1 Practicas y principios de seguridad Flashcards

principios de seguridad

1
Q

1 What is Enterprise Security Risk Management (ESRM)?

1 ¿Qué es la gestión de riesgos de seguridad empresarial (ESRM)?

A

1 ESRM is a strategic approach to security management that ties an organization’s security practice to its overall strategy using globally. accepted and established risk management principles.

1 ESRM es un enfoque estratégico para la gestión de la seguridad que vincula la práctica de seguridad de una organización a su estrategia general utilizando principios de gestión de riesgos establecidos y aceptados globalmente.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

2 What are the three primary components of ESRM?

2 ¿Cuáles son los tres componentes principales del ESRM?

A

2 The context, The foundation, The ESRM cycle.

2 El contexto, La base, El ciclo ESRM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

3 This component of ESRM includes organizational aspects that security professionals must understand to successfully adopt ESRM.

3 Este componente de ESRM incluye aspectos organizacionales que los profesionales de seguridad deben comprender para adoptar ESRM con éxito.

A

3 The context.

3 El contexto.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

4 This component of ESRM includes organizational concepts that support the ESRM approach and maximize its impact.

4 Este componente de ESRM incluye conceptos organizacionales que respaldan el enfoque ESRM y maximizan su impacto.

A

4 The foundation.

4 La fundación.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

5 The component of ESRM is the actual process of security risk management that emphasizes the importance of understanding assets.

5 El componente de ESRM es el proceso real de gestión de riesgos de seguridad que enfatiza la importancia de comprender los activos.

A

5 The ESRM cycle.

5 El ciclo ESRM.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

6 What organizational aspects are included in the context of ESRM?

6 ¿Qué aspectos organizacionales se incluyen en el contexto de la ESRM?

A

6 Mission and vision,
Core values,
Operating Environment,
Stakeholders.

6 Misión y visión,
Valores fundamentales,
Entorno operativo,
Partes interesadas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

7 What three things comprise the operating environment of an organization?

7 ¿Cuáles son las tres cosas que componen el entorno operativo de una organización?

A

7 Physical,Nonphysical,Logical.

7 Físico,No físico,Lógico.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

8 This operating environment includes much of what influences traditional security factors, such as the type and location of buildings, industrial control systems, and products on hand.

8 Este entorno operativo incluye gran parte de lo que influye en los factores de seguridad tradicionales, como el tipo y la ubicación de los edificios, los sistemas de control industrial y los productos disponibles.

A

8 Physical.

8 Físico.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

9 These factors are sources of risk, and include things such as the geopolitical environment, intensity of competition, and speed required for decision making.

9 Estos factores son fuentes de riesgo e incluyen cosas como el entorno geopolítico, la intensidad de la competencia y la velocidad requerida para la toma de decisiones.

A

9 Nonphysical factors.

9 Factores no físicos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

10 These factors focus on information types such as servers, workstations, and network infrastructure.

10 Estos factores se centran en tipos de información como servidores, estaciones de trabajo e infraestructura de red.

A

10 Logical factors.

10 Factores lógicos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

11 What are the four processes in the ESRM cycle?

11 ¿Cuáles son los cuatro procesos del ciclo ESRM?

A

11
Identify and prioritize assets,
Identify and prioritize risks,
Mitigate prioritized risks,
Continuous improvement.

11
Identificar y priorizar activos,
Identificar y priorizar riesgos,
Mitigar riesgos priorizados,
Mejora continua.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

12 What is an asset owner?

12 ¿Qué es un propietario de activos?

A

12 The person most directly responsible for successful operation of the asset. In ESRM, the asset owner is assigned responsibility for the risk to an asset.

12 La persona más directamente responsable del funcionamiento exitoso del activo. En ESRM, al propietario del activo se le asigna la responsabilidad por el riesgo del activo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

13 What four concepts comprise the foundation of ESRM?

13 ¿Cuáles son los cuatro conceptos que componen la base del ESRM?

A

13
Holistic risk management,
Partnership with stakeholders,
Transparency,
Governance.

13
Gestión holística de riesgos,
Asociación con las partes interesadas,
Transparencia,
Gobernanza.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

14 What are two types of assets?

14 ¿Cuáles son dos tipos de activos?

A

14 Tangible, Intangible.

14 Tangibles, Intangibles.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

15 What are four ways to manage risk?

15 ¿Cuáles son cuatro formas de gestionar el riesgo?

A

15 Eliminate, Reduce, Transfer, Accept.

15 Eliminar, Reducir, Transferir, Aceptar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

16 This risk mitigation strategy involves removing the risk entirely.

16 Esta estrategia de mitigación de riesgos implica eliminar el riesgo por completo.

A

16 Eliminate.

16 Eliminar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
17
Q

17 This risk mitigation strategy attempts to minimize risk through protective measures.

17 Esta estrategia de mitigación de riesgos intenta minimizar el riesgo mediante medidas de protección.

A

17 Reduce.

17 Reducir.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
18
Q

18 This risk mitigation strategy is typically achieved when another entity takes the risk on the organization’s behalf.

18 Esta estrategia de mitigación de riesgos normalmente se logra cuando otra entidad asume el riesgo en nombre de la organización.

A

18 Transfer.

18 Transferencia.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
19
Q

19 This risk mitigation strategy allows risk if the costs of reducing, eliminating, or transferring the risk outweigh the potential losses associated with it.

19 Esta estrategia de mitigación de riesgos permite el riesgo si los costos de reducirlo, eliminarlo o transferirlo superan las pérdidas potenciales asociadas a él.

A

19 Accept.

19 Aceptar.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
20
Q

20 What is a risk assessment?

20 ¿Qué es una evaluación de riesgos?

