Cuando se realiza un andlisis cuantitativo del riesgo, jeual de las siguiente opciones es la MAS importante para estimar la pérdida potencial? Evaluar las pérdidas de produetividad Determinar el impacto de la revelacién de datos confidenciales Calcular el valor de la informacion o el activo Medir la probabilidad de que ocurra cada amenaza Ces la respuesta correcta. Justificacién: A. Determinar cudnta productividad podria perderse y cudinto costaria son pasos en el proceso de estimacién del riesgo potencial, B. Concer el impacto de que la informacién confidencial sea revelada es también un paso en ta estimacién del riesgo potencial C. — Caleular que el valor de la informacién o el activo es el primer paso en un proceso de andlisis del riesgo para determinar el impacto a la organizacién, que es el objetivo final. D. Medir la probabilidad de que ocurra cada amenaza identificada es un paso para realizar un andlisis de amenazas ys por lo tanto, es una respuesta parcial.{Cual es el objetivo PRINCIPAL de un programa de gestién de riesgos? A B. Cc D. Minimizar el riesgo inherente. Eliminar el riesgo de negocio, Implementar controles efectivos. Alcanzar un nivel de riesgo aceptable. Des ta respuesta correcta, Justifies Bl riesgo inherente ya puede ser aceptable y no requerir ningiin remedio, Minimizarlo por debajo del nivel aceptable no es el objetivo y, generalmente, aumenta los costos. La eliminacién del riesgo en el negocio no es posible, Los controles efectivos son naturalmente un objetivo claro de un programa de gestién de riesgos, hasta el grado de alcanzar la meta principal de lograr un riesgo aceptable en toda la organizacién, La meta de un programa de gestiOn de riesgos es garantizar que se alcancen y mantengan niveles aceptables de riesgo.Luego de terminar una evaluacién completa de riesgos de TI, gquién esté en la MEJOR posicién para decidir qué controles de mitigacién deben implementarse? Laalta gerencia El gerente de negocio Bl gerente de auditorfa de TI BJ director de seguridad de la informacién B es la respuesta correcta. Justificacisr A B, La alta gerencia tendré que garantizar que el gerente de negocio tenga un claro entendimiento del riesgo evaluado, pero no estaré en una posicién para decidir sobre controles especificos. El gerente de negocios estar en la mejor posicidn, basado en las propuestas de evaluacién del riesgo y de mitigacién, para decidir qué controles deberian/podrfan ser implementados, alineados con la estrategia del negocio y con el presupuesto. El gerente de auditoria de Tl tomara parte en el proceso para identificar amenazas y vulnerabilidades, y para hacer recomendaciones para mitigaciones. El director de seguridad de informacién podria tomar algunas decisiones con respecto a la implementacion de controles. Sin embargo, el gerente de negocio tendré una visién més amplia del negocio y mejor comprensién del impacto del control sobre los objetivos de negocio y, por lo tanto, estaré en una mejor posicién para tomar decisiones estratégicas.{Cudl es el PRIMER paso para realizar un andlisis de riesgo de la informacién? Establecer la propiedad de los activos. Evaluar los riesgos a los activos. Realizar un inventario de los activos. Clasificar los activos. fa respuesta correcta, Justificacién: A. B. Cc D. Los activos deben ser inventariados antes de que se pueda establecer la propiedad de los activos. Los activos deben ser inventariados antes de que se pueda evaluar el riesgo a los activos. Los activos deben ser inventariados antes de que se pueda realizar cualquiera de las otras opciones, Los activos deben ser inventariados antes de que se puedan categorizar.{Cual es el PRINCIPAL beneficio de realizar una clasificacién de los activos de informacién? i mi Cc. D, Vincula los requerimientos de seguridad con los objetivos de negocio. Identifica los controles de acuerdo a los impactos. Define los derechos de acceso, Establece la propiedad de los activos. Bes la respuesta correcta, Justificacion: La clasificacion de os activos indiectamente vincula la seguridad con los objetivos de negocio sobre la base del valor comercial de los activo, ‘Los niveles de clasificacién se basan en el valor comercial (0 impacto potencial) de los activos y de los controles més robustos necesarios para la clasificacion mas alta, La clasificacién no define los derechos de acceso. La clasificacin no establece la propiedad, A B. Cc D.82-35 {Cua de los siguientes es MAS esencial para que un programa de gestidn de riesgos sea efectivo? Presupuesto flexible de seguridad Nivel minimo del riesgo sdlido Deteccidn de nuevos riesgos Informe preciso de los riesgos Ces la respuesta correcta. Justificacion: Un presupuesto flexible de seguridad es esencial para implementar la gestin de riesgos, Sin embargo, sin identificar nuevos riesgos, otros procedimientos solamente serdn tiles por un periodo limitado. Un nivel ménimo robusto de riesgo es esencial para implementar la gestion de riesgos. Sin embargo, sin identificar nuevos riesgos, otros procedimientos solamente serdn ditiles por un periodo limitado. ‘Todos estos procedimientos son esenciales para implementar la gestiOn de riesgos. Sin embargo, sin identificar nuevos riesgos, otros procedimientos solamente seri iitiles por un periodo limitado. Un informe preciso de los riesgos es esencial para implementar la gestién de riesgos. Sin embargo, sin identificar nuevos riesgos, otros procedimientos solamente serén files por un periodo limitado,$2-36 {Cual de los siguientes ataques se mitiga MEJOR utilizando contrasefias seguras? A. — Ataque de "hombre en el medio" B. — Ataque de fuerza bruta C. Desbordamiento del buffer remoto D. — Ataque “Root-kit” Bes la respuesta correcta. Justificacién: Los ataques de hombre en el medio (man-in-the-middle) interceptan el trafico de la red y deben protegerse mediante encriptacién. Las contrasefias seguras mifigan los ataque de fuerza bruta Los ataques de sobrecarga del buffer pueden no estar protegidos por contrasefia, Los root kits se enganchan en el niicleo del sistema operativo y, por lo tanto, operan por debajo de cualquier mecanismo de autenticacién.{Con cual de los siguientes se mitiga MEJOR el phishing? A. Software de monitoreo de la seguridad B. — Encriptacin C. — Autenticacién de dos factores D. — Concienciacién del usuario Des la respuesta correcta, Justi A. B. Cc D. acién: Un software de monitoreo de la seguridad generalmente es ineapaz de detectar un atague de suplantacién de identidad (phishing). La eneriptacién (cifrado) no mitigara esta amenaza. La autenticacin de dos factores no mitigaria esta amenaza. El phishing es un tipo de ataque de correo electrénico que trata de convencer a un usuario de que el originador es auténtico, pero con Ia intencién de obtener informacién para uso en ingenieria social. Puede igado mejor por una concienciacién del usuario adecuada.Las evaluaciones del riesgo deberian repetirse en intervalos regulares porque: Las amenazas del negocio cambian constantemente. Las omisiones en evaluaciones anteriores pueden valorarse. Las evaluaciones repetitivas permiten diversas metodologias. Ayudan a elevar la conciencia sobre la seguridad en el negocio. ‘Aces la respuesta correcta, Justificacion: A. Amedida que los objetivos y los métodos del negocio cambian, la naturaleza y la relevancia de las amenazas también cambian, B, _ Las omisiones en evaluaciones anteriores no justifican, por si mismas, la revaloracién periddica. C. Eluso de varias metodologtas no es una razén comercial para repetir las evaluaciones de riesgo a intervalos regulares. Las evaluaciones de riesgo pueden ayudar a despertar la concienciacién del negocio, pero existen mejores maneras de despertar la concienciacién de la seguridad que realizando una evaluacién de riesgo.