1 Practicas y principios de seguridad

Question 1

1 What is Enterprise Security Risk Management (ESRM)?

1 ¿Qué es la gestión de riesgos de seguridad empresarial (ESRM)?

Answer 1

1 ESRM is a strategic approach to security management that ties an organization’s security practice to its overall strategy using globally. accepted and established risk management principles.

1 ESRM es un enfoque estratégico para la gestión de la seguridad que vincula la práctica de seguridad de una organización a su estrategia general utilizando principios de gestión de riesgos establecidos y aceptados globalmente.

Question 2

2 What are the three primary components of ESRM?

2 ¿Cuáles son los tres componentes principales del ESRM?

Answer 2

2 The context, The foundation, The ESRM cycle.

2 El contexto, La base, El ciclo ESRM.

Question 3

3 This component of ESRM includes organizational aspects that security professionals must understand to successfully adopt ESRM.

3 Este componente de ESRM incluye aspectos organizacionales que los profesionales de seguridad deben comprender para adoptar ESRM con éxito.

Answer 3

3 The context.

3 El contexto.

Question 4

4 This component of ESRM includes organizational concepts that support the ESRM approach and maximize its impact.

4 Este componente de ESRM incluye conceptos organizacionales que respaldan el enfoque ESRM y maximizan su impacto.

Answer 4

4 The foundation.

4 La fundación.

Question 5

5 The component of ESRM is the actual process of security risk management that emphasizes the importance of understanding assets.

5 El componente de ESRM es el proceso real de gestión de riesgos de seguridad que enfatiza la importancia de comprender los activos.

Answer 5

5 The ESRM cycle.

5 El ciclo ESRM.

Question 6

6 What organizational aspects are included in the context of ESRM?

6 ¿Qué aspectos organizacionales se incluyen en el contexto de la ESRM?

Answer 6

6 Mission and vision,
Core values,
Operating Environment,
Stakeholders.

6 Misión y visión,
Valores fundamentales,
Entorno operativo,
Partes interesadas.

Question 7

7 What three things comprise the operating environment of an organization?

7 ¿Cuáles son las tres cosas que componen el entorno operativo de una organización?

Answer 7

7 Physical,Nonphysical,Logical.

7 Físico,No físico,Lógico.

Question 8

8 This operating environment includes much of what influences traditional security factors, such as the type and location of buildings, industrial control systems, and products on hand.

8 Este entorno operativo incluye gran parte de lo que influye en los factores de seguridad tradicionales, como el tipo y la ubicación de los edificios, los sistemas de control industrial y los productos disponibles.

Answer 8

8 Physical.

8 Físico.

Question 9

9 These factors are sources of risk, and include things such as the geopolitical environment, intensity of competition, and speed required for decision making.

9 Estos factores son fuentes de riesgo e incluyen cosas como el entorno geopolítico, la intensidad de la competencia y la velocidad requerida para la toma de decisiones.

Answer 9

9 Nonphysical factors.

9 Factores no físicos.

Question 10

10 These factors focus on information types such as servers, workstations, and network infrastructure.

10 Estos factores se centran en tipos de información como servidores, estaciones de trabajo e infraestructura de red.

Answer 10

10 Logical factors.

10 Factores lógicos.

Question 11

11 What are the four processes in the ESRM cycle?

11 ¿Cuáles son los cuatro procesos del ciclo ESRM?

Answer 11

11
Identify and prioritize assets,
Identify and prioritize risks,
Mitigate prioritized risks,
Continuous improvement.

11
Identificar y priorizar activos,
Identificar y priorizar riesgos,
Mitigar riesgos priorizados,
Mejora continua.

Question 12

12 What is an asset owner?

12 ¿Qué es un propietario de activos?

Answer 12

12 The person most directly responsible for successful operation of the asset. In ESRM, the asset owner is assigned responsibility for the risk to an asset.

12 La persona más directamente responsable del funcionamiento exitoso del activo. En ESRM, al propietario del activo se le asigna la responsabilidad por el riesgo del activo.

Question 13

13 What four concepts comprise the foundation of ESRM?

13 ¿Cuáles son los cuatro conceptos que componen la base del ESRM?

Answer 13

13
Holistic risk management,
Partnership with stakeholders,
Transparency,
Governance.

13
Gestión holística de riesgos,
Asociación con las partes interesadas,
Transparencia,
Gobernanza.

Question 14

14 What are two types of assets?

14 ¿Cuáles son dos tipos de activos?

Answer 14

14 Tangible, Intangible.

14 Tangibles, Intangibles.

Question 15

15 What are four ways to manage risk?

15 ¿Cuáles son cuatro formas de gestionar el riesgo?

Answer 15

15 Eliminate, Reduce, Transfer, Accept.

15 Eliminar, Reducir, Transferir, Aceptar.

Question 16

16 This risk mitigation strategy involves removing the risk entirely.

16 Esta estrategia de mitigación de riesgos implica eliminar el riesgo por completo.

Answer 16

16 Eliminate.

16 Eliminar.

Question 17

17 This risk mitigation strategy attempts to minimize risk through protective measures.

17 Esta estrategia de mitigación de riesgos intenta minimizar el riesgo mediante medidas de protección.

Answer 17

17 Reduce.

17 Reducir.

Question 18

18 This risk mitigation strategy is typically achieved when another entity takes the risk on the organization’s behalf.

18 Esta estrategia de mitigación de riesgos normalmente se logra cuando otra entidad asume el riesgo en nombre de la organización.

Answer 18

18 Transfer.

18 Transferencia.

Question 19

19 This risk mitigation strategy allows risk if the costs of reducing, eliminating, or transferring the risk outweigh the potential losses associated with it.

19 Esta estrategia de mitigación de riesgos permite el riesgo si los costos de reducirlo, eliminarlo o transferirlo superan las pérdidas potenciales asociadas a él.