A

20 Risk assessment is the identification, analysis, and evaluation of uncertainties to objectives and outcomes. It provides a comparison between the desired/undesired outcomes and expected rewards/losses of organizational objectives. The risk assessment analyzes whether the uncertainty is within acceptable boundaries and within the organization’s capacity to manage risk.

20 La evaluación de riesgos es la identificación, el análisis y la evaluación de las incertidumbres en relación con los objetivos y los resultados. Proporciona una comparación entre los resultados deseados/no deseados y las recompensas/pérdidas esperadas de los objetivos organizacionales. La evaluación de riesgos analiza si la incertidumbre se encuentra dentro de los límites aceptables y dentro de la capacidad de la organización para gestionar el riesgo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
21
Q

21 What do the results of a risk assessment inform?

21 ¿Qué informan los resultados de una evaluación de riesgos?

A

21 The choices available to effectively manage risk to achieve the organization’s outcomes.

21 Las opciones disponibles para gestionar eficazmente el riesgo para lograr los resultados de la organización.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
22
Q

22 What are the deciding factors between a qualitative or quantitative approach to a risk assessment?

22 ¿Cuáles son los factores decisivos entre un enfoque cualitativo o cuantitativo para una evaluación de riesgos?

A

22
The reliability and validity of the available data,
The nature of the risk factors and if they are quantifiable,
The target audience for the outputs.

22
La fiabilidad y validez de los datos disponibles,
La naturaleza de los factores de riesgo y si son cuantificables,
El público objetivo de los resultados.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
23
Q

23 What is risk appetite?

23 ¿Qué es el apetito por el riesgo?

A

23 The total exposed amount that an Qrganization wishes to undertake on the basis of risk-return trade-offs for one of more desired and expected outcomes.

23 El monto total expuesto que una organización desea asumir sobre la base de compensaciones entre riesgo y retorno para uno o más resultados deseados y esperados.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
24
Q

24 What is risk tolerance?

24 ¿Qué es la tolerancia al riesgo?

A

24 The amount of uncertainty an organization is prepared to accept in total or more narrowly within a certain business unity, a particular risk category, or for a specific initiative.

24 La cantidad de incertidumbre que una organización está dispuesta a aceptar en total o de manera más restringida dentro de una determinada unidad de negocio, una categoría de riesgo particular o para una iniciativa específica.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
25
Q

25 What tasks take place at the start of the risk assessment?

25 ¿Qué tareas se realizan al inicio de la evaluación de riesgos?

A

25
Setting objectives,
Identification of stakeholders,
Identification of internal context and variables,
Documenting assumptions,
Defining scope and statement of work,
Policy and management commitment,
Commitment of resources.

25
Establecer objetivos,
Identificación de partes interesadas,
Identificación del contexto interno y variables,
Documentación de supuestos,
Definición del alcance y declaración de trabajo,
Compromiso de política y gestión,
Compromiso de recursos.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
26
Q

26 What is a gap analysis?

26 ¿Qué es un análisis de brechas?

A

26 A technique to determine what steps might need to be taken to improve from a current state to a desired, future state.

26 Una técnica para determinar qué pasos podrían necesitarse para mejorar desde un estado actual a un estado futuro deseado.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
27
Q

27 A gap analysis consists of what three steps?

27 ¿Un análisis de brechas consta de qué tres pasos?

A

27
Noting currently available factors”
Listing success factors needed to achieve future, desired objectives,
Highlighting the gaps that exist and what gaps may need to be filled to be successful.

  1. Tomar nota de los factores actualmente disponibles.
    Enumerar los factores de éxito necesarios para alcanzar los objetivos futuros deseados.
    Destacar las brechas que existen y las que pueden necesitar ser llenadas para tener éxito.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
28
Q

28 What four components should be in any risk identification process, regardless of risk discipline?

28 ¿Cuáles son los cuatro componentes que debe tener cualquier proceso de identificación de riesgos, independientemente de la disciplina de riesgo?

A

28
Asset and service identification, valuation, and characterization,
Threat and opportunity analysis,
Vulnerability and capability analysis,
Criticality and impact analysis.

28
Identificación, valoración y caracterización de activos y servicios,
Análisis de amenazas y oportunidades,
Análisis de vulnerabilidad y capacidad,
Análisis de criticidad e impacto.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
29
Q

29 What comprises assessor competence?

29 ¿Qué comprende la competencia del evaluador?

A

29
Personal traits and interpersonal skills,
Assessment skills,
Communication skills,
Education, training, and knowledge,
Work experience.

29
Rasgos personales y habilidades interpersonales,
Habilidades de evaluación,
Habilidades de comunicación,
Educación, formación y conocimientos,
Experiencia laboral.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
30
Q

30 Documented criteria of an assessor’s knowledge and skills provide the basis for what three things?

30 ¿Los criterios documentados de los conocimientos y habilidades de un evaluador proporcionan la base para qué tres cosas?

A

30
Selection of assessment team members,
Ascertain competence enhancement required for continuous improvement,
Determine performance indicators for assessors.

30
Selección de los miembros del equipo de evaluación,
Determinar la mejora de la competencia necesaria para la mejora continua,
Determinar los indicadores de desempeño de los evaluadores.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
31
Q

31 What are two types of interactions between a risk assessment team and an organization?

31 ¿Cuáles son dos tipos de interacciones entre un equipo de evaluación de riesgos y una organización?

A

31
Human interaction,
Minimal human interactions.

31
Interacción humana,
Interacciones humanas mínimas.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
32
Q

32 This type ofinteraction includes activities such as conducting interviews, document reviews with stakeholders, exercises, and undercover investigations.