{Cual de los siguientes pasos para efectuar una evaluacién del riesgo debe realizarse PRIMERO? A. Identificar los activos del negocio B, _ Identificar los riesgos del negocio C. — Determinar las vulnerabilidades D. _ Evaluar los controles clave ‘Aces la respuesta correcta. Justificacién: La evaluacién del riesgo requiere que primero se identifiquen los activos del negocio que necesitan ser protegidos antes de identificar las amenazas, BI segundo paso en la evaluacién del riesgo es establecer si esas amenazas representan riesgo para el negocio, identficando la probabilidad y el efecto de que ocurran, Evaluar las vulnerabilidades que pueden afectar la seguridad de los activos es posterior a identificar los activos del negocio y el riesgo. La evaluacién de riesgos después del andlisis se usa para determinar silos controles abordan el riesgo hasta ceumplir los criterios de aceptabilidad.{Cual es una expectativa razonable para tener un programa de gestién de riesgos? Elimina todo riesgo inherente. Mantiene el riesgo residual en un nivel aceptable. Implementa controles preventivos para cada amenaza. Reduce el riesgo de control a cero, Bes la respuesta correcta. Justificacion: ‘A. Nose espera que la gestion de resgos elimine cada riesgo identificado porque esto puede no ser rentable. B. El objetivo de In gestiOn de riesgos es garantizar que todo el riesgo residual se mantenga en un nivel ceptable para el negocio. C. Nose pretende que la gestion de riesgos implemente controles para cada amenaza porque no todas las amenazas representan un riesgo, y esto podria no ser rentable, El riesgo de control es el riesgo de que un control pueda no ser eftctivo; es un componente del programa, pero es poco probable que sea reducido a cero,(En qué fase del proceso de desarrollo deberia introducirse PRIMERO la evaluacién del riesgo? A. Programacién B. _ Especificacién C. Prueba de usuario D. — Factibilidad/viabilidad D es la respuesta correcta Justifcacion: La evaluacion no sera relevante en la fase de programacién, El riesgo también debe ser considerado en la fase de especificacién donde se disefian los controle, pero esto ain se basaria en la evaluacion realizada en el estudio de factibilidad. La evaluacién no seria relevant en la fase de pruebas del usuario. El riesgo debe ser abordado lo antes posible en el ciclo de desarrollo. El estudio de fatiblidad/viabilidad debe incluir la evaluaciOn del riesgo para que el costo de los controles pueda ser estimado antes de que se proceda con el proyecto.Al realizar una evaluaciéninicial de vulneabiidadestéonicas,jeudl de las siguientes opciones debe recibir méxima prioridad? Sistemas que impactan el orden legal o regultorio. A, B. _ Sistemas o aplicaciones con exposiidn al exterior C. Recursos sujetos a contratos de desempeiio D. Sistemas cubiertos por seguro conta interupcidn de negocios D es la respuesta correcta, Justificacion: A B, Las consideraciones legales y regulatorias son evaluadas de la misma manera que otras formas de riesgo. Los sistemas y las aplicaciones con exposiciOn al exterior no son necesariamente sistemas de alto impacto. La priorizacién de una evaluacién de vulnerabilidades debe realizarse en funcién del impacto, Si bien el impacto asociado con la pérdida de cualquier recurso sujeto a un contrato de desempefo es claramente ‘cuantificable, no es, necesariamente, un reeurso eritico, Si la pérdida de un sistema de contratos representa un impacto significativo para la organizacién, se implementarén medidas adicionales como el seguro contra interrupein de negocios, Mantener las operaciones del negocio siempre es Ia prioridad. Si un sistema est cubierto por el seguro contra interrupcién de negocios, e¢ un claro indicador de que la gerencia lo considera un sistema critico.{Por qué una organizacién decidira no tomar alguna aceién sobre una vulnerabilidad de denegacion del servicio encontrada por el equipo de evaluacién de riesgos? Existe suficiente proteccién para evitar que ocurra este riesgo, Las contramedidas necesarias son demasiado complicadas para implementar. El costo de las contramedidas supera el valor del activo y de la posible pérdida. La probabilidad de que ocurra el riesgo no se conoce. Ces la respuesta correcta, Sustificacin: A. B, c as salvaguardas necesitan equiparar el nivel de riesgo. Nunca puede estar seguro de tener suficiente seguridad porque las amenazas siempre estén evolucionando, Mientras las contramedidas podrian ser demasiado complicadas de desplegar, esta no es la razin més apremiante. Una organizacién puede decidir convivir con riesgos especificos porque costaria més proteger a la organizacién que el valor de Ia pérdida potencial. Es poco probable que una insitucion financiera global no esté expuesta a este tipo de ataques y la probabilidad no podria predecitse,82-44 {Cual de los siguientes tipos de informacion esperaria el gerente de seguridad que tuviera el nivel de proteecién de seguridad MAS BAJO en una compaiiia multinacional que se cotiza en bolsa? A. Plan estratégico de negocio B, _Proximos resultados financieros C. —_Informacién personal del cliente D, Resultados financieros anteriores Des la respuesta correcta. Justificacion: A. El plan comercial estratégico es informacién privada y solo deben tener acceso entidades autorizadas. B. Los resultados financieros subsiguientes son informacion privada y solamente las entidades autorizadas pueden acceder a ellos. C. La informacién personal de los clientes es informacién privada y solo deben tener acceso entidades autorizadas, D. __ Los resultados financieros anteriores son piiblicos, todas las otras opciones son informacion privada y inicamente las entidades autorizadas pueden acceder a ella,{Cuil es el propdsito PRINCIPAL de utilizar el andlisis de riesgo dentro de un programa de seguridad? A. El anilisis de riesgo ayuda a justificar los gastos de seguridad. B. _Elandlisis de riesgo ayuda a priorizar los activos que serén protegidos. C. El anilisis de riesgo ayuda a informar a la direccién ejecutiva sobre el riesgo residual. D. — El anilisis de riesgo ayuda a evaluar las exposiciones y el plan de remediacién, D es la respuesta correcta, Justifien ‘A. Elandlisis de riesgo soporta de manera indirecta los gastos en seguridad, pero justficar los gastos en seguridad no ¢s su propésito principal. B, _Ayudara los negocios a priorizar los activos a ser protegidos es un beneficio indirect del andlisis de riesgo, pero no su propésito principal. C. _Informara la gerencia cjecutiva sobre el valor del riesgo residual no es direclamente relevante. El analisis del riesgo explora el grado al que un activo necesita ser protegido de modo que pueda ser manejado de manera efectiva,82-46 {Cuil de las siguientes es el prerrequisto PRINCIPAL para implementr