Answer 19

19 Accept.

19 Aceptar.

Question 20

20 What is a risk assessment?

20 ¿Qué es una evaluación de riesgos?

Answer 20

20 Risk assessment is the identification, analysis, and evaluation of uncertainties to objectives and outcomes. It provides a comparison between the desired/undesired outcomes and expected rewards/losses of organizational objectives. The risk assessment analyzes whether the uncertainty is within acceptable boundaries and within the organization’s capacity to manage risk.

20 La evaluación de riesgos es la identificación, el análisis y la evaluación de las incertidumbres en relación con los objetivos y los resultados. Proporciona una comparación entre los resultados deseados/no deseados y las recompensas/pérdidas esperadas de los objetivos organizacionales. La evaluación de riesgos analiza si la incertidumbre se encuentra dentro de los límites aceptables y dentro de la capacidad de la organización para gestionar el riesgo.

Question 21

21 What do the results of a risk assessment inform?

21 ¿Qué informan los resultados de una evaluación de riesgos?

Answer 21

21 The choices available to effectively manage risk to achieve the organization’s outcomes.

21 Las opciones disponibles para gestionar eficazmente el riesgo para lograr los resultados de la organización.

Question 22

22 What are the deciding factors between a qualitative or quantitative approach to a risk assessment?

22 ¿Cuáles son los factores decisivos entre un enfoque cualitativo o cuantitativo para una evaluación de riesgos?

Answer 22

22
The reliability and validity of the available data,
The nature of the risk factors and if they are quantifiable,
The target audience for the outputs.

22
La fiabilidad y validez de los datos disponibles,
La naturaleza de los factores de riesgo y si son cuantificables,
El público objetivo de los resultados.

Question 23

23 What is risk appetite?

23 ¿Qué es el apetito por el riesgo?

Answer 23

23 The total exposed amount that an Qrganization wishes to undertake on the basis of risk-return trade-offs for one of more desired and expected outcomes.

23 El monto total expuesto que una organización desea asumir sobre la base de compensaciones entre riesgo y retorno para uno o más resultados deseados y esperados.

Question 24

24 What is risk tolerance?

24 ¿Qué es la tolerancia al riesgo?

Answer 24

24 The amount of uncertainty an organization is prepared to accept in total or more narrowly within a certain business unity, a particular risk category, or for a specific initiative.

24 La cantidad de incertidumbre que una organización está dispuesta a aceptar en total o de manera más restringida dentro de una determinada unidad de negocio, una categoría de riesgo particular o para una iniciativa específica.

Question 25

25 What tasks take place at the start of the risk assessment?

25 ¿Qué tareas se realizan al inicio de la evaluación de riesgos?

Answer 25

25
Setting objectives,
Identification of stakeholders,
Identification of internal context and variables,
Documenting assumptions,
Defining scope and statement of work,
Policy and management commitment,
Commitment of resources.

25
Establecer objetivos,
Identificación de partes interesadas,
Identificación del contexto interno y variables,
Documentación de supuestos,
Definición del alcance y declaración de trabajo,
Compromiso de política y gestión,
Compromiso de recursos.

Question 26

26 What is a gap analysis?

26 ¿Qué es un análisis de brechas?

Answer 26

26 A technique to determine what steps might need to be taken to improve from a current state to a desired, future state.

26 Una técnica para determinar qué pasos podrían necesitarse para mejorar desde un estado actual a un estado futuro deseado.

Question 27

27 A gap analysis consists of what three steps?

27 ¿Un análisis de brechas consta de qué tres pasos?

Answer 27

27
Noting currently available factors”
Listing success factors needed to achieve future, desired objectives,
Highlighting the gaps that exist and what gaps may need to be filled to be successful.

27. Tomar nota de los factores actualmente disponibles.
    Enumerar los factores de éxito necesarios para alcanzar los objetivos futuros deseados.
    Destacar las brechas que existen y las que pueden necesitar ser llenadas para tener éxito.

Question 28

28 What four components should be in any risk identification process, regardless of risk discipline?

28 ¿Cuáles son los cuatro componentes que debe tener cualquier proceso de identificación de riesgos, independientemente de la disciplina de riesgo?

Answer 28

28
Asset and service identification, valuation, and characterization,
Threat and opportunity analysis,
Vulnerability and capability analysis,
Criticality and impact analysis.

28
Identificación, valoración y caracterización de activos y servicios,
Análisis de amenazas y oportunidades,
Análisis de vulnerabilidad y capacidad,
Análisis de criticidad e impacto.

Question 29

29 What comprises assessor competence?

29 ¿Qué comprende la competencia del evaluador?

Answer 29

29
Personal traits and interpersonal skills,
Assessment skills,
Communication skills,
Education, training, and knowledge,
Work experience.

29
Rasgos personales y habilidades interpersonales,
Habilidades de evaluación,
Habilidades de comunicación,
Educación, formación y conocimientos,
Experiencia laboral.

Question 30

30 Documented criteria of an assessor’s knowledge and skills provide the basis for what three things?

30 ¿Los criterios documentados de los conocimientos y habilidades de un evaluador proporcionan la base para qué tres cosas?

Answer 30

30
Selection of assessment team members,
Ascertain competence enhancement required for continuous improvement,
Determine performance indicators for assessors.

30
Selección de los miembros del equipo de evaluación,
Determinar la mejora de la competencia necesaria para la mejora continua,
Determinar los indicadores de desempeño de los evaluadores.

Question 31

31 What are two types of interactions between a risk assessment team and an organization?

31 ¿Cuáles son dos tipos de interacciones entre un equipo de evaluación de riesgos y una organización?