32 Este tipo de interacción incluye actividades como la realización de entrevistas, revisiones de documentos con las partes interesadas, ejercicios e investigaciones encubiertas.

A

32 Human interaction.

32 Interacción humana.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
33
Q

33 This type of interaction includes activities such as conducting a document review, physical examination, observation, and sampling.

33 Este tipo de interacción incluye actividades como la revisión de documentos, el examen físico, la observación y el muestreo.

A

33 Minimal human interaction.

33 Interacción humana mínima.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
34
Q

34 What are two examples of assessment paths?

34 ¿Cuáles son dos ejemplos de rutas de evaluación?

A

34 Tracing, Process method.

34 Rastreo, Método de proceso.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
35
Q

35 This assessment path tracks a process or risk event chronologically, following a path forward or backward through a process or sequence.

35 Esta ruta de evaluación rastrea un proceso o evento de riesgo cronológicamente, siguiendo un camino hacia adelante o hacia atrás a través de un proceso o secuencia.

A

35 Tracing.

35 Rastreo.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
36
Q

36 This assessment path tests a sequence of steps and evaluates process controls, interactions, effectiveness, and opportunities for improvement.

36 Esta ruta de evaluación prueba una secuencia de pasos y evalúa los controles del proceso, las interacciones, la eficacia y las oportunidades de mejora.

A

36 Process method.

36 Método de proceso.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
37
Q

37 What are some examples of the process method?

37 ¿Cuáles son algunos ejemplos del método de proceso?

A

37 Objectives method, Risk source method, Department method, Requirement method,Discovery method.

37 Método de objetivos, Método de fuente de riesgo, Método de departamento, Método de requisitos, Método de descubrimiento.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
38
Q

38 What is sampling?

38 ¿Qué es el muestreo?

A

38 The process or technique of selecting a representative part of a population for the purpose.

38 El proceso o técnica de seleccionar una parte representativa de una población para un propósito.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
39
Q

39 When is it beneficial to use a sampling method?

39 ¿Cuándo es beneficioso utilizar un método de muestreo?

A

39 When it is not practical in time or.cost terms to evaluate all available information.

39 Cuando no sea práctico en términos de tiempo o costo evaluar toda la información disponible.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
40
Q

40 What are two types of sampling methods?

40 ¿Cuáles son dos tipos de métodos de muestreo?

A

40 Non-statistical, Statistical.

40 No estadístico, estadístico.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
41
Q

41 This sampling method includes judgmental sampling, convenience sampling, and haphazard sampling.

41 Este método de muestreo incluye el muestreo por juicio, el muestreo por conveniencia y el muestreo aleatorio.

A

41 Non-statistical.

41 No estadístico.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
42
Q

42 This sampling method includes random sampling, systematic sampling, stratified sampling, and cluster/block sampling.

42 Este método de muestreo incluye muestreo aleatorio, muestreo sistemático, muestreo estratificado y muestreo por conglomerados/bloques.

A

42 Statistical sampling.

42 Muestreo estadístico.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
43
Q

43 What is terrorism?

43 ¿Qué es el terrorismo?

A

43 An act of violence designed to achieve a political end.

43 Un acto de violencia diseñado para lograr un fin político.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
44
Q

44 What is domestic terrorism?

44 ¿Qué es el terrorismo interno?

A

44 Violent, criminal acts committed -by individuals and/or groups to further ideological goals stemming from domestic influences, such as those of a political, religious, social, racial, or eiivironmental nature.

44 Actos violentos y criminales cometidos por individuos y/o grupos para promover objetivos ideológicos derivados de influencias internas, como las de naturaleza política, religiosa, social, racial o ambiental.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
45
Q

45 What is the primary attack vector of terrorism?

45 ¿Cuál es el principal vector de ataque del terrorismo?

A

45 To target the public’s sense of security in the location that they reside or work.

45 Fomentar la sensación de seguridad del público en el lugar donde reside o trabaja.

46
Q

46 What is a cost-benefit analysis?

46 ¿Qué es un análisis costo-beneficio?

A

46 A method for evaluating and comparing the value and cost of risk treatment options.

46 Un método para evaluar y comparar el valor y el costo de las opciones de tratamiento de riesgos.

47
Q

47 A cost-benefit analysis should consider what two types of costs and benefits?

47 Un análisis costo-beneficio debe considerar ¿qué dos tipos de costos y beneficios?

A

47 Direct,Indirect.

47 Directo, Indirecto.

48
Q

48 What are examples of direct and indirect benefits?

48 ¿Cuáles son ejemplos de beneficios directos e indirectos?

A

48
Direct benefits: arising from reduction in the likelihood or harmful consequences of the risk.

Indirect benefits: arising from collateral effects of the treatment such as reduced insurance premiums, improved management and staff confidence, and enhanced reputation.

48
Beneficios directos: derivados de la reducción de la probabilidad o de las consecuencias perjudiciales del riesgo.

Beneficios indirectos: derivados de los efectos colaterales del tratamiento, como la reducción de las primas de seguros, la mejora de la confianza de la dirección y del personal y la mejora de la reputación.

49
Q

49 What are some examples of direct and indirect costs?

49 ¿Cuáles son algunos ejemplos de costos directos e indirectos?

A

49 Direct costs - of implementing the proposed treatment and/or that could arise if the risk eventuates.
Indirect costs - arising from the loss of productivity, business. disruption, diversion of management attention, loss of reputation or brand value.

49 Costos directos: los que se derivan de la implementación del tratamiento propuesto y/o los que podrían surgir si el riesgo se materializa.
Costos indirectos: los que surgen de la pérdida de productividad, interrupciones del negocio, desvío de la atención de la gerencia, pérdida de reputación o valor de marca.