la casficaciOn de datos dentro de una organizacién? A. Definir as funciones de los puestos de trabajo B. —Realizar una evaluacin del riesgo C._Identifiear alos propitarios de os datas D, Establecer las politicas de retencidn de los datos Ces la respuesta correcta, Justifieacién: Definir las funciones de los puestos de trabajo no es relevante. Bfectuar una evaluacidn del riesgo es importante, pero requerir la participacin de los propietaris de los datos (quienes deben primero se identificados) Identificar a los propietarios de los datos es el primer paso, y es esencial para implementar Ia clasificacion de los datos. El establecimiento de las politcas de relencidn de los datos pucde ocurir en cualquier momento,Una insttueién bancaria en linea esté preocupada de que la violacién dela informacién personal de clientes tend un impacto finenciro signficativo debido a la necesidad de notficar y compensar alos clientes cuya informacién personal pueda haber sido comprometida La insttucién determina que el riesgo residual sera siempre demasiado alto y decide: ‘A. Mitigar el impacto comprando seguro. B. _Implementar un firewall de nivel de circuito para proteger la red, C. _Incrementar la resliencia de las medidas de seguridad implementadas D. _Implementar un sistema de deteceién de intusos en tiempo real, ‘A es la respuesta correcta. Justificacié A. El riesgo residual es el riesgo que permanece después de que la gerencia ha implementado una respuesta al riesgo. Debido a que el riesgo residual ser siempre demasiado alto, Ia vinica solucién priictica es mitigar el impacto financiero mediante la compra de seguros. La compra de seguros se conoce también como transferencia del riesgo. La organizacién ha determinado que el riesgo residual siempre ser demasiado elevado y eligié transferir el riesgo, por lo que no hay necesidad de intentar més mitigacién, La organizacién ha determinado que el riesgo residual siempre serd demasiado elevado y eligié transferir el riesgo, por lo que no hay necesidad de intentar més mitigacién, La organizacién ha determinado que el riesgo residual siempre serd demasiado elevado y eligié transferir el riesgo, por lo que no hay necesidad de intentar més mitigacién,82-48 Qué mecanismo debe usarse para identifica las deficiencias que proveerian alos alacantes una oportunidad para comprometer un sistema computacional? Andlsis de impacto al negocio Andlisi de brechas Métricas de desempefio del sistema Proceso de respuesta a incidentes Bes la respuesta correcta, dustificacion: Un analisis del impacto en el negocio no identifica vulnerabilidades. Un andlisis de brecha de seguridad es un proceso que mide todos los controles de seguridad existentes contra objetivos de control, donde se identficardn las brechas, Las meétricas de desempefio del sistema pueden indicar las debilidades de seguridad, pero ese no es su proposito principal. Los procesos de respuesta a incidentes existen para los casos en que se explotan las debilidades de seguridad,Un gerente de proyecto esté desarrollando un portal de desarrotlo y solcita que el gerente de seguridad asigne una direccién de protocolo de Internet piblica para que pueda ser accedida por el personal interno y por fos consultores cextemos a la red de drea local de la organizacién, Qué debe hacer PRIMERO cl gerente de seguridad? Entender los requerimientos de negocio del portal de desarrollo Realizar una evaluacion de vulnerabilidades del portal de desarrollo. Instalar un sistema de deteccién de intrusos. Obtener un contrato firmado de no divulgacién por parte de fos consultores externos antes de permitir el acceso cextemo al servidor, ‘Aces Ia respuesta correcta, Justificacion: El gerente de seguridad de la informacién no puede tomar una decisin informada acerca de la solicitud sin primero entender los requerimientos del negocio del portal de desarrollo. Bfectuar una evaluacion de la vulnerabilidad del portal del desarrollador es prudente, pero es posterior a entender los requerimientos Insialar un sistema de deteccién de intrusos puede ser dtil, pero no tan esencial como comprender los requerimientos, Obtener un acuerdo de no divulgacion firmado es una prictica prudente, pero es secundaria en relacién a comprender los requerimientos.Se ha identifcado que un sistema de mision critica tiene una cuenta del sistema adminstatvo con atributos que previenen bloquea y cambiar privilegios y nombre. ¢Cual sera la MEWOR forma de prevenir un ataque exitoso de fuerza bruta de la cuenta? Provenir que el sistema sea acodid a distancia, Crear una contrasefaaleatoria fuerte. Solicitar un parche de vendedor. Resirer el uso dela cuenta mecintepistas de auditora, Bes la respuesta correcta, Sustificacién: A Prevenir que el sistema sca accedido a distancia noes siempre una opcidn en los sistemas critics y deja todavia el riesgo de acceso local Crear una contrasefa aleatoria fuerte reduce ef riesgo de un ataque exitoso de fuerza bruta aumentando exponencialmente el tiempo requerido, Los parches de vendedor siempre estin disponibles, Rastrear el uso es un control de deteccién y no impedird un ataque,Los ataantes qu explotan las vlnerabildades de eneriptacin cruada dest rosssit seripting) se aprovechan de una fala decontoles de validacin de entrada adecudos, controle dbiles do autenticacion en la capa de aplcacién web, implementaciones criptogréfcas dfectuosas de la capa de conetor seguro y longitu de aves cots releciones de confianzaimplcitas de aplcaién web, ‘Aces la respuesta correcta, Justifcaci Los ataques de encriptacion cruzada de sitio (cross-site scripting) inyectan input deformado, Los atacantes que explotan conroles débiles de autenticacién de aplicaciones pueden obtener acceso n0 autorizado alas aplicaciones, pero esto tiene poco que ver con las vulnerbilidades de la encriptacin de sitio eruzada, Los atacantes que explotan las implementaciones defectuosas de capa de conector seguro y claves eortas pueden buscar (sniff) el téfico de red y quebrar las claves para obtener acceso no autorizado ala informacion Esto tiene poco que ver con ls vulnerabilidades de eneripacion eruzada de sito, Las relaciones de confianza de la aplicacién web no se relacionanditectamente con el ataque,{Cudl de los siguientes abordarfa MEJOR el riesgo de fuga de datos? Procedimientos de copia de respaldo de archivos Verificaciones de integridad de la base de datos Politicas de uso aceptables Procedimientos de respuesta a incidentes Ces la respuesta correcta, Justficacién: Los procedimientos de respaldo de archivos garantizan la disponibilidad de informacion en alineaciOn con los requerimientos de retencién de datos, pero no hacen nada para evitar las fugas. Las verificaciones de integridad de la base de datos verifican la asignaciGn y a integridad estructural de todos los cobjetos en la base de datos espeeifiea, pero no hacen nada para evitar las fugas. Una politica de uso aceptable establece un acuerdo entre usuarios y la empresa y define los rangos de uso aprobados para todas las partes involucradas antes de obtener acceso a la red o a Internet. Los procedimientos de respuesta a incidentes brindan pasos detallados que ayudan a que una organizacién minimice el impacto de un evento adverso y no abordan directamente la fuga de datos.Una