Answer 31

31
Human interaction,
Minimal human interactions.

31
Interacción humana,
Interacciones humanas mínimas.

Question 32

32 This type ofinteraction includes activities such as conducting interviews, document reviews with stakeholders, exercises, and undercover investigations.

32 Este tipo de interacción incluye actividades como la realización de entrevistas, revisiones de documentos con las partes interesadas, ejercicios e investigaciones encubiertas.

Answer 32

32 Human interaction.

32 Interacción humana.

Question 33

33 This type of interaction includes activities such as conducting a document review, physical examination, observation, and sampling.

33 Este tipo de interacción incluye actividades como la revisión de documentos, el examen físico, la observación y el muestreo.

Answer 33

33 Minimal human interaction.

33 Interacción humana mínima.

Question 34

34 What are two examples of assessment paths?

34 ¿Cuáles son dos ejemplos de rutas de evaluación?

Answer 34

34 Tracing, Process method.

34 Rastreo, Método de proceso.

Question 35

35 This assessment path tracks a process or risk event chronologically, following a path forward or backward through a process or sequence.

35 Esta ruta de evaluación rastrea un proceso o evento de riesgo cronológicamente, siguiendo un camino hacia adelante o hacia atrás a través de un proceso o secuencia.

Answer 35

35 Tracing.

35 Rastreo.

Question 36

36 This assessment path tests a sequence of steps and evaluates process controls, interactions, effectiveness, and opportunities for improvement.

36 Esta ruta de evaluación prueba una secuencia de pasos y evalúa los controles del proceso, las interacciones, la eficacia y las oportunidades de mejora.

Answer 36

36 Process method.

36 Método de proceso.

Question 37

37 What are some examples of the process method?

37 ¿Cuáles son algunos ejemplos del método de proceso?

Answer 37

37 Objectives method, Risk source method, Department method, Requirement method,Discovery method.

37 Método de objetivos, Método de fuente de riesgo, Método de departamento, Método de requisitos, Método de descubrimiento.

Question 38

38 What is sampling?

38 ¿Qué es el muestreo?

Answer 38

38 The process or technique of selecting a representative part of a population for the purpose.

38 El proceso o técnica de seleccionar una parte representativa de una población para un propósito.

Question 39

39 When is it beneficial to use a sampling method?

39 ¿Cuándo es beneficioso utilizar un método de muestreo?

Answer 39

39 When it is not practical in time or.cost terms to evaluate all available information.

39 Cuando no sea práctico en términos de tiempo o costo evaluar toda la información disponible.

Question 40

40 What are two types of sampling methods?

40 ¿Cuáles son dos tipos de métodos de muestreo?

Answer 40

40 Non-statistical, Statistical.

40 No estadístico, estadístico.

Question 41

41 This sampling method includes judgmental sampling, convenience sampling, and haphazard sampling.

41 Este método de muestreo incluye el muestreo por juicio, el muestreo por conveniencia y el muestreo aleatorio.

Answer 41

41 Non-statistical.

41 No estadístico.

Question 42

42 This sampling method includes random sampling, systematic sampling, stratified sampling, and cluster/block sampling.

42 Este método de muestreo incluye muestreo aleatorio, muestreo sistemático, muestreo estratificado y muestreo por conglomerados/bloques.

Answer 42

42 Statistical sampling.

42 Muestreo estadístico.

Question 43

43 What is terrorism?

43 ¿Qué es el terrorismo?

Answer 43

43 An act of violence designed to achieve a political end.

43 Un acto de violencia diseñado para lograr un fin político.

Question 44

44 What is domestic terrorism?

44 ¿Qué es el terrorismo interno?

Answer 44

44 Violent, criminal acts committed -by individuals and/or groups to further ideological goals stemming from domestic influences, such as those of a political, religious, social, racial, or eiivironmental nature.

44 Actos violentos y criminales cometidos por individuos y/o grupos para promover objetivos ideológicos derivados de influencias internas, como las de naturaleza política, religiosa, social, racial o ambiental.

Question 45

45 What is the primary attack vector of terrorism?

45 ¿Cuál es el principal vector de ataque del terrorismo?

Answer 45

45 To target the public’s sense of security in the location that they reside or work.

45 Fomentar la sensación de seguridad del público en el lugar donde reside o trabaja.

Question 46

46 What is a cost-benefit analysis?

46 ¿Qué es un análisis costo-beneficio?

Answer 46

46 A method for evaluating and comparing the value and cost of risk treatment options.

46 Un método para evaluar y comparar el valor y el costo de las opciones de tratamiento de riesgos.

Question 47

47 A cost-benefit analysis should consider what two types of costs and benefits?

47 Un análisis costo-beneficio debe considerar ¿qué dos tipos de costos y beneficios?

Answer 47

47 Direct,Indirect.

47 Directo, Indirecto.

Question 48

48 What are examples of direct and indirect benefits?

48 ¿Cuáles son ejemplos de beneficios directos e indirectos?

Answer 48

48
Direct benefits: arising from reduction in the likelihood or harmful consequences of the risk.

Indirect benefits: arising from collateral effects of the treatment such as reduced insurance premiums, improved management and staff confidence, and enhanced reputation.

48
Beneficios directos: derivados de la reducción de la probabilidad o de las consecuencias perjudiciales del riesgo.

Beneficios indirectos: derivados de los efectos colaterales del tratamiento, como la reducción de las primas de seguros, la mejora de la confianza de la dirección y del personal y la mejora de la reputación.

Question 49

49 What are some examples of direct and indirect costs?

49 ¿Cuáles son algunos ejemplos de costos directos e indirectos?

Answer 49

49 Direct costs - of implementing the proposed treatment and/or that could arise if the risk eventuates.
Indirect costs - arising from the loss of productivity, business. disruption, diversion of management attention, loss of reputation or brand value.

