Scribd Logo
Upload

Welcome to Scribd!

  • Manual Preparación Cism 15º Q Cap 1

    Uploaded by

    jonathan piza
    12 views3 pages

    Original Title

    MANUAL PREPARACIÓN CISM 15º Q CAP 1

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    12 views3 pages

    Manual Preparación Cism 15º Q Cap 1

    Uploaded by

    jonathan piza

    Copyright:

    © All Rights Reserved
    Download as PDF or read online from Scribd
    Flag for inappropriate content
    of 3
    Capitulo 1—Gobierne de seguridad de Ia informacién Secestn Una jeneralidodes 1.3 PREGUNTAS DE AUTOEVALUACION 1-4 Laconsidracion MAS importante para desarollarpolitcas Las preguntas que sé ineluyen en el examen de certificacion de seguridad es que: CCISM eatin dezarrlladas con el propésito de medi y prober el conocimiento practice sobre la gestién de ta seguridad de la ‘A. se basen en un perfil de amenaza. informacién, Todas tas preguntas son de opcidn miiltiple y estén B. sean completas y no omitan ningiin detalle. disefiadas para que se obtenga una mejor respuesta. Todas las C. lagerencia las apruebe. preguntes del examen CISM tienen el formato de plantesmieato D. todos fos emplcados as lean y las envendan de un problema (pregunta) y cuatro opciones (opciones de respuesta). Se pide al candidat que elfjala respuesta correcta o la 1-5 El PRINCIPAL objetivo de seguridad al elaborar buenos mejor respesta entre las opciones. El problema se puede formalar _-—_—Provedimitos es onto una pregunta coro un enuciadoincompleto. En algunas, ccabones, ge puede incur agin esoenaro o desrpcign deun ‘A. aseyurrse de que funcionan seg lo planeado problema’ Estas preguntas normalmente incluyen la descripeién 'B. que-n0 sean ambiguos y que cumplan con tos estindares. de una situacién y requieren que el candidato responda dos o mas ‘C. que estén redactados en un lenguaje sencitlo y sean preguntas basindose en fa informacion sumiisrada, Muchas arnpliamente dstribudes. veces una pregunta del examen de certificacién CSM requerind 1D. que se pueda monitoresr el cumplimicnto. {quel candidat ela la espuesta més probable ola mejor. ; 1-6 {Cuil des siguientes opeiones ayuda MAS a asogurar que Baa aa ae ae eee fe asignacin defunionesy resporsabilidades sea efectivn? liminar las espuestas que sean claramenteincoretasy hego face la mejor elezsin posible, Conocer el formato en que ‘A, Lata direcin respald as asignacones ‘se presentan las preguntas y cémo estudiar para obtener el 'B, Las asignaciones son congruentes con las competencias conocimiento de Jo que se va a probar sera de gran ayuda para existentes. gee eee cee a C. Lasasgntcione erelacinan con ls destezasrequerids D. Las asignaciones son dadas de manera voluntria. 1-1 Una estratgia de seguridad es importante para una : begmizucién PRINCIPALMENTE porgee 1-7 {Cull de os siguientes beneficis os el MAS importante fara una organizacin con gobiero cfectvo de seguridad A. proporciona una base para determinar la mejor ela informacién? brgitectura de seguridad lgiea paral organiza. 'B. proporcions el enfoque para lograr los resultadas que le ‘A. Mantener un cumplimientoregulatro apropio. erencia desea, B, Garantica que la interupciones estan dentro de CC proporciona orenacén os usuatios sobre obmo niveles acepabls. Ge ee niaan vagal de ae C, Priorat a asignacin de recursos correctivos fessor conten D, Maximiza el retomo sobre inversonesen Seguridad D. ayuda aos auditors de I para verificar el aie 1-8 Desde el punto de vist dl gerete de seguridad dela informacion, fos factores MAS importantes con respeto a 1-2 Cull de las siguientes opciones sla razén MAS laretencion de datos son: importante par proveercomnicacin eesiva sobre la Sepurdad det informacion? A, requeimientes regulators y de negocio. B. integridad y dstruceién de documentos. {A Hace que la seguridad dela informacion sea mas C. disponbilidad de medias yaimacenamient. agradable pare los erpleados enuntes D. eonfidencialiad y enceipiscin de dats BB. Mitiga lesan ms débil ene panorama dela epee aes cee 1-9 {Cuil de