compatia desarrollérecientemente una tecnologia avanzada. Debido a que esta teenologta podria dar a esta compatifa una ventaja compettiva significativa, ;cuAl de las siguientes poitcas regiria PRIMERO cémo esta informacin debe ser protegida? A. Politica de control de acceso B. Politica de clasificacién de datos C. — Estindares de encriptacién D. Politica de uso aceptable Bes la respuesta correcta. Justifieacion: Sin una clasificacion encargada de grado de protecciéni es dificil determinar qué controles de acceso deben estar instalados, Las politicas de clasificacién de datos definen el nivel de proteccién proporcionada para cada categoria de datos, de acuerdo con el valor del negocio, Sin una clasificacion encargada de grado de proteccién, es dificil determinar qué niveles de encriptacién deben estar instalados. Una politica de uso aceplable esté més orientada hacia el usuario finaly, por lo tanto, no abordaria cespecificamente qué controles deben estar instalados pata proteger Ia informacién de manera adecuada,{Cual es la MEJOR técnica para determinar qué controle de seguridad implementar con un presupuesto limitado? Analisis de riesgos CAloulos de la expectativa de pérdida anual Analisis de costo-beneficio Anélisis de impacto Ces la respuesta correcta. Justificacién: El anilisis de riesgos cuantifica el riesgo para priorizar las respuestas al riesgo La expectativa de pérdida anual es la pérdida monetaria que puede esperarse para un activo debido a un riesgo durante un periodo de un afto, pero no hace nada para dar prioridad a los controtes, El anilisis de costo-beneficio se realiza para garantizar que el costo de una proteceién no supere su beneficio y que se proporcione Ia mejor proteccién para el costo de la implementacién. Un andlisis de impacto es un estudio priorizar ala importancia de los recursos de informacién para la empresa baséndose en los costos (0 consecuencias) de los eventos adversos. Kn un andlisis del impacto se identifican amenazas alos aetivos y se determinan las pérdidas de negocio potenciales para diferentes periodos. Esta evaluacién se utiliza para justificar el aleance de las proteceiones que se requieren y los plazos de recuperacién, Este andlisis es la base para establecer la estrategia de recuperacién,82.55 El servidor de correo de una compatia permite el acceso anénimo a protocolo de transferencia de archivos, que podria ser explotado, ;Qué proceso debe desplegar el gerente de seguridad de la informacién para determinar la necesidad de medidas correctvas? A. Una prueba de penetracion B, Una revision de seguridad de nivel minimo C. Una evaluacin del riesgo D. Un andlisis del impacto en el negocio Ces la respuesta correcta, Justificacién: Una prueba de penetracién puede identificar la vulnerabilidad pero no las amenazas potenciales o el remedio, Una revision de seguridad de nivel minimo puede identificar la vulnerabilidad pero no el remedio. Una evaluacién del riesgo identificars el impacto sobre el negocio de la vulnerabilidad que esta siendo explotada y las opciones correctivas, Un andlisis del impacto en el negocio identificard el impacto de la pérdida del servidor de correo y los requerimientos para la restauracién,{Cuél de las siguientes métricas seria MAS efectiva contra las amenazas interas a la informacién confidencial? Control de acceso basado en roles Monitoreo de pistas de auditoria Politica de privacidad Defensa en profundidad Aes la respuesta correcta. Justificacién: A. El control de acceso basado en roles es un control preventivo que provee acceso de acuerdo con las necesidades del negocio, por lo tanto, reduce derechos de acceso innecesarios y hace cumplir la responsabilidad, El monitoreo de pistas de auditoria es un control de deteccidn, que esté “después del hecho”, La politica de privacidad no es relevante para este riesgo. La defensa en profundidad se enfoca principalmente en las amenazas externas y en el control de capas.Después de un estudio de evaluacién del riesgo, un banco con operaciones globales decidié continuar realizando negocios en cierta regiones del mundo donde el robo de identidad es rampante El gerente de seguridad de la informacion debe alentar al negocio para que: aumente sus esfuerzos de coneienciacién del cliente en esas regiones. implemente téenicas de monitoreo para detectar y reaccionar ante un potencial fraud. extemmaliza el procesumiento de tarjetas de erédito haga al cliente responsable de las pétdidas si no siguiera el consejo del banco. Bes la respuesta correcta, Sustificacién: Si bien la concienciacion del cliente ayuda a mitigar el riesgo, esto no es suficiente por si solo para controlar el riesgo de fraude Implementar téenicas de monitoreo que detectan y manejan posibles casos de fraude es Ia manera mas cfectiva para hacer frente a este riesgo. Si el banco externaliza (outsourcing) su procesamiento, el banco seguird conservando la responsabilidad. Si bien es poco probable el responsabilizar al cliente responsable por las pérdidas, e! banco debe ser proaetivo en el manejo de riesgo.{Cudl de ls siguientes opciones es la MEJOR base para determinar la crticidad y la sensibilidad de los activos de informacién? Una evaluacién de las amenazas Una evaluacién de vulnerabilidad Una evaluacién de dependencias de recursos Una valoracién del impacto Des la respuesta correcta. Justificacion: A La evaluacién de las amenazas enumera slo las amenazas a las que el activo de informacién se expone; no considera el valor del activo y cl impacto de la amenaza en el valor, La evaluacién de vulnerabitidad enumera sélo las vulnerabilidades inherentes en el activo de informacién que pueden atraer a las amenazas. No considera el valor del activo ni el impacto de las amenazas percibidas en el valor, Las evaluaciones de dependencias de recursos proporcionan necesidades de! proceso, pero no el impacto. La criticidad y la sensibilidad de los activos de informacién dependen del impacto y de la probabilidad de las amenazas que explotan vulnerabilidades en el activo y toma en consideracién el valor de los activos y el deterioro del valor,82-59 {Qué elemento del programa debe ser implementado PRIMERO en la clasificacién y control de activos? A. — Evaluacién del riesgo B. — Clasificacién C.