49 Costos directos: los que se derivan de la implementación del tratamiento propuesto y/o los que podrían surgir si el riesgo se materializa.
Costos indirectos: los que surgen de la pérdida de productividad, interrupciones del negocio, desvío de la atención de la gerencia, pérdida de reputación o valor de marca.

Question 50

50 What are the goals of risk treatments?

50 ¿Cuáles son los objetivos de los tratamientos de riesgo?

Answer 50

50 Remove the risk source, where possible;
Remove or reduce the likelihood of the risk event occurring;
Remove or reduce the negative consequences;
Share the risk with other parties;
Accept risk through informed decision or to exploit an opportunity;
Avoid activities that give rise to risk.

50 Eliminar la fuente de riesgo, cuando sea posible;
Eliminar o reducir la probabilidad de que ocurra el evento de riesgo;
Eliminar o reducir las consecuencias negativas;
Compartir el riesgo con otras partes;
Aceptar el riesgo a través de una decisión informada o para aprovechar una oportunidad;
Evitar actividades que generen riesgo.

Question 51

51 What is the purpose of a prevention and mitigation procedure?

51 ¿Cuál es el propósito de un procedimiento de prevención y mitigación?

Answer 51

51 Define the measures to be taken.hy the organization to minimize the likelihood of a disruptive event or to minimize the potential for the severity of the consequence of the event.

51 Definir las medidas que debe tomar la organización para minimizar la probabilidad de un evento disruptivo o para minimizar el potencial de severidad de las consecuencias del evento.

Question 52

52 What are prevention procedures?

52 ¿Qué son los procedimientos de prevención?

Answer 52

52 Prevention procedures describe how the organization will take proactive steps to protect its assets by establishing architectural, administrative, design, operational, and techn~logical approaches to avoid, eliminate, or reduce the likelihood of risks materializing.

52 Los procedimientos de prevención describen cómo la organización tomará medidas proactivas para proteger sus activos estableciendo enfoques arquitectónicos, administrativos, de diseño, operativos y tecnológicos para evitar, eliminar o reducir la probabilidad de que se materialicen los riesgos.

Question 53

53 What are mitigation procedures?

53 ¿Qué son los procedimientos de mitigación?

Answer 53

53 Mitigation procedures describe how the organization will take proactive steps to protect its assets by establishing immediate,. interim, and long-term approaches to reduce the consequences of risks before they materialize.

53 Los procedimientos de mitigación describen cómo la organización tomará medidas proactivas para proteger sus activos estableciendo enfoques inmediatos, provisionales y a largo plazo para reducir las consecuencias de los riesgos antes de que se materialicen.

Question 54

54 What four steps are included in the risk assessment process?

54 ¿Cuáles son los cuatro pasos que se incluyen en el proceso de evaluación de riesgos?

Answer 54

54 Asset identification, valuation and characterization,
Risk identification,
Risk analysis,
Risk evaluation.

54 Identificación, valoración y caracterización de activos,
Identificación de riesgos,
Análisis de riesgos,
Evaluación de riesgos.

Question 55

55 What happens in the asset identification, valuation and characterization step of the risk assessment process?

55 ¿Qué sucede en la etapa de identificación, valoración y caracterización de activos del proceso de evaluación de riesgos?

Answer 55

55 Identify people, assets and services that provide tangible and intangible value giving consideration to financial, operational, temporal, and reputational characteristics of assets, activities, functions and services.

55 Identificar personas, activos y servicios que aportan valor tangible e intangible teniendo en cuenta las características financieras, operativas, temporales y de reputación de los activos, actividades, funciones y servicios.

Question 56

56 What happens in the risk identification step of the risk assessment process?

56 ¿Qué sucede en la etapa de identificación de riesgos del proceso de evaluación de riesgos?

Answer 56

56 Identify sources of strategic, operational, tactical, and reputational risk to assess threats and opportunities; vulnerabilities and capabilities; and consequence and criticalities that have a potential for direct or indirect consequences on the organization’s activities, assets, operations, functions and impacted stakeholders.

56 Identificar fuentes de riesgo estratégico, operativo, táctico y reputacional para evaluar amenazas y oportunidades; vulnerabilidades y capacidades; y consecuencias y criticidades que tienen potencial de tener consecuencias directas o indirectas sobre las actividades, activos, operaciones, funciones de la organización y las partes interesadas impactadas.

Question 57

57 What happens in the risk analysis step of the risk assessment process?

57 ¿Qué sucede en la etapa de análisis de riesgos del proceso de evaluación de riesgos?

Answer 57

57 Systematically analyze risk to determine those risks that have significant impact on activities, functions, services, products, supply. chain, subcontractors, stakeholder relationships, local populations and the environment.

57 Analizar sistemáticamente los riesgos para determinar aquellos que tienen un impacto significativo en las actividades, funciones, servicios, productos, cadena de suministro, subcontratistas, relaciones con las partes interesadas, poblaciones locales y el medio ambiente.

Question 58

58 What happens in the risk evaluation step of the risk assessment process?

58 ¿Qué sucede en la etapa de evaluación de riesgos del proceso de evaluación de riesgos?

Answer 58

58 Systematically evaluate and prioritize risk controls and treatments, and their related costs to determine how to bring risk within an acceptable level consistent with risk criteria.

58 Evaluar y priorizar sistemáticamente los controles y tratamientos de riesgo, y sus costos relacionados, para determinar cómo llevar el riesgo a un nivel aceptable consistente con los criterios de riesgo.

Question 59

59 What are some outputs of a risk assessment?

59 ¿Cuáles son algunos resultados de una evaluación de riesgos?

Answer 59

59 A prioritized risk register identifying treatments to manage risk,
Justification for risk acceptance,
Identification of critical control points,
Requirements for supplier, distributor, outsourcing and subcontractor controls.

