1 Practicas y principios de seguridad Flashcards
principios de seguridad
1 What is Enterprise Security Risk Management (ESRM)?
1 ¿Qué es la gestión de riesgos de seguridad empresarial (ESRM)?
1 ESRM is a strategic approach to security management that ties an organization’s security practice to its overall strategy using globally. accepted and established risk management principles.
1 ESRM es un enfoque estratégico para la gestión de la seguridad que vincula la práctica de seguridad de una organización a su estrategia general utilizando principios de gestión de riesgos establecidos y aceptados globalmente.
2 What are the three primary components of ESRM?
2 ¿Cuáles son los tres componentes principales del ESRM?
2 The context, The foundation, The ESRM cycle.
2 El contexto, La base, El ciclo ESRM.
3 This component of ESRM includes organizational aspects that security professionals must understand to successfully adopt ESRM.
3 Este componente de ESRM incluye aspectos organizacionales que los profesionales de seguridad deben comprender para adoptar ESRM con éxito.
3 The context.
3 El contexto.
4 This component of ESRM includes organizational concepts that support the ESRM approach and maximize its impact.
4 Este componente de ESRM incluye conceptos organizacionales que respaldan el enfoque ESRM y maximizan su impacto.
4 The foundation.
4 La fundación.
5 The component of ESRM is the actual process of security risk management that emphasizes the importance of understanding assets.
5 El componente de ESRM es el proceso real de gestión de riesgos de seguridad que enfatiza la importancia de comprender los activos.
5 The ESRM cycle.
5 El ciclo ESRM.
6 What organizational aspects are included in the context of ESRM?
6 ¿Qué aspectos organizacionales se incluyen en el contexto de la ESRM?
6 Mission and vision,
Core values,
Operating Environment,
Stakeholders.
6 Misión y visión,
Valores fundamentales,
Entorno operativo,
Partes interesadas.
7 What three things comprise the operating environment of an organization?
7 ¿Cuáles son las tres cosas que componen el entorno operativo de una organización?
7 Physical,Nonphysical,Logical.
7 Físico,No físico,Lógico.
8 This operating environment includes much of what influences traditional security factors, such as the type and location of buildings, industrial control systems, and products on hand.
8 Este entorno operativo incluye gran parte de lo que influye en los factores de seguridad tradicionales, como el tipo y la ubicación de los edificios, los sistemas de control industrial y los productos disponibles.
8 Physical.
8 Físico.
9 These factors are sources of risk, and include things such as the geopolitical environment, intensity of competition, and speed required for decision making.
9 Estos factores son fuentes de riesgo e incluyen cosas como el entorno geopolítico, la intensidad de la competencia y la velocidad requerida para la toma de decisiones.
9 Nonphysical factors.
9 Factores no físicos.
10 These factors focus on information types such as servers, workstations, and network infrastructure.
10 Estos factores se centran en tipos de información como servidores, estaciones de trabajo e infraestructura de red.
10 Logical factors.
10 Factores lógicos.
11 What are the four processes in the ESRM cycle?
11 ¿Cuáles son los cuatro procesos del ciclo ESRM?
11
Identify and prioritize assets,
Identify and prioritize risks,
Mitigate prioritized risks,
Continuous improvement.
11
Identificar y priorizar activos,
Identificar y priorizar riesgos,
Mitigar riesgos priorizados,
Mejora continua.
12 What is an asset owner?
12 ¿Qué es un propietario de activos?
12 The person most directly responsible for successful operation of the asset. In ESRM, the asset owner is assigned responsibility for the risk to an asset.
12 La persona más directamente responsable del funcionamiento exitoso del activo. En ESRM, al propietario del activo se le asigna la responsabilidad por el riesgo del activo.
13 What four concepts comprise the foundation of ESRM?
13 ¿Cuáles son los cuatro conceptos que componen la base del ESRM?
13
Holistic risk management,
Partnership with stakeholders,
Transparency,
Governance.
13
Gestión holística de riesgos,
Asociación con las partes interesadas,
Transparencia,
Gobernanza.
14 What are two types of assets?
14 ¿Cuáles son dos tipos de activos?
14 Tangible, Intangible.
14 Tangibles, Intangibles.
15 What are four ways to manage risk?
15 ¿Cuáles son cuatro formas de gestionar el riesgo?
15 Eliminate, Reduce, Transfer, Accept.
15 Eliminar, Reducir, Transferir, Aceptar.
16 This risk mitigation strategy involves removing the risk entirely.
16 Esta estrategia de mitigación de riesgos implica eliminar el riesgo por completo.
16 Eliminate.
16 Eliminar.
17 This risk mitigation strategy attempts to minimize risk through protective measures.
17 Esta estrategia de mitigación de riesgos intenta minimizar el riesgo mediante medidas de protección.
17 Reduce.
17 Reducir.
18 This risk mitigation strategy is typically achieved when another entity takes the risk on the organization’s behalf.
18 Esta estrategia de mitigación de riesgos normalmente se logra cuando otra entidad asume el riesgo en nombre de la organización.