— Valoracién D. — Mitigacién del riesgo Ces la respuesta correcta, Justificacion: La evaluaci6n del riesgo se realiza para identificar y cuantificar las amenazas a los activos de informacién que son seleccionadas en el primer paso, la valoracié La clasificacién es un paso después de la valoracién, La valoracién se realiza primero para identificar y entender el valor de los activos que necesitan proteccién, La mitigacién del riesgo es un paso que sigue a la valoracién, basado en la valoracién,{Cul de las siguientes opciones es fa consideracién MAS importante cuando se lleva a cabo una evaluacién del riesgo? La gerencia respalda los esfuerzos de mitigacion de riesgos. Las expectativas de pérdida anual fueron calculadas para los activos criticos. ‘Los activos se han identificado y evaluado apropiadamente. Los motivos, los medios y las oportunidades de ataque son entendidas, ‘Ces la respuesta correcta, Sustifica El soporte de la gerencia siempre es importante, pero no es relevante cuando se realiza una evaluacién de riesgos, excepto hasta el grado en el que una falta de soporte pueda representar un riesgo, Los célculos de la expectativa de pérdica anual pueden usarse en el andlisis de riesgos, que es posterior a identificar y valuar apropiadamente los activos primero. La identificacién y la valoracién de activos provee la base esencial de los esfuerzos de Ia evaluacién del riesgo. Sin conocer Ia existencia de un activo y su valor para la organizaci6n, no es posible determinar el riesgo y el impacto. Los motivos, los medios y las oportunidades se consideran parte de la identificacion de riesgos, pero deben considerarse en el contexto de los activos identificados y valuados,{Por qué laclsificacin de actives es importante para un programa de seguridad de la informacin exitoso? ‘A. Determina la prioridad y el alcance de los esfuerzos de mitigacién de riesgos. B. _ Determina el monto de seguro nevesario en caso de perdida, C. _ Determina el nivel apropiado de proteccién para el activo, D. Determina ebmo se comparan los niveles de proteccién con los de organizaciones similares. C es la respuesta correcta, Justificacién: ‘A. Laclasificacién no determina la prioridad y el alcance de los esfuerzos de mitigaién de resgos; la prorizacion de los esfuerzos de mitigacidn de riesgos se basa gencralmente en el andlisis de riesgo o en un andlisis del impacto en el negocio. Laccasificacin no establece el monto del seguro necesario; el seguro, a menudo, no es una opcién viable La clasificacién se basa en el valor del activo para la organizacin y ayuda a establecer el nivel de proteccién en proporcién al valor del activo. Los esquemas de clasificacindifieren de organizacién en organizacién y, a menudo, no son adecuados para el estudio comparativo de mereado (benchmarking).4Cual es la MEJOR estrategia para la gestién de riesgos? Lograr un equilibrio entre las metas de riesgo y de la organizacién. Reducir el riesgo a un nivel aceptable. Garantizar que el desarrollo de politicas considere apropiadamente el riesgo organizacional. Garantizar que todos los riesgos no mitigados sean aceptados por la gestién, Bes la respuesta correcta. Justificacion: LLograr un equilibrio entre fas metas de riesgo y de la organizacién no siempre es prictico. La mejor estrategia para In gestion de riesgos es reducir el riesgo a un nivel aceptable, debido a que esto foma en cuenta el apetito de riesgo de la organizacion y el hecho de que no es posible eliminar todos los riesgos, El desarrollo de politcas debe considera el riesgo organizacional asi como los objtivos de negocio, pero no es una estrategia, Pudiera ser prudente garantizar que la gerencia entienda y acept el riesgo que nu esté dispuesta @ mitigar, pero se trata de una préctica que no tiene base suficiente para ser considerada una estrategia.{Cul dels siguientes opciones es el factor MAS importante a considerr en la pérdda de equipos méviles eon datos no eneiptados? Divulgacion de informacién personal CClberutasuiciente de la poliza de seguro para pérddasaccidentles Impacto potenval dela peérdida de datas Casto de reemplazo del equipo C es la respuesta correcta. Justfieacién: ‘A. Lainformacién personal no forma parte de los datos pedidos. B, _Sicl scguro esté disponible, es poco probable que compense todo el impacto potencial. C. Cuando el equipo mévil se pierde o es hurtado, Ia informacion que contiene es lo més importante a la hora de determinar el impacto de Ia pérdida, Mientras més confidencal sea la informacién, mayor seré la responsabilidad. Siel personal utiliza un equipo mévil para propésitos de negocio, la organizacién debe desarrollar una politica clara sobre que tipo de informacion deberia contener el equipo y con qué fin. El costo del equipo seria una cuestidn menos importanteUna organizacién debe cumplir con los reuerimientos egultris industrials publicaos recientemente, cumplimiento que potencalmente tiene alto cosos ce implementacidn. ;Qué es lo PRIMERO que deberia hacer el gerente de Seguridad de a informacion? A, Consular al comité de seguridad B, —Realizar un anlisis de brechas. C, _Implementarcontroles de compensacién, D. _ Exigirel cumplimiento inmediato, Bes la respuesta correcta, Justificacién: A B. Consultar al comité directivo antes de conocer el alcance de los problemas no seria el primer paso. Por tratarse de los requerimientos regulatorios, el anilisis de brechas seria el primer paso para determinar ¢l nivel de cumplimiento que ya se tiene, La implementacién de controles de compensacién no serfa el primer paso. Exigir l cumplimiento inmediato sin conocer el alcance dela posible fala de cumplimiento no seria un primer paso prudente,{Cuil de los siguientes aspectos seria MAS important incluir en un andlisis de costo-beneficio de un sistema de autenticacién de dos factores? La expectativa de pérdida anual de incidentes La frecuencia de incidentes El costo total de propiedad El presupuesto aprobado para el proyecto Ces a respuesta correcta, Justificacién: La expectativa de pérdida anual puede ayudar a medir el beneficio, pero no aborda los costos, La potencial reduccién en la frecuencia de incidentes también puede ayudar a medir el beneficio, pero no aborda los costos. El costo total de propiedad serfa la pieza mas relevante de informacién para determinar el costo total y el beneficio, 1 presupuesto aprobado para el proyecto no es relevante para el andlisis de costo-beneficio,{Cual es un enfoque razonable para determinar la efectividad del control? Determinar si el control es preventivo, de deteccién o correctivo. Revisar la capacidad del control de proveer notificacién de fallo. Confirmar la capacidad del control para cumplir con los objetivos esperados, Evaluar y cuantificar la confiabilidad del control. Ces la respuesta correcta, Justificacién: A. El tipo de control no es relevante. B. La notificacién de fallo no determina la efectividad del control C, La efectividad del control requiere un proceso para verificar que el proceso del control funcioné como se esperaba. Ejemplos como la contabilidad de control doble o por partida doble ofrecen verificacion y garantia de que el proceso funcioné como se esperaba. La confiabilidad no es sefial de solidez del control; algunos controles débiles pueden ser altamente confiables, incluso si son conttoles ineficientes,De las siguientes opciones, {qué espera identificar una evaluacién de vulnerabilidad de la red? Vulnerabilidades de dia cero Software y spyware maliciosos Fallas del disefio de seguridad Configuracién errénea y omisiOn de actualizaciones D es la respuesta correcta, Justificacién: A B. cs Las vulnerabiidades de dia cero, por definicin no son conocidas con anteriridad y por lo tanto no se pueden detectar. El software y spyware maliciosos se abordan normalmente a través de las politicas de antivirus y antispyware. Las fallas del disefio de seguridad requieren un nivel de andlisis més profundo. Una evaluacién de vulnerahilidades de red busca identificar las vulnerabilidades conocidas basiindose en configuraciones erréneas comunes y omisin de actualizaciones,{Cual de las siguientes funciones es responsable de garantizar que la informacién sea clasificada? A B. Cc. D, La alta gerencia El gerente de seguridad El propietario de los datos El custodio de los datos Ces