59 Un registro de riesgos priorizado que identifique los tratamientos para gestionar el riesgo,
Justificación para la aceptación del riesgo,
Identificación de puntos críticos de control,
Requisitos para los controles de proveedores, distribuidores, subcontratistas y tercerizadores.

Question 60

60 What six things should be considered when assessing consequences?

60 ¿Qué seis cosas deben tenerse en cuenta al evaluar las consecuencias?

Answer 60

60
Human cost,
Financial cost,
Image cost,
Human rights impacts,
Indirect impacts,
Environmental impacts.

60
Costo humano,
Costo financiero,
Costo de imagen,
Impactos en derechos humanos,
Impactos indirectos,
Impactos ambientales.

Question 61

61 What changes may prompt an update to a risk assessment?

61 ¿Qué cambios pueden motivar una actualización de una evaluación de riesgos?

Answer 61

61 Changes in: Risk landscape, Leadership and partnerships, Contractual and industry trends, Regulatory requirements, Political environment, Conditions due to an event, Performance based test/exercise results.

61 Cambios en: Panorama de riesgos, Liderazgo y asociaciones, Tendencias contractuales y de la industria, Requisitos regulatorios, Entorno político, Condiciones debidas a un evento, Resultados de pruebas/ejercicios basados ​​en el desempeño.

Question 62

62 What are five benefits of liaison?

62 ¿Cuáles son los cinco beneficios del enlace?

Answer 62

62
Leverage the resources of others,
Share best practices and lessons learned,
Collaborate on specific cases or incidents,
More effectively address common issues,
Share information, equipment, and facilities.

62
Aprovechar los recursos de otros,
Compartir las mejores prácticas y lecciones aprendidas,
Colaborar en casos o incidentes específicos,
Abordar problemas comunes de forma más eficaz,
Compartir información, equipos e instalaciones.

Question 63

63 What is cost-effectiveness?

63 ¿Qué es la relación coste-efectividad?

Answer 63

63 Producing good results for the money spent.

63 Produciendo buenos resultados por el dinero gastado.

Question 64

64 What three things maximize cost-effectiveness?

64 ¿Qué tres cosas maximizan la relación coste-efectividad?

Answer 64

64 Ensure that the operations are conducted in the least expensive but cost effective way, Maintain the lowest costs consistent with requi’red operational results, Ensure that the amount of money spent generates the highest return.

64 Asegurarse de que las operaciones se realicen de la manera menos costosa pero rentable, Mantener los costos más bajos consistentes con los resultados operativos requeridos, Asegurarse de que la cantidad de dinero gastado genere el mayor retorno.

Question 65

65 What is security awareness?

65 ¿Qué es la concientización sobre la seguridad?

Answer 65

65 Consciousness of an existing security program, its relevance, and the effect of one’s behavior on reducing security risks.

65 Conciencia de un programa de seguridad existente, su relevancia y el efecto del propio comportamiento en la reducción de los riesgos de seguridad.

Question 66

66 What is the purpose of a security awareness program?

66 ¿Cuál es el propósito de un programa de concientización sobre seguridad?

Answer 66

66 To communicate to all individuals, including those working on behalf of the organization, risks within the organization’s unique internal and external environments, and the technical and administrative controls implemented to effectively manage those risks.

66 Comunicar a todas las personas, incluidas aquellas que trabajan en nombre de la organización, los riesgos dentro de los entornos internos y externos únicos de la organización, y los controles técnicos y administrativos implementados para gestionar eficazmente esos riesgos.

Question 67

67 When is an effective security culture established?

67 ¿Cuándo se establece una cultura de seguridad eficaz?

Answer 67

67 When people’s behaviors align with the defined risk management processes and where the security technologies and methods deployed are policy based and well communicated through security awareness and training activities.

67 Cuando el comportamiento de las personas se alinea con los procesos de gestión de riesgos definidos y donde las tecnologías y métodos de seguridad implementados están basados ​​en políticas y bien comunicados a través de actividades de concientización y capacitación en seguridad.

Question 68

68 What is the goal of a security awareness program?

68 ¿Cuál es el objetivo de un programa de concientización sobre seguridad?

Answer 68

68 To promote compliance with security policies and procedures, as well as provide timely communications and training to guide individual and organizational attitudes and behaviors. .

68 Promover el cumplimiento de las políticas y procedimientos de seguridad, así como proporcionar comunicaciones y capacitación oportunas para guiar las actitudes y comportamientos individuales y organizacionales.

Question 69

69 What should every awareness program be structured to reflect?

69 ¿Qué aspectos debería reflejar todo programa de concientización?

Answer 69

69 The organization’s unique culture,
risk environment,
lifecycle management,
and change control process.

69 La cultura única de la organización,
el entorno de riesgos,
la gestión del ciclo de vida
y el proceso de control de cambios.

Question 70

70 How does clear top management support for security awareness set the tone?

70 ¿Cómo un claro apoyo de la alta dirección a la concienciación sobre seguridad marca el tono?

Answer 70

70 By actively supporting awareness communication, training, and associated activities. Top management should also be involved in strengthening the culture that ensures individuals understand their security roles and take ownership of their personal safety and security.

70 Apoyando activamente la comunicación, la formación y las actividades asociadas con la concienciación, la alta dirección también debería participar en el fortalecimiento de la cultura que garantice que las personas comprendan sus funciones de seguridad y se responsabilicen de su seguridad personal.

Question 71

71 What three program principles should be established for security awareness programs?

71 ¿Cuáles son los tres principios programáticos que se deben establecer para los programas de concientización sobre seguridad?

Answer 71

71 Encourage enterprisewide ownership, Develop a unified approach for security awareness communication and training, Leverage existing programs/infrastructure.

71 Fomentar la propiedad en toda la empresa,
Desarrollar un enfoque unificado para la comunicación y la capacitación sobre concientización sobre seguridad,
Aprovechar los programas y la infraestructura existentes.