os siguientes roles esté.en la MESOR poscion C. Informa a Jas unidades de negocio sobre la estrategia de para revisar y confirmar que uns lista de acceso de usuarios ‘seguridad de la informacién. -¢s apropiada?: 1, Aud qu le organizacioncumpla con los requrimienos ‘Spon de seguridad dela normacen A.B dua eos date 13 Galle lor abuts eben syste MESON a B. Gerente de seguridad de a informacion que el gerente de seguridad de la informacién logre el C. Administrador de dominio ‘cumplimiento con tos varios requerimientos regulatorios? D. El gerente de negocio 'A. Recut re juridicacoporatva para informarse ‘1-10 Enlaimplementacin del gobiemo def seguridd de a Sobre cules son as egulacronesaptables informacié, el grent de seguridad dea ivformacién es 'B, Mantenerseactalizado sobre oda las reguaciones responsable PRINCIPALMENTE de: plicable y solicit al rea jurcica su iterpreaci, C. Requerir la participacién de todos los departamentos ‘A. desarrollar la estrategia de seguridad. afectados y tratar a las regulaciones como otro riesgo. B. revisar la estrategia de seguridad. ‘D. Ignorar muchas de las regulaciones que no tienen C. comunicar la estrategia de seguridad, penatidedes. D, aptobar a exraegia de seguridad, 20 Manual de Preparacién para el Examen CISM 15° edicion TsAca. Todos toe rochos rerorvedos. C= ISM Sx” Capitulo 1—Gobiome do. seguridad de Ia Informacion RESPUESTAS A LAS PREGUNTAS DE AUTOEVALUACION 1 A ° Las polticas deben desarollase para respaldar Ja estrategia de seguridad, y una arquitecisra solo puede desaroflase despus de que las poitcas estén Finalizada (es deci, la estategia de seguridad no es 1.4 Ja base de le arquitectira, las politicas fo son). ‘Una estrateyia de seguridad definirs el enfoque para lograr ls resultados del programa de ‘seguridad que la gerencia desea. También debe ser tuna declaracién de cmo la seguridad est alineada ‘con los objetivos del negocio y los apoys, establece 4a base para un buen gobierno dela seguridad. ‘Una estategia de seguridad puede inclur requisites para que los usuarios aperen de manera segura, pero ro trata de qué manera se lograri eso, {Los auditores de St no deter nan e cumplimiento basindooe en la estratogia, sin baséndose en elementos ‘como los estandars y los objtivos de conto. La comunicacin fieaz puede ayudar a hacer que la seguridad de la informacién sea mds agradable, pero 5.5, ry es el aspecto ms importants Jin a gran mayoria de ls casos, los fallosen Ia ‘equridad se atribuyen directamente al hecho de que Jos empleados no conocen 0 no siguen ls poitiens © Jos procedimientos. La comunicacion es importante ‘para garantizar que se tiene una concientizacion ‘continua dels poiticas y los procedimientos de seguridad entre el personaly los soe de negocis. La comunicacion efieaz permit que se informe alas unidades de negocio sobre los diferentes aspectos de la seguridad de la informacién, que ieluye ln estategin, pero noes el aspecto mas importante. {Ee comunicacin eficaz ayudar lograre curplinlento porque e poco probable que los empleados canplan con les rgulacones, amenes que sean infrmadas sobre lias, Sin embargo, noes la consideracin mas mportate 16 En generale] éeajurdica comporativa se involucra principalmente con los asuntos burstiles y los archivos relacionados exigidos por ls reguladares,y con los Aasuntos coniractuales. Es poco probable que el personal de juridico est atualizada sobre los requsitoslegales Tas repulaciones de la seguridad dela informacion, ‘Aun cuando puede ser itil mantenerse al dia en lo. ‘que a regulaciones nuevas y vigents se refiere, esto, cn a prctice, es casi imposible, especialmente para ‘compatias multinacionales. ‘Los departamentos come recursos humans, lnanzas {Juridica son los que cas siempre etn sujetos 2 js nuevas regulacionesy, porn tant, tenca qu Involuerarse en la determ 4 por lo general, gon quienes estarian més a tanto de ‘ichas regulacones. Tatar alas regulaciones como ‘otra riesgo las colocaen ln perspectiva apropiada 1yse deben (ener implementados los mecanismos para