18 Transfer.
18 Transferencia.
19 This risk mitigation strategy allows risk if the costs of reducing, eliminating, or transferring the risk outweigh the potential losses associated with it.
19 Esta estrategia de mitigación de riesgos permite el riesgo si los costos de reducirlo, eliminarlo o transferirlo superan las pérdidas potenciales asociadas a él.
19 Accept.
19 Aceptar.
20 What is a risk assessment?
20 ¿Qué es una evaluación de riesgos?
20 Risk assessment is the identification, analysis, and evaluation of uncertainties to objectives and outcomes. It provides a comparison between the desired/undesired outcomes and expected rewards/losses of organizational objectives. The risk assessment analyzes whether the uncertainty is within acceptable boundaries and within the organization’s capacity to manage risk.
20 La evaluación de riesgos es la identificación, el análisis y la evaluación de las incertidumbres en relación con los objetivos y los resultados. Proporciona una comparación entre los resultados deseados/no deseados y las recompensas/pérdidas esperadas de los objetivos organizacionales. La evaluación de riesgos analiza si la incertidumbre se encuentra dentro de los límites aceptables y dentro de la capacidad de la organización para gestionar el riesgo.
21 What do the results of a risk assessment inform?
21 ¿Qué informan los resultados de una evaluación de riesgos?
21 The choices available to effectively manage risk to achieve the organization’s outcomes.
21 Las opciones disponibles para gestionar eficazmente el riesgo para lograr los resultados de la organización.
22 What are the deciding factors between a qualitative or quantitative approach to a risk assessment?
22 ¿Cuáles son los factores decisivos entre un enfoque cualitativo o cuantitativo para una evaluación de riesgos?
22
The reliability and validity of the available data,
The nature of the risk factors and if they are quantifiable,
The target audience for the outputs.
22
La fiabilidad y validez de los datos disponibles,
La naturaleza de los factores de riesgo y si son cuantificables,
El público objetivo de los resultados.
23 What is risk appetite?
23 ¿Qué es el apetito por el riesgo?
23 The total exposed amount that an Qrganization wishes to undertake on the basis of risk-return trade-offs for one of more desired and expected outcomes.
23 El monto total expuesto que una organización desea asumir sobre la base de compensaciones entre riesgo y retorno para uno o más resultados deseados y esperados.
24 What is risk tolerance?
24 ¿Qué es la tolerancia al riesgo?
24 The amount of uncertainty an organization is prepared to accept in total or more narrowly within a certain business unity, a particular risk category, or for a specific initiative.
24 La cantidad de incertidumbre que una organización está dispuesta a aceptar en total o de manera más restringida dentro de una determinada unidad de negocio, una categoría de riesgo particular o para una iniciativa específica.
25 What tasks take place at the start of the risk assessment?
25 ¿Qué tareas se realizan al inicio de la evaluación de riesgos?
25
Setting objectives,
Identification of stakeholders,
Identification of internal context and variables,
Documenting assumptions,
Defining scope and statement of work,
Policy and management commitment,
Commitment of resources.
25
Establecer objetivos,
Identificación de partes interesadas,
Identificación del contexto interno y variables,
Documentación de supuestos,
Definición del alcance y declaración de trabajo,
Compromiso de política y gestión,
Compromiso de recursos.
26 What is a gap analysis?
26 ¿Qué es un análisis de brechas?
26 A technique to determine what steps might need to be taken to improve from a current state to a desired, future state.
26 Una técnica para determinar qué pasos podrían necesitarse para mejorar desde un estado actual a un estado futuro deseado.
27 A gap analysis consists of what three steps?
27 ¿Un análisis de brechas consta de qué tres pasos?
27
Noting currently available factors”
Listing success factors needed to achieve future, desired objectives,
Highlighting the gaps that exist and what gaps may need to be filled to be successful.
- Tomar nota de los factores actualmente disponibles.
Enumerar los factores de éxito necesarios para alcanzar los objetivos futuros deseados.
Destacar las brechas que existen y las que pueden necesitar ser llenadas para tener éxito.
28 What four components should be in any risk identification process, regardless of risk discipline?
28 ¿Cuáles son los cuatro componentes que debe tener cualquier proceso de identificación de riesgos, independientemente de la disciplina de riesgo?
28
Asset and service identification, valuation, and characterization,
Threat and opportunity analysis,
Vulnerability and capability analysis,
Criticality and impact analysis.