Question 72

72 What can be done to encourage enterprisewide ownership of security awareness programs?

72 ¿Qué se puede hacer para fomentar la apropiación de programas de concientización sobre seguridad en toda la empresa?

Answer 72

72 Establishing an oversight, advisory, or steering group comprised of security stakeholders to influence/generate program content and to help communicate risk appetite, strategy, and content relevance. Establishing security champions or influencers to solicit and provide input to program content.

72 Establecer un grupo de supervisión, asesoramiento o dirección integrado por las partes interesadas en la seguridad para influir en el contenido del programa o generarlo y ayudar a comunicar la tolerancia al riesgo, la estrategia y la relevancia del contenido. Establecer promotores o personas influyentes en materia de seguridad para solicitar y proporcionar aportes al contenido del programa.

Question 73

73 What is a benefit of a unified, holistic approach to security awareness program content?

73 ¿Cuál es el beneficio de un enfoque unificado y holístico del contenido del programa de concientización sobre seguridad?

Answer 73

73 Using ‘one voice’ simplifies the message and increases the impact to stakeholders and the organization.

73 El uso de “una sola voz” simplifica el mensaje y aumenta el impacto en las partes interesadas y la organización.

Question 74

74 What types of benefits may be realized by leveraging existing organizational programs for security awareness?

74 ¿Qué tipos de beneficios se pueden obtener al aprovechar los programas organizacionales existentes para concientizar sobre seguridad?

Answer 74

74 Timing, Resource, Budget, Logistical.

74 Tiempo, Recursos, Presupuesto, Logística.

Question 75

75 What six factors are planning considerations when designing an effective security awareness program?

75 ¿Cuáles son los seis factores que se deben tener en cuenta al diseñar un programa eficaz de concientización sobre seguridad?

Answer 75

75 Security policies and procedures,
Internal and external considerations,
Security risks,
Resources,
Roles, responsibility, and authorities,
Human resources context.

75
Políticas y procedimientos de seguridad,
Consideraciones internas y externas,
Riesgos de seguridad,
Recursos,
Roles, responsabilidades y autoridades,
Contexto de recursos humanos.

Question 76

76 Effective security policies contain what important characteristics?

76 ¿Qué características importantes contienen las políticas de seguridad efectivas?

Answer 76

76 Protecting individuals and organizational assets from security risks;
Organizational relevance and maintaining compliance with legal, regulatory, and contractual obligations are clearly explained;
Measurements for continual improvement metrics;
Content is written to help build an engaged and alert security community;
Instructions should help individuals reflect on the policy, consider how to respond in a situation, and take risk-based, informed, and appropriate action;
Policy cross-references.

76 Proteger a las personas y los activos de la organización contra los riesgos de seguridad;
La relevancia organizacional y el mantenimiento del cumplimiento de las obligaciones legales, reglamentarias y contractuales se explican claramente;
Medidas para métricas de mejora continua;
El contenido está escrito para ayudar a construir una comunidad de seguridad comprometida y alerta;
Las instrucciones deben ayudar a las personas a reflexionar sobre la política, considerar cómo responder en una situación y tomar medidas basadas en riesgos, informadas y apropiadas;
Referencias cruzadas de políticas.

Question 77

77 Which department plays a pivotal role as collaborator with security personnel in an organization’s security awareness program?

77 ¿Qué departamento desempeña un papel fundamental como colaborador del personal de seguridad en el programa de concientización sobre seguridad de una organización?

Answer 77

77 Human resources.

77 Recursos humanos.

Question 78

78 Security awareness program content should align with what three things?

78 ¿Con qué tres cosas debe alinearse el contenido del programa de concientización sobre seguridad?

Answer 78

78
Program goals and objectives,
Security policies and procedures,
Key performance indicators.

78
Metas y objetivos del programa,
Políticas y procedimientos de seguridad,
Indicadores clave de desempeño.

Question 79

79 What factors should be considered when determining how security awareness program content should be delivered?

79 ¿Qué factores deben tenerse en cuenta al determinar cómo debe impartirse el contenido del programa de concientización sobre seguridad?

Answer 79

79 Location-specific needs and requirements,
Existing training culture and processes to be leveraged,
Training topics needed,
Types of training formats available and relevant,
Levels of training required based on security access or employment status.

79 Necesidades y requisitos específicos de la ubicación,
Cultura y procesos de capacitación existentes que se aprovecharán,
Temas de capacitación necesarios,
Tipos de formatos de capacitación disponibles y relevantes,
Niveles de capacitación requeridos según el acceso de seguridad o el estado de empleo.

Question 80

80 What should be included in a security awareness program evaluation?

80 ¿Qué debe incluirse en una evaluación de un programa de concientización sobre seguridad?

Answer 80

80 Appropriateness of program goals and objectives,
Consistency with the organization’s security policies and procedures,
Volume and frequency of security awareness arid training content,
Effectiveness of content and delivery methods,
Level of resources allocated to the program.

80 Adecuación de las metas y objetivos del programa,
Coherencia con las políticas y procedimientos de seguridad de la organización,
Volumen y frecuencia del contenido de concientización y capacitación en seguridad,
Eficacia del contenido y los métodos de entrega,
Nivel de recursos asignados al programa.

Question 81

81 What should security awareness program improvements be based on?

81 ¿En qué deben basarse las mejoras del programa de concientización sobre seguridad?

Answer 81

81 Individual feedback,
Program evaluations,
Evolving threat landscapes,
Changes in the organization’s culture,
Audit findings,
New or changes to legal, regulatory, or contractual obligations,
Top management input and direction.