50
Q

50 What are the goals of risk treatments?

50 ¿Cuáles son los objetivos de los tratamientos de riesgo?

A

50 Remove the risk source, where possible;
Remove or reduce the likelihood of the risk event occurring;
Remove or reduce the negative consequences;
Share the risk with other parties;
Accept risk through informed decision or to exploit an opportunity;
Avoid activities that give rise to risk.

50 Eliminar la fuente de riesgo, cuando sea posible;
Eliminar o reducir la probabilidad de que ocurra el evento de riesgo;
Eliminar o reducir las consecuencias negativas;
Compartir el riesgo con otras partes;
Aceptar el riesgo a través de una decisión informada o para aprovechar una oportunidad;
Evitar actividades que generen riesgo.

51
Q

51 What is the purpose of a prevention and mitigation procedure?

51 ¿Cuál es el propósito de un procedimiento de prevención y mitigación?

A

51 Define the measures to be taken.hy the organization to minimize the likelihood of a disruptive event or to minimize the potential for the severity of the consequence of the event.

51 Definir las medidas que debe tomar la organización para minimizar la probabilidad de un evento disruptivo o para minimizar el potencial de severidad de las consecuencias del evento.

52
Q

52 What are prevention procedures?

52 ¿Qué son los procedimientos de prevención?

A

52 Prevention procedures describe how the organization will take proactive steps to protect its assets by establishing architectural, administrative, design, operational, and techn~logical approaches to avoid, eliminate, or reduce the likelihood of risks materializing.

52 Los procedimientos de prevención describen cómo la organización tomará medidas proactivas para proteger sus activos estableciendo enfoques arquitectónicos, administrativos, de diseño, operativos y tecnológicos para evitar, eliminar o reducir la probabilidad de que se materialicen los riesgos.

53
Q

53 What are mitigation procedures?

53 ¿Qué son los procedimientos de mitigación?

A

53 Mitigation procedures describe how the organization will take proactive steps to protect its assets by establishing immediate,. interim, and long-term approaches to reduce the consequences of risks before they materialize.

53 Los procedimientos de mitigación describen cómo la organización tomará medidas proactivas para proteger sus activos estableciendo enfoques inmediatos, provisionales y a largo plazo para reducir las consecuencias de los riesgos antes de que se materialicen.

54
Q

54 What four steps are included in the risk assessment process?

54 ¿Cuáles son los cuatro pasos que se incluyen en el proceso de evaluación de riesgos?

A

54 Asset identification, valuation and characterization,
Risk identification,
Risk analysis,
Risk evaluation.

54 Identificación, valoración y caracterización de activos,
Identificación de riesgos,
Análisis de riesgos,
Evaluación de riesgos.

55
Q

55 What happens in the asset identification, valuation and characterization step of the risk assessment process?

55 ¿Qué sucede en la etapa de identificación, valoración y caracterización de activos del proceso de evaluación de riesgos?

A

55 Identify people, assets and services that provide tangible and intangible value giving consideration to financial, operational, temporal, and reputational characteristics of assets, activities, functions and services.

55 Identificar personas, activos y servicios que aportan valor tangible e intangible teniendo en cuenta las características financieras, operativas, temporales y de reputación de los activos, actividades, funciones y servicios.

56
Q

56 What happens in the risk identification step of the risk assessment process?

56 ¿Qué sucede en la etapa de identificación de riesgos del proceso de evaluación de riesgos?

A

56 Identify sources of strategic, operational, tactical, and reputational risk to assess threats and opportunities; vulnerabilities and capabilities; and consequence and criticalities that have a potential for direct or indirect consequences on the organization’s activities, assets, operations, functions and impacted stakeholders.

56 Identificar fuentes de riesgo estratégico, operativo, táctico y reputacional para evaluar amenazas y oportunidades; vulnerabilidades y capacidades; y consecuencias y criticidades que tienen potencial de tener consecuencias directas o indirectas sobre las actividades, activos, operaciones, funciones de la organización y las partes interesadas impactadas.

57
Q

57 What happens in the risk analysis step of the risk assessment process?

57 ¿Qué sucede en la etapa de análisis de riesgos del proceso de evaluación de riesgos?

A

57 Systematically analyze risk to determine those risks that have significant impact on activities, functions, services, products, supply. chain, subcontractors, stakeholder relationships, local populations and the environment.

57 Analizar sistemáticamente los riesgos para determinar aquellos que tienen un impacto significativo en las actividades, funciones, servicios, productos, cadena de suministro, subcontratistas, relaciones con las partes interesadas, poblaciones locales y el medio ambiente.

58
Q

58 What happens in the risk evaluation step of the risk assessment process?

58 ¿Qué sucede en la etapa de evaluación de riesgos del proceso de evaluación de riesgos?

A

58 Systematically evaluate and prioritize risk controls and treatments, and their related costs to determine how to bring risk within an acceptable level consistent with risk criteria.

58 Evaluar y priorizar sistemáticamente los controles y tratamientos de riesgo, y sus costos relacionados, para determinar cómo llevar el riesgo a un nivel aceptable consistente con los criterios de riesgo.

59
Q

59 What are some outputs of a risk assessment?

59 ¿Cuáles son algunos resultados de una evaluación de riesgos?

A

59 A prioritized risk register identifying treatments to manage risk,
Justification for risk acceptance,
Identification of critical control points,
Requirements for supplier, distributor, outsourcing and subcontractor controls.

59 Un registro de riesgos priorizado que identifique los tratamientos para gestionar el riesgo,
Justificación para la aceptación del riesgo,
Identificación de puntos críticos de control,
Requisitos para los controles de proveedores, distribuidores, subcontratistas y tercerizadores.

