1. ¿Qué es el BIA? ¿Qué técnicas utiliza para enumerar los procesos?

2. ¿Cuáles son las tareas de un SGSI?¿Qué significa PDCA?

3. ¿Qué es RTO? ¿Qué es RPO?
4. Define CIA (Confidencialidad, Integridad y Disponibilidad) Como pilares de la
seguridad Informática
5. ¿Qué es un proceso para la ISO 9000?
6. ¿Qué es la Gestión de Riesgo? Y de ¿qué fases consta?
7. ¿Qué es el riesgo restante?
8. ¿Qué es una matriz de riesgo? ¿Cómo se calcula el riesgo?
9. ¿Cómo conseguimos la reducción del riesgo?

1. El BIA es el estudio de las consecuencias que tendría en el negocio en una parada de sus procesos
vitales por un determinado tiempo: qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que
recuperarlo. El BCP incluirá un plan para la recuperación de desastres.
Existen 3 técnicas generalmente aceptadas para enumerar los procesos de negocio soportados por
sistemas de información, junto a su criticidad, y coste de interrupción:
• Formularios.
• Entrevistas a los usuarios avanzados o dueños de los procesos.
• Reuniones entre personal de TIC y los usuarios avanzados.

2. Las tareas de un SGSI se organizan en las cuatro fases típicas PDCA de un ciclo de mejora
continua de Deming, a saber: planificar (Plan), hacer (Do), medir (Check), y corregir (Act).
A. Cuáles son los procesos críticos, u ordenarlos por prioridad. B. Cuál es el daño/impacto, en
función del tiempo que se tarde en restablecerse el servicio. C. Cuál es el coste de las diferentes
estrategias de recuperación, que proporcionarán un tiempo y un punto objetivo de recuperación.

3. RPO es el objetivo de punto de recuperación, y representa el último instante de tiempo previo al

incidente al que los sistemas son capaces de regresar. Vendrá dado. por ejemplo, por la frecuencia
con que se realicen copias de seguridad.

RTO es el objetivo de tiempo de recuperación, y representa el tiempo que se tarda en restablecer el

servicio, al menos a los niveles mínimos acordados.

4. La confidencialidad, es decir, que la información solo esté accesible para quien esté autorizado a
ello.
La integridad, es decir, que la información sea exacta y completa, de manera que solo pueda
modificarla quien esté autorizado a ello.
La disponibilidad, es decir, que la información esté accesible cuando sea necesario.

5.La norma ISO 9000, en versión de 2005, define un proceso como “Conjunto de actividades
mutuamente relacionadas o que interactúan, las cuales transforman elementos de entrada en
resultados.
En el ámbito del procesamiento automático de la información, se encontrarán personas que manejan
equipos con una información de entrada, para generar una información de salida o resultado.

6. La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.

En su forma general contiene cuatro fases

• Análisis: Determina los componentes de un sistema que requiere protección, sus vulnerabilidades
que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de revelar su grado de
riesgo.
• Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
• Reducción: Define e implementa las medidas de protección. Además, sensibiliza y capacita los
usuarios conforme a las medidas.
• Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

7.Con Riesgo restante se entiende dos circunstancias, por un lado, son estas amenazas y peligros
que, aunque tenemos implementados medidas para evitar o mitigar sus daños, siempre nos pueden
afectar, si el ataque ocurre con una magnitud superior a lo esperado. Podemos protegernos de cierto
modo contra los impactos de un terremoto común, sin embargo, cuando ocurre con una fuerza
superior o antes no conocido, el impacto general será mucho más grande y muy probablemente
afectará también a nosotros. La otra situación es cuando aceptamos conscientemente los posibles
impactos y sus consecuencias, después de haber realizado el análisis de riesgo y la definición de las
medidas de protección. Las razones para tomar esta decisión pueden ser varias, sea que evitar los
daños no está dentro de nuestra posibilidad y voluntad económica o porque no entendemos que no
tenemos suficiente poder sobre el entorno. Sea lo que sea la razón, el punto importante es que
sabemos sobre la amenaza y decidimos vivir con ella y su posible consecuencia.

8. La Matriz para el Análisis de Riesgo, es punto clave en analizar y determinar los riesgos en el
manejo de los datos e información de las organizaciones. La Matriz, que se basa en una hoja de
cálculo, no dá un resultado detallado sobre los riesgos y peligros de cada recurso (elemento de
información) de la institución, sino una mirada aproximada y generalizada de estos.

La Matriz se basa en el método de Análisis de Riesgo con un grafo de riesgo, usando la formula
Riesgo = Probabilidad de Amenaza x Magnitud de Daño La Probabilidad de Amenaza y Magnitud
de Daño pueden tomar los valores y condiciones respectivamente • 1 = Insignificante (incluido
Ninguna) • 2 = Baja • 3 = Mediana • 4 = Alta
El Riesgo, que es el producto de la multiplicación Probabilidad de Amenaza por Magnitud de Daño,
está agrupado en tres rangos, y para su mejor visualización, se aplica diferentes colores. • Bajo
Riesgo = 1 – 6 (verde) • Medio Riesgo = 8 – 9 (amarillo) • Alto Riesgo = 12 – 16 (rojo)

9. La reducción de riesgo se logra a través de la implementación de Medidas de protección, que

basen en los resultados del análisis y de la clasificación de riesgo.

Las medidas de protección están divididas en medidas físicas y técnicas, personales y organizativas.