81 Retroalimentación individual,
Evaluaciones de programas,
Evolución de los paisajes de amenazas,
Cambios en la cultura de la organización,
Hallazgos de auditoría,
Obligaciones legales, regulatorias o contractuales nuevas o modificadas,
Aportes y dirección de la alta gerencia.

Question 82

82 What are some benefits of using a security consultant?

82 ¿Cuáles son algunos de los beneficios de utilizar un consultor de seguridad?

Answer 82

82
They do not promote or sell a specific product,
Objectivity,
Out-of-the-box thinking,
Can be less expensive than hiring additional staff.

82
No promueven ni venden un producto específico,
Objetividad,
Pensamiento innovador,
Puede ser menos costoso que contratar personal adicional.

Question 83

83 What are three categories of security consultants?

83 ¿Cuáles son las tres categorías de consultores de seguridad?

Answer 83

83 Security management consultants,
Technical security consultants,
Security forensic consultants.

83 Consultores de gestión de seguridad,
Consultores de seguridad técnica,
Consultores forenses de seguridad.

Question 84

84 This type of security consultant usually specializes in a certain discipline, which comprises the foundation of their expertise.

84 Este tipo de consultor de seguridad suele especializarse en una determinada disciplina, que constituye la base de su experiencia.

Answer 84

84 Security management consultants.

84 Consultores de gestión de seguridad.

Question 85

85 This type of security consultant has specialized subject matter expertise and specializes in translating security concepts and functionality into blueprints and equipment specifications.

85 Este tipo de consultor de seguridad tiene experiencia especializada en la materia y se especializa en traducir conceptos y funcionalidades de seguridad en planos y especificaciones de equipos.

Answer 85

85 Technical security consultant.

85 Consultor técnico de seguridad.

Question 86

86 This type of security consultant deals with investigation, identification and collection of evidence, identification of vulnerabilities, mitigation strategies, and litigation.

86 Este tipo de consultor de seguridad se ocupa de la investigación, identificación y recopilación de evidencia, identificación de vulnerabilidades, estrategias de mitigación y litigios.

Answer 86

86 Forensic security consultants.

86 Consultores de seguridad forense.

Question 87

87 In what situation are technical security consultants likely to be used?

87 ¿En qué situaciones es probable que se recurra a consultores técnicos de seguridad?

Answer 87

87 New construction or renovation projects.

87 Proyectos de nueva construcción o reforma.

Question 88

88 What are three ways technical security consultants can support construction and renovation projects?

88 ¿Cuáles son tres formas en que los consultores de seguridad técnica pueden apoyar proyectos de construcción y renovación?

Answer 88

88 Work with the architects and design engineers to ensure the needed security systems are integrated into the initial designs,
Uncover security concerns in the plans before they are finalized,
Recommend security hardware and software that is compatible with other building systems.

88 Trabajar con los arquitectos e ingenieros de diseño para garantizar que los sistemas de seguridad necesarios estén integrados en los diseños iniciales,
Descubrir problemas de seguridad en los planes antes de que se finalicen,
Recomendar hardware y software de seguridad que sean compatibles con otros sistemas de construcción.

Question 89

89 What is a security advisory committee?

89 ¿Qué es un comité asesor de seguridad?

Answer 89

89 An internal resources formed to assist corporate executives and chief security officers in their efforts to ensure that current security measures are adequate.

89 Un recurso interno formado para ayudar a los ejecutivos corporativos y a los directores de seguridad en sus esfuerzos por garantizar que las medidas de seguridad actuales sean adecuadas.

Question 90

90 Who should serve on a security advisory committee?

90 ¿Quién debería formar parte de un comité asesor de seguridad?

Answer 90

90 Representatives of key corporate functions with stature and credibility within the organization and sufficient information about the company’s operation to enable them to offer useful opinions about actions that should be taken.

90 Representantes de funciones corporativas claves con prestigio y credibilidad dentro de la organización e información suficiente sobre el funcionamiento de la empresa que les permita ofrecer opiniones útiles sobre las acciones que se deben tomar.

Question 91

91 What typically drives the decision to use a security consultant?

91 ¿Qué es lo que normalmente impulsa la decisión de utilizar un consultor de seguridad?

Answer 91

91 A specific problem, need, challenge, or goal.

91 Un problema, necesidad, desafío o meta específica.

Question 92

92 What are five steps to use when selecting a security consultant?

92 ¿Cuáles son los cinco pasos a seguir al seleccionar un consultor de seguridad?

Answer 92

92 Identify candidates, Invite candidates to submit an application, Evaluate the application, Interview the top two or three candidates, Negotiate an agreement and finalize the selection.

92 Identificar candidatos, Invitar a los candidatos a presentar una solicitud, Evaluar la solicitud, Entrevistar a los dos o tres mejores candidatos, Negociar un acuerdo y finalizar la selección.

Question 93

93 How can consultant candidates be identified?

93 ¿Cómo se pueden identificar candidatos a consultores?

Answer 93

93 Suggestions from colleagues and peers, Industry associations, Online.

93 Sugerencias de colegas y pares, Asociaciones industriales, En línea.

Question 94

94 What three things should be submitted by prospective security consultants looking to be hired for a project?

94 ¿Cuáles son las tres cosas que deben presentar los posibles consultores de seguridad que buscan ser contratados para un proyecto?

Answer 94

94 Custom application, Resume, Proof of license, in jurisdictions with this requirement.

94 Solicitud personalizada, Currículum vitae, Comprobante de licencia, en jurisdicciones con este requisito.

Question 95

95 How can consultant applications be evaluated?

95 ¿Cómo se pueden evaluar las solicitudes de consultoría?

Answer 95

95 Compare the quality of documents and candidates’ credentials, References from prior clients, Background investigations of top candidates.

95 Compare la calidad de los documentos y las credenciales de los candidatos, referencias de clientes anteriores, investigaciones de antecedentes de los mejores candidatos.