60
Q

60 What six things should be considered when assessing consequences?

60 ¿Qué seis cosas deben tenerse en cuenta al evaluar las consecuencias?

A

60
Human cost,
Financial cost,
Image cost,
Human rights impacts,
Indirect impacts,
Environmental impacts.

60
Costo humano,
Costo financiero,
Costo de imagen,
Impactos en derechos humanos,
Impactos indirectos,
Impactos ambientales.

61
Q

61 What changes may prompt an update to a risk assessment?

61 ¿Qué cambios pueden motivar una actualización de una evaluación de riesgos?

A

61 Changes in: Risk landscape, Leadership and partnerships, Contractual and industry trends, Regulatory requirements, Political environment, Conditions due to an event, Performance based test/exercise results.

61 Cambios en: Panorama de riesgos, Liderazgo y asociaciones, Tendencias contractuales y de la industria, Requisitos regulatorios, Entorno político, Condiciones debidas a un evento, Resultados de pruebas/ejercicios basados ​​en el desempeño.

62
Q

62 What are five benefits of liaison?

62 ¿Cuáles son los cinco beneficios del enlace?

A

62
Leverage the resources of others,
Share best practices and lessons learned,
Collaborate on specific cases or incidents,
More effectively address common issues,
Share information, equipment, and facilities.

62
Aprovechar los recursos de otros,
Compartir las mejores prácticas y lecciones aprendidas,
Colaborar en casos o incidentes específicos,
Abordar problemas comunes de forma más eficaz,
Compartir información, equipos e instalaciones.

63
Q

63 What is cost-effectiveness?

63 ¿Qué es la relación coste-efectividad?

A

63 Producing good results for the money spent.

63 Produciendo buenos resultados por el dinero gastado.

64
Q

64 What three things maximize cost-effectiveness?

64 ¿Qué tres cosas maximizan la relación coste-efectividad?

A

64 Ensure that the operations are conducted in the least expensive but cost effective way, Maintain the lowest costs consistent with requi’red operational results, Ensure that the amount of money spent generates the highest return.

64 Asegurarse de que las operaciones se realicen de la manera menos costosa pero rentable, Mantener los costos más bajos consistentes con los resultados operativos requeridos, Asegurarse de que la cantidad de dinero gastado genere el mayor retorno.

65
Q

65 What is security awareness?

65 ¿Qué es la concientización sobre la seguridad?

A

65 Consciousness of an existing security program, its relevance, and the effect of one’s behavior on reducing security risks.

65 Conciencia de un programa de seguridad existente, su relevancia y el efecto del propio comportamiento en la reducción de los riesgos de seguridad.

66
Q

66 What is the purpose of a security awareness program?

66 ¿Cuál es el propósito de un programa de concientización sobre seguridad?

A

66 To communicate to all individuals, including those working on behalf of the organization, risks within the organization’s unique internal and external environments, and the technical and administrative controls implemented to effectively manage those risks.

66 Comunicar a todas las personas, incluidas aquellas que trabajan en nombre de la organización, los riesgos dentro de los entornos internos y externos únicos de la organización, y los controles técnicos y administrativos implementados para gestionar eficazmente esos riesgos.

67
Q

67 When is an effective security culture established?

67 ¿Cuándo se establece una cultura de seguridad eficaz?

A

67 When people’s behaviors align with the defined risk management processes and where the security technologies and methods deployed are policy based and well communicated through security awareness and training activities.

67 Cuando el comportamiento de las personas se alinea con los procesos de gestión de riesgos definidos y donde las tecnologías y métodos de seguridad implementados están basados ​​en políticas y bien comunicados a través de actividades de concientización y capacitación en seguridad.

68
Q

68 What is the goal of a security awareness program?

68 ¿Cuál es el objetivo de un programa de concientización sobre seguridad?

A

68 To promote compliance with security policies and procedures, as well as provide timely communications and training to guide individual and organizational attitudes and behaviors. .

68 Promover el cumplimiento de las políticas y procedimientos de seguridad, así como proporcionar comunicaciones y capacitación oportunas para guiar las actitudes y comportamientos individuales y organizacionales.

69
Q

69 What should every awareness program be structured to reflect?

69 ¿Qué aspectos debería reflejar todo programa de concientización?

A

69 The organization’s unique culture,
risk environment,
lifecycle management,
and change control process.

69 La cultura única de la organización,
el entorno de riesgos,
la gestión del ciclo de vida
y el proceso de control de cambios.

70
Q

70 How does clear top management support for security awareness set the tone?

70 ¿Cómo un claro apoyo de la alta dirección a la concienciación sobre seguridad marca el tono?

A

70 By actively supporting awareness communication, training, and associated activities. Top management should also be involved in strengthening the culture that ensures individuals understand their security roles and take ownership of their personal safety and security.

70 Apoyando activamente la comunicación, la formación y las actividades asociadas con la concienciación, la alta dirección también debería participar en el fortalecimiento de la cultura que garantice que las personas comprendan sus funciones de seguridad y se responsabilicen de su seguridad personal.

71
Q

71 What three program principles should be established for security awareness programs?

71 ¿Cuáles son los tres principios programáticos que se deben establecer para los programas de concientización sobre seguridad?

A

71 Encourage enterprisewide ownership, Develop a unified approach for security awareness communication and training, Leverage existing programs/infrastructure.

71 Fomentar la propiedad en toda la empresa,
Desarrollar un enfoque unificado para la comunicación y la capacitación sobre concientización sobre seguridad,
Aprovechar los programas y la infraestructura existentes.