la respuesta correcta, Justificacién: La alta gerencia es responsable en ultima instancia de la organizacién, El gerente de seguridad es responsable de aplicar la proteecién de seguridad segiin el nivel de clasificacién especificado por el propietario. El propietario de los datos es el responsable de aplicar Ia clasificacién apropiada a los datos, EL grupo de tecnologia posee la custodia de los datos que delega el propietario de los datos, pero el grupo no clasifica la informacién. B.Después de una evaluacién del resgo se determina que el costo para mitgar el riesgo es macho mayor que el beneicio. derivado, El gerente de seguridad de la informacién deberia recomendar ala gerencia del negocio que el riesgo se: transfiera, trate, acepte, climine, Ces la respuesta correcta. Justificacién: ‘A. Transfer ol riesgo es un beneficio limitado si el costo de ese control es mayor que el costo potencial de la rmanifestacin del riesgo, B. Tratar el riesgo es un beneficio limitado si el costo de ese contol es mayor que el costo del que es explotado. C. Cuando el costo del control es mayor que el costo del riesgo, ste ditimo se deberia aceptar. D. _Siol valor de Ia actividad es mayor al potencial costo de la brecha de seguridad, entonces terminar Ia actividad no serfa el consejo apropiado,La razon PRINCIPAL para iniciar un proceso de excepcién de politicas es cuando: el numero de operaciones sea muy clevado para cumplir. el beneficio justifique el riesgo. sea muy dificil hacer cumplir las politicas. inicialmente puedan ser un inconveniente para los usuarios. Bes la respuesta correcta. Justificacion: A. Elexceso de obligaciones no justifica la exeepcidn de politicas, B. Se justifica la excepcién de politicas en circunstancias donde el cumplimiento pudiera ser dificil o imposible y los beneficios tengan mayor peso que el riesgo de ineumplimiento, El hecho de que no se pueda hacer respetar su cumplimiento no justfica la excepcion de poltticas El inconveniente para los usuarios no es una razin que justfique la excepcién automética de una politica,S271 {Cuil de los siguientes seria el factor MAS relevant a la hora de defnr la politica de clsificcion de fa informacién? A. Cantidad de informacién B. _Infraestructura de TI disponible C. Estudio comparativo de mercado D. —_ Requerimientos de los propietarios de los datos D es la respuesta correcta, Justificacién: A. B. Cc. Dd La cantidad de informacién no es un factor para definir la politica de clasificacién de la informacién. La disponibilidad de una inftaestructura de TI no serfa un factor significativo para determinat la politica, Los estudios comparativos no serian un factor para definir la politica de clasificacién, Cuando se define la politica de clasificacién de la informacién, los requerimientos de los propietarios de los datos necesitan ser identificados.{Quién debe ser asignado como propietario de los datos para los datos sensibles de clientes que son utilizados jicamente por el departamento de ventas y almacenados en una base de datos central? El departamento de ventas El administrador de la base de datos El gerente de informética El director del departamento de ventas D es la respuesta correcta, Sustificacién: El departamento de ventas no puede ser el propietaio del activo debido a que elimina la responsabilidad personal, El administrador de la base de datos es un custodio, El gerente de informatica (CIO) no es un propietario de esta base de datos debido a que es probablemente quien posce menos informatica acerca de las necesidades especificas de las operaciones de ventas y de las preocupaciones de seguridad, El propietario del activo de informacién deberia ser la persona con el poder de tomar decisiones en el departamento que obtiene més heneficios del activo, En este caso, es el director del departamento de ventas.Qué actividad debe realizar PRIMERO la gerencia de la seguridad de la informacién cuando evalia el posible impacto de la nueva lopislacin de privacidad en la onganizacion? Deszrollar un plan operativo para lograr el cumplimiento de la legistacion. Identficar sistemas y procesos que contengan componentes de privacidad. Restrngir la recolecién de informacién personal hasta cumplir con las regulaeiones [dentficr la epislacion de privacidad de otros paises que pueden contenerrequerimientos similares, Bes la respuesta correcta, Justificacién: Desarrollar un plan organizacional para lograr cl cumplimiento de la legislacién es incorrecto debido a que no es el primer paso. Identificar sistemas y procesos relevantes es lo primero que se debe hacer, Restringir la recoleccién de informacién personal seria el siguiente paso, Identificar la legislacién de privacidad de otros paises no haria mucha diferencia,{Cuando deben realizarse evaluaciones del riesgo para una efectividad éptima? A. Alprincipio del desarrollo del programa de seguridad B. De manera continua C. Mientras se desarrolla el caso de negocio para el programa de seguridad D. Durante el proceso de gestidn de cambio de negocio B es la respuesta correcta, Justificacion: ‘A. Elcomienzo de un programa de seguridad solo puede efectuarse cuando ya se ha realizado una evaluacién de riesgos. B. La cevaluacién de riesgos necesita realizarse de manera continua debido a los cambios organizacionales Y téenicos, La evaluacién del riesgo debe tomar en cuenta todos los cambios signficativos para que sea efectiva, Parte de desarrollar un caso comerciales otro punto en el que debe realizarse una evaluacion de riesgos El riesgo debe evaluarse durante el proceso de administracién del cambio, pero solo es un punto.Existe una demora entre la hora en que se publica por primera vez una vulnerabilidad de la seguridad y la hora de distribucidn de un parche, ,Cudl de las siguientes opciones deberia ser la PRIMERA en lievarse a cabo para mitigar cl riesgo durante este periodo? Identificar los sistemas vulnerables y aplicar controles compensatorios. ‘Minimizar cl uso de los sistemas vulnerables. ‘Comunicar la vulnerabilidad a los usuarios del sistema, Actualizar la base de datos de firmas de los sistemas de deteccién de intrusos. Aces la respuesta correcta. Iustificacion: La mejor proteccién es identificar los sistemas vulnerables y aplicar controles compensatorios hasta que el parcho es instalado, Minimizar 1 uso de sistemas vulnerables podria ser un control compensatorio, pero no seria el primer curso de aceién, Comunicar la vulnerabilidad a los usuarios del sistema no seria de mucho beneficio, Actualizar la base de datos de firmas del sistema de deteccién de intrusos (IDS) no aborda el momento en el aque fa lista de firmas det IDS se actualizara para inclur esas vulnerabilidades que aim no son de conocimiento piblico, Por lo tanto, este enfoque no siempre puede considerarse la primera opcién,{Cul de las siguientes téenica identifica MAS claramente si se deberan implementar controlesespectfcos de reduce de resgos? Anilisis de costo-beneficio Prueba de penetracion Programas frecuentes de evaluacién del riesgo Céleulos de la expectativa de pedida anual ‘Aes la respuesta correcta, Justi En un andlisis de costo-beneficio de contramedidas, el costo anual de a seguridad se compara con el costo esperado de pérdida, Esto podria utilizarse para jusificar una medida de