Question 96

96 What types of questions should be asked during a consultant interview?

96 ¿Qué tipos de preguntas se deben hacer durante una entrevista con un consultor?

Answer 96

96 Questions that probe the candidate’s security philosophy.

96 preguntas que investigan la filosofía de seguridad del candidato.

Question 97

97 What subjects should be negotiated with a security consultant prior to hiring?

97 ¿Qué temas se deben negociar con un consultor de seguridad antes de contratarlo?

Answer 97

97
Scope of work,
Product to be delivered,
Methodology,
Timing,
Related expenses.

97
Alcance del trabajo,
Producto a entregar,
Metodología,
Tiempo,
Gastos relacionados.

Question 98

98 What are five types of fee structures for consultants?

98 ¿Cuáles son los cinco tipos de estructuras de honorarios para consultores?

Answer 98

98 Hourly fees, Daily fees, Fixed fees, Not-to-exceed fees, Retainers.

98 Honorarios por hora, Honorarios diarios, Honorarios fijos, Honorarios que no deben excederse, Retenedores.

Question 99

99 When is paying a consultant an hourly fee applicable?

99 ¿Cuándo es aplicable el pago por hora a un consultor?

Answer 99

99 When the assignment is expecteq. to last less than a day, but the exact amount of time needed is unclear.

99 Cuando se espera que la tarea dure menos de un día, pero no está claro el tiempo exacto necesario.

Question 100

100 When are fixed fee structures used with consultants?

100 ¿Cuándo se utilizan estructuras de honorarios fijos con los consultores?

Answer 100

100 When the number of days required to accomplish the work can be estimated accurately and controlled by the consultant.

100 Cuando el número de días necesarios para realizar el trabajo pueda ser estimado con precisión y controlado por el consultor.

Question 101

101 What is a not-to-exceed fee?

101 ¿Qué es una tarifa que no debe excederse?

Answer 101

101 The consultant’s guarantee that the total cost or time will be limited to the parameters agreed to in the contract.

101 La garantía del consultor de que el costo total o el tiempo se limitarán a los parámetros pactados en el contrato.

Question 102

102 What is a consultant retainer agreement?

102 ¿Qué es un contrato de retención de consultores?

Answer 102

102 The consultant agrees to work a specified number of days each year for the client, and the client is guaranteed access to the consultant when needed.

102 El consultor se compromete a trabajar un número específico de días cada año para el cliente, y se le garantiza al cliente acceso al consultor cuando lo necesite.

Question 103

103 What should be covered during a consultant’s organizational orientation?

103 ¿Qué debe cubrirse durante la orientación organizacional de un consultor?

Answer 103

103 Backgrounds and responsibilities of key personnel,
Organizational chart,
Operating environment,
Key assets and functions,
Internal and external relationships relevant to the project,
Specific legislative or regulatory controls,
History of the enterprise,
Philosophy of top management,
Competitive position.

103 Antecedentes y responsabilidades del personal clave,
Organigrama,
Entorno operativo,
Activos y funciones clave,
Relaciones internas y externas relevantes para el proyecto,
Controles legislativos o reglamentarios específicos,
Historia de la empresa,
Filosofía de la alta dirección,
Posición competitiva.

Question 104

104 What should be outlined in a consultant’s work plan?

104 ¿Qué debe contener el plan de trabajo de un consultor?

Answer 104

104
Scope,
Tasks and priorities,
Assignments,
Completion schedules.

104
Alcance,
Tareas y prioridades,
Asignaciones,
Cronogramas de cumplimiento.

Question 105

105 What should be included in a consultant’s final report?

105 ¿Qué debe incluir el informe final de un consultor?

Answer 105

105
Executive summary,
Results achieved,
Recommendations.

105
Resumen ejecutivo,
Resultados alcanzados,
Recomendaciones.

Question 106

106 How should the recommendations section of the consultant’s final report be structured?

106 ¿Cómo debe estructurarse la sección de recomendaciones del informe final del consultor?

Answer 106

106 The recommendations should be numbered for future reference and should define any additional work that needs to be done, together with suggestions on how to accomplish it.

106 Las recomendaciones deben estar numeradas para futuras referencias y deben definir cualquier trabajo adicional que deba realizarse, junto con sugerencias sobre cómo llevarlo a cabo.

Question 107

107 What is a chief security officer?

107 ¿Qué es un director de seguridad?

Answer 107

107 A senior executive level function responsible for providing comprehensive integrated risk strategies to help protect an organization from a wide spectrum of threats.

107 Función de alto nivel ejecutivo responsable de proporcionar estrategias integrales de riesgo para ayudar a proteger a una organización de un amplio espectro de amenazas.

Question 108

108 What seven categories of skills is required by a chief security officer?

108 ¿Cuáles son las siete categorías de habilidades que debe tener un jefe de seguridad?

Answer 108

108
Relationship leader,
Executive management and leadership,
Subject matter expertise,
Governance team member,
Risk executive,
Strategist,
Creative problem solver.

108
Líder de relaciones,
Gestión ejecutiva y liderazgo,
Experiencia en la materia,
Miembro del equipo de gobernanza,
Ejecutivo de riesgos,
Estratega,
Solucionador creativo de problemas.

Question 109

109 Why is it recommended that the chief security officer report to a key senior-level executive?

109 ¿Por qué se recomienda que el director de seguridad reporte a un ejecutivo clave de alto nivel?

Answer 109

109 To ensure a strong liaison with designated leadership bodies.

109 Garantizar una fuerte relación con los órganos de liderazgo designados.

Question 110

110 A chief security officer is expected to have what level of education?

110 ¿Qué nivel de educación se espera que tenga un jefe de seguridad?

Answer 110

110 Advanced education and degrees should be highly valued.

110. La educación avanzada y los títulos universitarios deben ser altamente valorados.