28
Identificación, valoración y caracterización de activos y servicios,
Análisis de amenazas y oportunidades,
Análisis de vulnerabilidad y capacidad,
Análisis de criticidad e impacto.
29 What comprises assessor competence?
29 ¿Qué comprende la competencia del evaluador?
29
Personal traits and interpersonal skills,
Assessment skills,
Communication skills,
Education, training, and knowledge,
Work experience.
29
Rasgos personales y habilidades interpersonales,
Habilidades de evaluación,
Habilidades de comunicación,
Educación, formación y conocimientos,
Experiencia laboral.
30 Documented criteria of an assessor’s knowledge and skills provide the basis for what three things?
30 ¿Los criterios documentados de los conocimientos y habilidades de un evaluador proporcionan la base para qué tres cosas?
30
Selection of assessment team members,
Ascertain competence enhancement required for continuous improvement,
Determine performance indicators for assessors.
30
Selección de los miembros del equipo de evaluación,
Determinar la mejora de la competencia necesaria para la mejora continua,
Determinar los indicadores de desempeño de los evaluadores.
31 What are two types of interactions between a risk assessment team and an organization?
31 ¿Cuáles son dos tipos de interacciones entre un equipo de evaluación de riesgos y una organización?
31
Human interaction,
Minimal human interactions.
31
Interacción humana,
Interacciones humanas mínimas.
32 This type ofinteraction includes activities such as conducting interviews, document reviews with stakeholders, exercises, and undercover investigations.
32 Este tipo de interacción incluye actividades como la realización de entrevistas, revisiones de documentos con las partes interesadas, ejercicios e investigaciones encubiertas.
32 Human interaction.
32 Interacción humana.
33 This type of interaction includes activities such as conducting a document review, physical examination, observation, and sampling.
33 Este tipo de interacción incluye actividades como la revisión de documentos, el examen físico, la observación y el muestreo.
33 Minimal human interaction.
33 Interacción humana mínima.
34 What are two examples of assessment paths?
34 ¿Cuáles son dos ejemplos de rutas de evaluación?
34 Tracing, Process method.
34 Rastreo, Método de proceso.
35 This assessment path tracks a process or risk event chronologically, following a path forward or backward through a process or sequence.
35 Esta ruta de evaluación rastrea un proceso o evento de riesgo cronológicamente, siguiendo un camino hacia adelante o hacia atrás a través de un proceso o secuencia.
35 Tracing.
35 Rastreo.
36 This assessment path tests a sequence of steps and evaluates process controls, interactions, effectiveness, and opportunities for improvement.
36 Esta ruta de evaluación prueba una secuencia de pasos y evalúa los controles del proceso, las interacciones, la eficacia y las oportunidades de mejora.
36 Process method.
36 Método de proceso.
37 What are some examples of the process method?
37 ¿Cuáles son algunos ejemplos del método de proceso?
37 Objectives method, Risk source method, Department method, Requirement method,Discovery method.
37 Método de objetivos, Método de fuente de riesgo, Método de departamento, Método de requisitos, Método de descubrimiento.
38 What is sampling?
38 ¿Qué es el muestreo?
38 The process or technique of selecting a representative part of a population for the purpose.
38 El proceso o técnica de seleccionar una parte representativa de una población para un propósito.
39 When is it beneficial to use a sampling method?
39 ¿Cuándo es beneficioso utilizar un método de muestreo?
39 When it is not practical in time or.cost terms to evaluate all available information.
39 Cuando no sea práctico en términos de tiempo o costo evaluar toda la información disponible.
40 What are two types of sampling methods?
40 ¿Cuáles son dos tipos de métodos de muestreo?
40 Non-statistical, Statistical.
40 No estadístico, estadístico.
41 This sampling method includes judgmental sampling, convenience sampling, and haphazard sampling.
41 Este método de muestreo incluye el muestreo por juicio, el muestreo por conveniencia y el muestreo aleatorio.
41 Non-statistical.
41 No estadístico.
42 This sampling method includes random sampling, systematic sampling, stratified sampling, and cluster/block sampling.
42 Este método de muestreo incluye muestreo aleatorio, muestreo sistemático, muestreo estratificado y muestreo por conglomerados/bloques.
42 Statistical sampling.
42 Muestreo estadístico.
43 What is terrorism?
43 ¿Qué es el terrorismo?
43 An act of violence designed to achieve a political end.
43 Un acto de violencia diseñado para lograr un fin político.
44 What is domestic terrorism?
44 ¿Qué es el terrorismo interno?
44 Violent, criminal acts committed -by individuals and/or groups to further ideological goals stemming from domestic influences, such as those of a political, religious, social, racial, or eiivironmental nature.
44 Actos violentos y criminales cometidos por individuos y/o grupos para promover objetivos ideológicos derivados de influencias internas, como las de naturaleza política, religiosa, social, racial o ambiental.