control especifico. Las pruebas de penetracién podrianindicar la magnitud de una debilidad pero, por isola, no establecern el costo-beneficio de un contol Los programas frecuentes de evaluacin del riesgo ciertamente establecerdn ls resgos exstentes, pero no determinaran el costo de los controles. La expectativa de pérdida anual es una medida que contibuiré al potencial costo asociado con el riesgo, pero no abordia el beneficio de un control{Cudl de las siguientes es la razon PRINCIPAL para realizar la evaluacién del riesgo de manera continua? Se debe justficar continuamente el presupuesto de la seguridad. Se descubren vulnerabilidades nuevas todos los dias. El entomo de riesgo esta en constante cambio, La gerencia necesita estar continuamente informada sobre los riesgos emergentes. A B. Cc D. Ces la respuesta correcta, Sustificacién: La jusificacin de un presupuesto nunca deberia ser la razbn principal para realizar una evaluacién del riesgo. Las nuevas vulnerablidades se deben manera través de un proceso de gestion de parches Elentorno de riesgo recibe el impacto de factores como los cambios en la tecnologia y la estrategia de negocio, Estos cambios introducen nuevas amenazas y vulnerabilidades a la organizacién. Como resultado, Ja evaluacién del riesgo deberia realizarse continuamente, Informar a a gestién sobre nuevos resgos es importante, pero no es el motivo fundamental para determinar cudindo se deberia realizar una evaluacién del riesgo.Cuil de os siguientes roles ese! PRINCIPAL responsable dela dterminacin de los nels de clasiiacin dela informaclin para un activo deinformacién espeffico? El gerente El eustodio El usuario El duetio D es la respuesta correcta, Justificacion: A. La gerencia es responsable por asuntos de nivel superior tales como proporcionar y aprobar presupuestos, respaldar actividades, etc. B. El custodio de informacién es responsable por tareas de seguridad cotidianas tales como proteger la informacién, crear el respaldo de Ia informacién, etc. C. Los usuarios conforman el nivel més bajo. Usan los datos, pero no los clasifican Fl propietario clasifiea los datos. Aunque el propietario de Ia informacién puede ocupar un puesto en la gerencia y también ser considerado un usuario, la funeién del propietario de Ia informacion tiene la responsabilidad de determinar los niveles de clasifiacin de la informacién,82-79 Larazin PRINCIPAL para clasificar los recursos de informacién segiin la sensibilidad y la criticidad es: ‘A. determinar la inclusion del recurso de informacién en el programa de seguridad de la informacién, B. _definir el nivel adecuado de los controles de acceso. C. _justificar los costos de cada recurso de informacion, D. determinar el presupuesto general del programa de seguridad de la informacién, Bes la respuesta correcta, Justifieacién: La asignacién de sensibilidad y criticidad ocurre con los activos de informacidn que ya se han incluido en el programa de seguridad de la informacich La clase de sensibilidad y criticidad asignada del recurso de informacién determina el nivel de los controles de acceso que se implementaran, La casificacidn no estérelacionada con los costos de la fuente de informacion, El presupuesto general de seguridad no esté relacionado directamente con la clasificacién,Durante la realizacion de un anlisis de riesgos cualitaivo, cud de las siguientes opciones produciré los resultados MAS confiabies? A. Pérdidas de productividad estimadas B, _Posibles escenarios con amenazas ¢ impactos C. Valor de los activos de informacion D. — Eyaluacién de la vulnerabilidad Bes la respuesta correcta. Justificacion: A. B. Las pérdidas de produetividad estimadas son mas apropiadas para un andlisis cuantitativo pero, sin considerar las amenazas, no se produeirén resultados tiles. Crear una lista de todos los posibles escenarios que podrian ocurrir, junto con amenazas ¢ impactos, dard a mejor idea del rango de riesgos y facilitaré una discusién y decision mas informadas. El valor de los activos de informacin seré parte de un andlisis cuantitativo que requiere considerar la amenaza también, Las evaluaciones de vulnerabilidad se analizaran mejor como parte de un andlisis cuantitativo cuando la amenaza es considerada,{Cual de las siguientes opciones es el MEJOR método para garantizar la efectividad general de un programa de gestién de riesgos? ‘A. Las evaluaciones de cambios por parte de los usuarios B, La comparacidn de los resultados del programa con los esténdares de la industria C. La asignacién de riesgos dentro de la oxpanizacién D. La participacién de todos los miembros de la organizacién Des Ia respuesta correcta, Justificacién: A. Es probable que las evaluaciones de los usuarios se enfoquen més en la conveniencia y facilidad de uso que en la cficacia del programa. B. _ Comparar los resultados con los esténdares de la industria es una tarea sin importancia; sin embargo, comparar Jog resultados con los objetivos del programa puede ser muy ail C. _Asignar la propiedad de! riesgo es un buen primer paso para mejorar la responsabilizacién y, por lo tanto, probablemente la eficac D. Una gestion efectiva de riesgos requiere la participacién, el respaldo y Ia aceptacin de todos los miembros pertinentes de la organizacién, comenzando con los niveles ejecutivos. El personal debe entender sus responsabilidades y recibir eapacitacién sobre cémo cumplir con sus funciones.El uso MAS efectivo de un registro de riesgos es: identficar riesgos y asignar funciones y responsabilidades para la mitigacién. identificar amenazas y probabilidades. facilitar una revisién minuciosa de todos los riesgos relacionados con TI de forma periddica. registrar la cantidad financiera anualizada de pérdidas esperadas a causa de riesgos. Ces la respuesta correcta, Justificacién: La identificacion de riesgos y la asignacién de funciones y responsabilidades para la mitigacién son elementos del registro. dentificar amenazas y probabilidades son dos elementos que se definen en la matriz de riesgos, a diferencia del cenfoque més amplio de contenido en, y con la finalidad del registro de riesgos, Un registro de riesgos es mis que una simple lista; se debe utilizar como una herramienta para garantizar documentacién completa, revision periddica y actualizacién formal de todos los elementos de riesgo en Ia Ti de Ia empresa y Ia organizacién relacionada, Aunque la expectativa de pérdida anual se debe incluir en el registro, esta cuantificacién es s6lo un elemento individual dentro del programa de andlisis de riesgos generales.82-83 {Cuiles de los siguientes son los componentes fundamentales de un andlisis del impacto en el negocio? ‘A, Tolerancia a tiompos de inactividad, recursos y crticidad B, El costo de las interrupciones del negocio en un ao como un factor del presupuesto de seguridad C. La metodologia de las pruebas de continuidad del negocio que esta implementada D, —Laestructura del equipo de gestion de crisis ‘A es la respuesta correcta, Justificacién A Un anilisis del impacto en el negocio (BIA) es un ejercicio que determina el impacto que tendrfa en una empresa perder el soporte de algiin recurso; establece el incremento de dicha pérdida con el tiempo; identifica los recursos minimos que se requieren para la recuperacién, y prioriza la