72
Q

72 What can be done to encourage enterprisewide ownership of security awareness programs?

72 ¿Qué se puede hacer para fomentar la apropiación de programas de concientización sobre seguridad en toda la empresa?

A

72 Establishing an oversight, advisory, or steering group comprised of security stakeholders to influence/generate program content and to help communicate risk appetite, strategy, and content relevance. Establishing security champions or influencers to solicit and provide input to program content.

72 Establecer un grupo de supervisión, asesoramiento o dirección integrado por las partes interesadas en la seguridad para influir en el contenido del programa o generarlo y ayudar a comunicar la tolerancia al riesgo, la estrategia y la relevancia del contenido. Establecer promotores o personas influyentes en materia de seguridad para solicitar y proporcionar aportes al contenido del programa.

73
Q

73 What is a benefit of a unified, holistic approach to security awareness program content?

73 ¿Cuál es el beneficio de un enfoque unificado y holístico del contenido del programa de concientización sobre seguridad?

A

73 Using ‘one voice’ simplifies the message and increases the impact to stakeholders and the organization.

73 El uso de “una sola voz” simplifica el mensaje y aumenta el impacto en las partes interesadas y la organización.

74
Q

74 What types of benefits may be realized by leveraging existing organizational programs for security awareness?

74 ¿Qué tipos de beneficios se pueden obtener al aprovechar los programas organizacionales existentes para concientizar sobre seguridad?

A

74 Timing, Resource, Budget, Logistical.

74 Tiempo, Recursos, Presupuesto, Logística.

75
Q

75 What six factors are planning considerations when designing an effective security awareness program?

75 ¿Cuáles son los seis factores que se deben tener en cuenta al diseñar un programa eficaz de concientización sobre seguridad?

A

75 Security policies and procedures,
Internal and external considerations,
Security risks,
Resources,
Roles, responsibility, and authorities,
Human resources context.

75
Políticas y procedimientos de seguridad,
Consideraciones internas y externas,
Riesgos de seguridad,
Recursos,
Roles, responsabilidades y autoridades,
Contexto de recursos humanos.

76
Q

76 Effective security policies contain what important characteristics?

76 ¿Qué características importantes contienen las políticas de seguridad efectivas?

A

76 Protecting individuals and organizational assets from security risks;
Organizational relevance and maintaining compliance with legal, regulatory, and contractual obligations are clearly explained;
Measurements for continual improvement metrics;
Content is written to help build an engaged and alert security community;
Instructions should help individuals reflect on the policy, consider how to respond in a situation, and take risk-based, informed, and appropriate action;
Policy cross-references.

76 Proteger a las personas y los activos de la organización contra los riesgos de seguridad;
La relevancia organizacional y el mantenimiento del cumplimiento de las obligaciones legales, reglamentarias y contractuales se explican claramente;
Medidas para métricas de mejora continua;
El contenido está escrito para ayudar a construir una comunidad de seguridad comprometida y alerta;
Las instrucciones deben ayudar a las personas a reflexionar sobre la política, considerar cómo responder en una situación y tomar medidas basadas en riesgos, informadas y apropiadas;
Referencias cruzadas de políticas.

77
Q

77 Which department plays a pivotal role as collaborator with security personnel in an organization’s security awareness program?

77 ¿Qué departamento desempeña un papel fundamental como colaborador del personal de seguridad en el programa de concientización sobre seguridad de una organización?

A

77 Human resources.

77 Recursos humanos.

78
Q

78 Security awareness program content should align with what three things?

78 ¿Con qué tres cosas debe alinearse el contenido del programa de concientización sobre seguridad?

A

78
Program goals and objectives,
Security policies and procedures,
Key performance indicators.

78
Metas y objetivos del programa,
Políticas y procedimientos de seguridad,
Indicadores clave de desempeño.

79
Q

79 What factors should be considered when determining how security awareness program content should be delivered?

79 ¿Qué factores deben tenerse en cuenta al determinar cómo debe impartirse el contenido del programa de concientización sobre seguridad?

A

79 Location-specific needs and requirements,
Existing training culture and processes to be leveraged,
Training topics needed,
Types of training formats available and relevant,
Levels of training required based on security access or employment status.

79 Necesidades y requisitos específicos de la ubicación,
Cultura y procesos de capacitación existentes que se aprovecharán,
Temas de capacitación necesarios,
Tipos de formatos de capacitación disponibles y relevantes,
Niveles de capacitación requeridos según el acceso de seguridad o el estado de empleo.

80
Q

80 What should be included in a security awareness program evaluation?

80 ¿Qué debe incluirse en una evaluación de un programa de concientización sobre seguridad?

A

80 Appropriateness of program goals and objectives,
Consistency with the organization’s security policies and procedures,
Volume and frequency of security awareness arid training content,
Effectiveness of content and delivery methods,
Level of resources allocated to the program.

80 Adecuación de las metas y objetivos del programa,
Coherencia con las políticas y procedimientos de seguridad de la organización,
Volumen y frecuencia del contenido de concientización y capacitación en seguridad,
Eficacia del contenido y los métodos de entrega,
Nivel de recursos asignados al programa.

81
Q

81 What should security awareness program improvements be based on?

81 ¿En qué deben basarse las mejoras del programa de concientización sobre seguridad?

A

81 Individual feedback,
Program evaluations,
Evolving threat landscapes,
Changes in the organization’s culture,
Audit findings,
New or changes to legal, regulatory, or contractual obligations,
Top management input and direction.

81 Retroalimentación individual,
Evaluaciones de programas,
Evolución de los paisajes de amenazas,
Cambios en la cultura de la organización,
Hallazgos de auditoría,
Obligaciones legales, regulatorias o contractuales nuevas o modificadas,
Aportes y dirección de la alta gerencia.