gestionarlas. EI hecho de que existan tantas ‘egulaciones hacs improbable que todas elias se puedan tratar de manera especficay eficiente. En la actualidad, muchas de ells no tienen consecuencias significatvasy, de hecho, pueden tratarse dando ‘eumplimionto a otras regnlaciones. La respuesta mas relevant alo requerimientosregulatoros determninarel posible impacto que tendria para la ‘organizacion dl misao modo en que se determina para eualguier otro riesgo ° Secelén Uno: Generaiidades {ncluso si algunas regulaefones tienen pocas penalidades, o ninguna, jgnoraras sin considerar ‘offs impactos posibes (por ejemplo, dato a la repuiacin, y si podrian ser relevant para la corganizacidn, noes, en general, un enfoque pruderte, La base para desarrollar politicas de seguridad aplicables es tratar Ins amenazas viables para 1a organizacién, priorizando ta probabilidad de ‘ocurrencia y su posible impacto en el negocto. Las politicas mas estrietas deben aplicarse alas areas {de mayor valor para el negocio. Esto garantiza que se mantenga la proporcionalidad dela proteccién, Las politicas son declaraciones de I intencién y direccién de Ia gerencia a un nivel ato y proporcionan pocos detalles, 0 ningino. “Mientras se desarolan las polities, nos le sofeta a la gerencia que ls firmen hasta que se hayan finalizado, {Los empleados no leen ni entienden las poiticas rmientas ésas se estn dessrrllando, ‘Aun cusndo es importante garantizar que los procedimientos funcionen segin lo planeado, et hecho de que no sea asi no lo conveetiria en un problema de seguridad. Todas las respuestas son importantes, peroel primer criterio debe ser garantizar que no exista mbigiiedad en los procedimientos y que, desde tuna perspectiva de seguridad, cumplan con los estindares aplicables y, por ende, con Ia politica Es importante, pero no tan eritico, que los procedimientos estén claramente eseitos y que sean provistos u todo el personal segin sea nevesario, El cumplimaento es importante, pero es esencial que se cumpla con un procediiento corect, El respaldo de la alta direscion siempre es importante, pero no estan importante para la efectividad de las setividades que realizan los empleados. El nivel de efectvidad de los empleados estard determinado por el conocimiento y las capacidades que tengan; en otras palabras, por sus competencias. Relacionar las roles con ls tareas que se requieren puede ser iti, pero no garantiza que la gente pueda evar a cabo dichastarea, Sibien es més probable que los emplesdos estén entusiasmados por un trabajo al que se han offecido, no es un requisito para ellos el ser efetivos, “Mantoner el cumplimiento reguatorio apropindo es Ui, pero es un resultado secundario. Lo esencial de los esfuerz0s retacionados con Ia seguridad es garantizar que el negocio pueda continuar operando con un nivel aceptable de interrupcién que no limite demasiado las actividades que generan ingresos. Priorizar la asignacion de recursos correctivos es iti, pero s un resultado secundari, Maximizer el retomo sobte inversiones en seguridad stl, pero es un resultado secundaria, ‘Manual de Preparacién para el Examen CISM 15° edicién dos los derechos reservados. Las requisitos regulatorios y de negocio son los factores que irpulsan la retencign de datos. [a integridad es un factor clave para la seguridad do Ja informacion. Sin embargo, tanto los requisites regulutorios como los de negocio son fs Factores que impulsan la refencién de datos. La disponibilidad es un factor cave para la seguridad de lz informacién. Sin embargo, tanto los requisitos regulatrios como los de negocio son ls Factores que impulsan fs retencion de datos. [Laconfidencialidad es un factor clave para la seguridad de I informacion. Sin embargo, tanto los equistos regulatorios eomo fos de negocio on los Factores que impulsan la retencién de datos, [EI dueto de fos datos es responsable de reconfirmar de manera periédica las lista de acceso a os sistemas de ls cuales es duet I gerente de seguridad dela informacién se encarga

    You might also like