recuperacion de procesos y el sistema de soporte. Los principales insumos en un BIA son la criticidad de un proceso o una Tuncion del negocio, los recursos asociados y el tiempo de inactividad maximo tolerable. El costo de las interrupciones del negocio esté asociado con los planes de continuidad del negocio, pero no esta relacionado con el BLA. La metodologia de las pruebas de continuidad del negocio esté asociada con los planes de continuidad del negocio, pero no esti relacionada con el BIA. Laestructura del equipo de gestion de relacionada con el BIA. asociada con los planes de continuidad del negocio, pero no esti{Cuil de las siguientes opciones es la manera MAS efeetiva de tratar un riesgo como un desastre natura, que tiene una probubilidad baja, pero cuyo impacto es considerable? ‘A. Implementarcontramedidas B, —_Eliminar el riesgo. C. Transfer resgo D. Aceptar el riesgo Cees la respuesta correcta. Justificacién: Implementar contramedidas podria no ser posible ni el enfoque mis rentable de gestin de la seguridad. Eliminar el riesgo puede no ser posible. Es comin que se transfiera el riesgo a las compatiias de seguros cuando la probabilidad de que ocurra un incidente es baja pero el impacto es alto, Algunos ejemplos incluyen huracanes, fornados y terremotos, Aceplar el riesgo dejarfa ala organizacién vulnerable a un desastre catastrfico que puede inhabilitaro arrinar la organizacion, Seria mas rentable pagar costos de seguridad recurrentes que ser afectado por un desastre del cual la organizaci6n no pueda recuperarse financieramente.{Qué actividad debe realizarse para un riesgo aceptado previamente? El riesgo debe volver a evaluarse periddicamente porque el riesgo cambia con el tiempo, El riesgo aceptado debe ser sefialado para evitar futuros esfuerzos de reevaluacién, El riesgo debe ser evitado la proxima vez para optimizar el perfil de riesgo. El riesgo debe ser eliminado del registro de riesgos después de aceptarlo. Aces la respuesta correcta, Justificacion: A La aceptacién de los riesgos debe revisarse con regularidad para garantizar que la justificacién para haber aceptado el riesgo inicial sigue siendo valida dentro del contexto actual del negocio. Es posible que la razén para Ia aceptacién inicial de riesgo ya no sea valida debido a cambios y, por lo tanto, el riesgo no se puede aceptar permanentemente. Incluso el riesgo que se ha aceptado se debe monitorear para percatarse de condiciones cambiantes que pudieran alterar la decisién original, El riesgo es una parte inherente del negocio, y evitarlo para mejorar el perfil del riesgo podria ser confuso y pelignoso. Incluso el riesgo que se ha aceptado se debe mantener en el registro de riesgos y ser monitoreado para percatarse de condiciones cambiantes que pudieran alterar la decisidn original,Los contactos de los organistnos encargados del cumplimiento de la ley le avisan al gerente de seguridad de la informacién si existe evidencia de que su compafia es blanco de una banda de experimentados intrusos (hackers) conocida por usar diversas técnias, includas la ingenierta social y la penetracin en redes. EI PRIMER paso que debe dar el gerente de seguridad es: realizar una evaluacién exhaustiva de la exposicién de la compaiia a las téenicas de intrusos (hackers). iniciar la capacitacion de concienciacién para hacer frente a la ingenieria socal. offecer sugerencias de forma inmediata ala alta gerencia sobre el riesgo elevado, inerementar las actividades de monitoreo a fin de proporcionar una deteccién temprana de intrusos. ‘Ces Ia respuesta correcta. Justificacién: El gerente de seguridad debe evaluar el riesgo, pero la alta gerencia debe ser advertida de inmediato, Puede ser prudente iniciar una campatia de concienciacién subsiguiente a la activacién de la alarma si la capacitacién de concienciacién no es reciente. La informacién sobre posibles nuevos riesgos significativos de fuentes ereibles se debe proporcionar a Ja gerencia junto con una recomendacién sobre los pasos que se deben tomar para contrarrestar Ia amenaza, Las actividades de monitoreo también deben incrementarse después de nolificar ala gerencia,Se puede monitorear la comunicacién anormal del servidor desde adentro de la organizacién hacia las partes externas para: registrar el rastro de amenazas persistentes avanzadas, evaluar la resiliencia del proceso de las operaciones del servidor, verificar la efectividad de un sistema de deteccién de intrusos. respaldar una estructura de no repudio en el comercio electrénico, ‘Aes Ia respuesta correcta, Justificacié A La caracteristica mis importante de los ataques objetivo como se observa en las amenazas persistentes, avanzadas es que el software malintencionado (malware) envie informacion de vuelta, de manera secreta, a un servidor de comando y control. Por lo tanto, el monitoreo de comunicaciones salientes del servidor que no sigue rutas predefinidas sera el mejor control para detectar dichos eventos de seguridad. Las comunicaciones del servidor, generalmente, no estén monitoreadas para evaluar fa resiliencia de las operaciones del servidor. La efectividad de un sistema de deteccién de intrusos no puede ser verificada a través del monitoreo de las comunicaciones salientes del servidor. EI no repudio puede ser respaldado por la tecnologfa, como una firma digital. La comunicacién del servidor, en si misma, no respalda la efectividad de una estructura de comercio electrdnico.{Cuall de los siguientes métodos de autenticacién previene la repeticion de autenticacién? Implementacién de un hash de contrasefta Mecanismo de desafio/respuesta Uso de encriptacién de privacidad equivalente al cableado Autenticacién bésica del protocolo de transferencia de hipertexto Bes la respuesta correcta, Sustificacién: Capturar el protocolo de autenticacién y repetirlo por la red no funcionard. El uso de hashes por si solo no evitard una repeticién, Un mecanismo de desafio/respuesta evita ataques de repeticion al enviar un desafio aleatorio diferente en cada evento de autenticacién, La respuesta esti vinculada a ese desafio, Una clave de privacidad cableada no evitard las bésquedas (sniffing), pero le tomaré més tiempo al alacante descifrar la clave WEP (si no es que ya la tiene). Por lo tanto, no seré capaz. de evitar el registro y reproduecién del saludo de autentificacion, La autenticacién mediante Protocolo de Transferencia de Hipertexto basica es de texto puro (cleartext) y no tiene ningin mecanismo para evitar la reproduccién,Las actividades de gestion de riesgos relacionadas con la TI son MAS efectivas cuando se: tratan como procesos distintos. realizan por el departamento de TI. integran dentro de procesos de negocio. comunican a todos los empleados. Ces la respuesta correcta, Justificacién: El riesgo de TI es parte del entomo més amplio de riesgos, y debe integrarse en las actividades generales de gestion de riesgos. Para garantizar un enfoque objetivo y holistico, la gestién de riesgos de TI debe abordarse a lo largo de toda la empresa, volviéndola algo separado del departamento de TL ‘hes un facilitador de las actividades comerciales y, para ser efectivo, debe estar integrado en los procesos comerciales. La comunicacion sola no necesariamente se refaciona con la ejecucion exitosa del proceso,