82
Q

82 What are some benefits of using a security consultant?

82 ¿Cuáles son algunos de los beneficios de utilizar un consultor de seguridad?

A

82
They do not promote or sell a specific product,
Objectivity,
Out-of-the-box thinking,
Can be less expensive than hiring additional staff.

82
No promueven ni venden un producto específico,
Objetividad,
Pensamiento innovador,
Puede ser menos costoso que contratar personal adicional.

83
Q

83 What are three categories of security consultants?

83 ¿Cuáles son las tres categorías de consultores de seguridad?

A

83 Security management consultants,
Technical security consultants,
Security forensic consultants.

83 Consultores de gestión de seguridad,
Consultores de seguridad técnica,
Consultores forenses de seguridad.

84
Q

84 This type of security consultant usually specializes in a certain discipline, which comprises the foundation of their expertise.

84 Este tipo de consultor de seguridad suele especializarse en una determinada disciplina, que constituye la base de su experiencia.

A

84 Security management consultants.

84 Consultores de gestión de seguridad.

85
Q

85 This type of security consultant has specialized subject matter expertise and specializes in translating security concepts and functionality into blueprints and equipment specifications.

85 Este tipo de consultor de seguridad tiene experiencia especializada en la materia y se especializa en traducir conceptos y funcionalidades de seguridad en planos y especificaciones de equipos.

A

85 Technical security consultant.

85 Consultor técnico de seguridad.

86
Q

86 This type of security consultant deals with investigation, identification and collection of evidence, identification of vulnerabilities, mitigation strategies, and litigation.

86 Este tipo de consultor de seguridad se ocupa de la investigación, identificación y recopilación de evidencia, identificación de vulnerabilidades, estrategias de mitigación y litigios.

A

86 Forensic security consultants.

86 Consultores de seguridad forense.

87
Q

87 In what situation are technical security consultants likely to be used?

87 ¿En qué situaciones es probable que se recurra a consultores técnicos de seguridad?

A

87 New construction or renovation projects.

87 Proyectos de nueva construcción o reforma.

88
Q

88 What are three ways technical security consultants can support construction and renovation projects?

88 ¿Cuáles son tres formas en que los consultores de seguridad técnica pueden apoyar proyectos de construcción y renovación?

A

88 Work with the architects and design engineers to ensure the needed security systems are integrated into the initial designs,
Uncover security concerns in the plans before they are finalized,
Recommend security hardware and software that is compatible with other building systems.

88 Trabajar con los arquitectos e ingenieros de diseño para garantizar que los sistemas de seguridad necesarios estén integrados en los diseños iniciales,
Descubrir problemas de seguridad en los planes antes de que se finalicen,
Recomendar hardware y software de seguridad que sean compatibles con otros sistemas de construcción.

89
Q

89 What is a security advisory committee?

89 ¿Qué es un comité asesor de seguridad?

A

89 An internal resources formed to assist corporate executives and chief security officers in their efforts to ensure that current security measures are adequate.

89 Un recurso interno formado para ayudar a los ejecutivos corporativos y a los directores de seguridad en sus esfuerzos por garantizar que las medidas de seguridad actuales sean adecuadas.

90
Q

90 Who should serve on a security advisory committee?

90 ¿Quién debería formar parte de un comité asesor de seguridad?

A

90 Representatives of key corporate functions with stature and credibility within the organization and sufficient information about the company’s operation to enable them to offer useful opinions about actions that should be taken.

90 Representantes de funciones corporativas claves con prestigio y credibilidad dentro de la organización e información suficiente sobre el funcionamiento de la empresa que les permita ofrecer opiniones útiles sobre las acciones que se deben tomar.

91
Q

91 What typically drives the decision to use a security consultant?

91 ¿Qué es lo que normalmente impulsa la decisión de utilizar un consultor de seguridad?

A

91 A specific problem, need, challenge, or goal.

91 Un problema, necesidad, desafío o meta específica.

92
Q

92 What are five steps to use when selecting a security consultant?

92 ¿Cuáles son los cinco pasos a seguir al seleccionar un consultor de seguridad?

A

92 Identify candidates, Invite candidates to submit an application, Evaluate the application, Interview the top two or three candidates, Negotiate an agreement and finalize the selection.

92 Identificar candidatos, Invitar a los candidatos a presentar una solicitud, Evaluar la solicitud, Entrevistar a los dos o tres mejores candidatos, Negociar un acuerdo y finalizar la selección.

93
Q

93 How can consultant candidates be identified?

93 ¿Cómo se pueden identificar candidatos a consultores?

A

93 Suggestions from colleagues and peers, Industry associations, Online.

93 Sugerencias de colegas y pares, Asociaciones industriales, En línea.

94
Q

94 What three things should be submitted by prospective security consultants looking to be hired for a project?

94 ¿Cuáles son las tres cosas que deben presentar los posibles consultores de seguridad que buscan ser contratados para un proyecto?

A

94 Custom application, Resume, Proof of license, in jurisdictions with this requirement.

94 Solicitud personalizada, Currículum vitae, Comprobante de licencia, en jurisdicciones con este requisito.

95
Q

95 How can consultant applications be evaluated?

95 ¿Cómo se pueden evaluar las solicitudes de consultoría?

A

95 Compare the quality of documents and candidates’ credentials, References from prior clients, Background investigations of top candidates.

95 Compare la calidad de los documentos y las credenciales de los candidatos, referencias de clientes anteriores, investigaciones de antecedentes de los mejores candidatos.

