization.

Security Policy

• Security policies are statements by management regarding the role of security in the organization.
• Standards: Documents defining mandatory requirements that support the policies.
• Baselines: Minimum security levels.
• Guidelines: Recommendations for security approaches.
• Procedures: Step-by-step tasks to achieve specific goals.

Threats and Vulnerabilities

• A threat is a potential danger associated with exploiting vulnerabilities.
• A threat source is the entity that can exploit a vulnerability.
• A risk is the likelihood of a threat exploiting a vulnerability and its business impact.
• A control/countermeasure mitigates risk.
• Vulnerability: A weakness in a system allowing a threat to compromise security.

Security Awareness and Training

• Social engineering: Manipulation to obtain sensitive data
• Security awareness training: Comprehensive, tailored to specific groups, and organization-wide.
• Gamification: Applying game elements to enhance learning, particularly in security awareness.
• Security champions: People within an organization who promote security practices.
• Professional ethics: Guidelines for appropriate conduct.

Security Personnel

• Senior management support is critical for successful security.
• Effective controls and implementation methods are essential
• Updated and relevant security policies and procedures are required.
• Employee security awareness is vital for preventing breaches.

Description

Este cuestionario evalúa tu comprensión de los principios fundamentales de la ciberseguridad, incluyendo la confidencialidad, integridad y disponibilidad. También cubre la estructura de la gobernanza de seguridad y cómo se implementa un Sistema de Gestión de Seguridad de la Información (ISMS). Pon a prueba tus conocimientos sobre estas cruciales uniones de la seguridad en el entorno empresarial.