96
Q

96 What types of questions should be asked during a consultant interview?

96 ¿Qué tipos de preguntas se deben hacer durante una entrevista con un consultor?

A

96 Questions that probe the candidate’s security philosophy.

96 preguntas que investigan la filosofía de seguridad del candidato.

97
Q

97 What subjects should be negotiated with a security consultant prior to hiring?

97 ¿Qué temas se deben negociar con un consultor de seguridad antes de contratarlo?

A

97
Scope of work,
Product to be delivered,
Methodology,
Timing,
Related expenses.

97
Alcance del trabajo,
Producto a entregar,
Metodología,
Tiempo,
Gastos relacionados.

98
Q

98 What are five types of fee structures for consultants?

98 ¿Cuáles son los cinco tipos de estructuras de honorarios para consultores?

A

98 Hourly fees, Daily fees, Fixed fees, Not-to-exceed fees, Retainers.

98 Honorarios por hora, Honorarios diarios, Honorarios fijos, Honorarios que no deben excederse, Retenedores.

99
Q

99 When is paying a consultant an hourly fee applicable?

99 ¿Cuándo es aplicable el pago por hora a un consultor?

A

99 When the assignment is expecteq. to last less than a day, but the exact amount of time needed is unclear.

99 Cuando se espera que la tarea dure menos de un día, pero no está claro el tiempo exacto necesario.

100
Q

100 When are fixed fee structures used with consultants?

100 ¿Cuándo se utilizan estructuras de honorarios fijos con los consultores?

A

100 When the number of days required to accomplish the work can be estimated accurately and controlled by the consultant.

100 Cuando el número de días necesarios para realizar el trabajo pueda ser estimado con precisión y controlado por el consultor.

101
Q

101 What is a not-to-exceed fee?

101 ¿Qué es una tarifa que no debe excederse?

A

101 The consultant’s guarantee that the total cost or time will be limited to the parameters agreed to in the contract.

101 La garantía del consultor de que el costo total o el tiempo se limitarán a los parámetros pactados en el contrato.

102
Q

102 What is a consultant retainer agreement?

102 ¿Qué es un contrato de retención de consultores?

A

102 The consultant agrees to work a specified number of days each year for the client, and the client is guaranteed access to the consultant when needed.

102 El consultor se compromete a trabajar un número específico de días cada año para el cliente, y se le garantiza al cliente acceso al consultor cuando lo necesite.

103
Q

103 What should be covered during a consultant’s organizational orientation?

103 ¿Qué debe cubrirse durante la orientación organizacional de un consultor?

A

103 Backgrounds and responsibilities of key personnel,
Organizational chart,
Operating environment,
Key assets and functions,
Internal and external relationships relevant to the project,
Specific legislative or regulatory controls,
History of the enterprise,
Philosophy of top management,
Competitive position.

103 Antecedentes y responsabilidades del personal clave,
Organigrama,
Entorno operativo,
Activos y funciones clave,
Relaciones internas y externas relevantes para el proyecto,
Controles legislativos o reglamentarios específicos,
Historia de la empresa,
Filosofía de la alta dirección,
Posición competitiva.

104
Q

104 What should be outlined in a consultant’s work plan?

104 ¿Qué debe contener el plan de trabajo de un consultor?

A

104
Scope,
Tasks and priorities,
Assignments,
Completion schedules.

104
Alcance,
Tareas y prioridades,
Asignaciones,
Cronogramas de cumplimiento.

105
Q

105 What should be included in a consultant’s final report?

105 ¿Qué debe incluir el informe final de un consultor?

A

105
Executive summary,
Results achieved,
Recommendations.

105
Resumen ejecutivo,
Resultados alcanzados,
Recomendaciones.

106
Q

106 How should the recommendations section of the consultant’s final report be structured?

106 ¿Cómo debe estructurarse la sección de recomendaciones del informe final del consultor?

A

106 The recommendations should be numbered for future reference and should define any additional work that needs to be done, together with suggestions on how to accomplish it.

106 Las recomendaciones deben estar numeradas para futuras referencias y deben definir cualquier trabajo adicional que deba realizarse, junto con sugerencias sobre cómo llevarlo a cabo.

107
Q

107 What is a chief security officer?

107 ¿Qué es un director de seguridad?

A

107 A senior executive level function responsible for providing comprehensive integrated risk strategies to help protect an organization from a wide spectrum of threats.

107 Función de alto nivel ejecutivo responsable de proporcionar estrategias integrales de riesgo para ayudar a proteger a una organización de un amplio espectro de amenazas.

108
Q

108 What seven categories of skills is required by a chief security officer?

108 ¿Cuáles son las siete categorías de habilidades que debe tener un jefe de seguridad?

A

108
Relationship leader,
Executive management and leadership,
Subject matter expertise,
Governance team member,
Risk executive,
Strategist,
Creative problem solver.

108
Líder de relaciones,
Gestión ejecutiva y liderazgo,
Experiencia en la materia,
Miembro del equipo de gobernanza,
Ejecutivo de riesgos,
Estratega,
Solucionador creativo de problemas.

109
Q

109 Why is it recommended that the chief security officer report to a key senior-level executive?

109 ¿Por qué se recomienda que el director de seguridad reporte a un ejecutivo clave de alto nivel?

A

109 To ensure a strong liaison with designated leadership bodies.

109 Garantizar una fuerte relación con los órganos de liderazgo designados.

110
Q

110 A chief security officer is expected to have what level of education?

110 ¿Qué nivel de educación se espera que tenga un jefe de seguridad?

A

110 Advanced education and degrees should be highly valued.

  1. La educación avanzada y los títulos universitarios deben ser altamente valorados.