Capítulo 1 - Principios de seguridad Flashcards
¿Qué es la seguridad acorde con el riesgo?
Seguridad acorde con el riesgo y la magnitud del daño resultante de la pérdida, mal uso, acceso no autorizado o modificación de la información.
¿Qué son los controles administrativos?
Controles implementados a través de políticas y procedimientos. Algunos ejemplos incluyen procesos de control de acceso y la exigencia de que varias personas realicen una operación específica.
¿Qué es la inteligencia artificial?
La capacidad de las computadoras y los robots para simular la inteligencia y el comportamiento humanos.
¿Qué se considera un activo?
Cualquier cosa de valor que sea propiedad de una organización, incluyendo elementos tangibles e intangibles.
¿Qué es la autenticación?
Proceso de control de acceso que valida que la identidad reclamada por un usuario o entidad es conocida por el sistema.
¿Qué es la autorización?
El derecho o permiso que se concede a una entidad del sistema para acceder a un recurso del sistema.
¿Qué significa disponibilidad en el contexto de la seguridad de la información?
Garantizar el acceso oportuno y confiable a la información y su uso por parte de los usuarios autorizados.
¿Qué es una base en términos de seguridad?
Una configuración de seguridad de nivel más bajo documentada permitida por un estándar u organización.
¿Qué son las características biométricas?
Características biológicas de un individuo, como la huella dactilar, la geometría de la mano, la voz o los patrones del iris.
¿Qué es un bot?
Código malicioso que actúa como un ‘robot’ controlado remotamente para un atacante.
¿Qué es información clasificada o sensible?
Información que requiere protección contra la divulgación no autorizada y está marcada para indicar su estado clasificado.
¿Qué es la confidencialidad?
La característica de los datos o la información cuando no se ponen a disposición ni se divulgan a personas o procesos no autorizados.
¿Qué es criticidad?
Una medida del grado en que una organización depende de la información o del sistema de información para el éxito de una misión o de una función empresarial.
¿Qué es la integridad de los datos?
Propiedad de que los datos no han sido alterados de manera no autorizada.
¿Qué es la encriptación?
El proceso y acto de convertir el mensaje de texto simple a texto cifrado.
¿Qué es el Reglamento General de Protección de Datos (RGPD)?
Legislación de la Unión Europea que aborda la privacidad personal, considerándola un derecho humano individual.
¿Qué es la gobernancia?
El proceso mediante el cual se gestiona una organización, incluyendo cómo se toman las decisiones.
¿Qué es la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA)?
Regulación de información sanitaria más importante de los EE. UU. que protege la privacidad de la información sanitaria.
¿Qué es el impacto en el contexto de la seguridad?
La magnitud del daño que podría causarse si una amenaza ejerciera su vulnerabilidad.
¿Qué es el riesgo de seguridad de la información?
Posibles impactos adversos sobre las operaciones de una organización debido a acceso no autorizado, uso o modificación de información.
¿Qué es la integridad?
Propiedad de la información mediante la cual se garantiza su integridad, exactitud y utilidad.
¿Qué es la Organización Internacional de Normalización (ISO)?
Desarrolla normas internacionales voluntarias en colaboración con otros socios en normalización internacional.
¿Qué es el Grupo de trabajo de ingeniería de Internet (IETF)?
Organización que define estándares de protocolo a través de un proceso de colaboración y consenso.
¿Qué es la probabilidad en el contexto de la seguridad?
La probabilidad de que una vulnerabilidad potencial pueda ejercerse dentro del entorno de amenaza asociado.
¿Qué es la probabilidad de ocurrencia?
Un factor ponderado basado en un análisis subjetivo de la probabilidad de que una amenaza explote una vulnerabilidad.
¿Qué es la autenticación multifactor?
Utilizar dos o más instancias de los factores de autenticación para verificar la identidad.
¿Qué es el NIST?
Parte del Departamento de Comercio de EE. UU. que establece estándares en diversas áreas, incluida la seguridad de la información.
¿Qué es el no repudio?
La incapacidad de negarse a realizar una acción como crear o enviar información.
¿Qué es la información de identificación personal (PII)?
Cualquier información sobre un individuo mantenida por una agencia, que puede usarse para rastrear su identidad.
¿Qué son los controles físicos?
Controles implementados a través de un mecanismo tangible, como muros y cerraduras.
¿Qué es la privacidad?
El derecho de un individuo a controlar la distribución de información sobre sí mismo.
¿Qué es la probabilidad en el contexto de amenazas?
Las posibilidades de que una amenaza determinada sea capaz de explotar una vulnerabilidad.
¿Qué es la información de salud protegida (PHI)?
Información sobre el estado de salud o la atención médica según se define en HIPAA.
¿Qué es el análisis de riesgo cualitativo?
Un método de análisis de riesgos que asigna un descriptor como bajo, medio o alto.
¿Qué es el análisis cuantitativo de riesgos?
Un método de análisis de riesgos que asigna valores numéricos al impacto y a la probabilidad.
¿Qué es un riesgo?
Un posible evento que puede tener un impacto negativo en la organización.
¿Qué es la aceptación de riesgos?
Determinar que los beneficios potenciales de una función comercial superan el posible impacto/probabilidad de riesgo.
¿Qué es la evaluación de riesgos?
El proceso de identificar y analizar los riesgos para las operaciones de la organización.
¿Qué es evitar riesgos?
Determinar que el impacto y/o la probabilidad de un riesgo específico es demasiado grande para ser compensado.
¿Qué es la gestión de riesgos?
El proceso de identificar, evaluar y controlar amenazas en un contexto de riesgo.
¿Qué es un marco de gestión de riesgos?
Un enfoque estructurado utilizado para supervisar y gestionar el riesgo de una empresa.
¿Qué es la mitigación de riesgos?
Implementar controles de seguridad para reducir el posible impacto y/o probabilidad de un riesgo específico.
¿Qué es la tolerancia al riesgo?
El nivel de riesgo que una entidad está dispuesta a asumir para lograr un resultado potencial deseado.
¿Qué es la transferencia de riesgo?
Pagar a una parte externa para que acepte el impacto financiero de un riesgo determinado.
¿Qué es el tratamiento de riesgos?
La determinación de la mejor manera de abordar un riesgo identificado.
¿Qué son los controles de seguridad?
Controles prescritos para un sistema de información para proteger la confidencialidad, integridad y disponibilidad.
¿Qué es la sensibilidad de la información?
Una medida de la importancia asignada a la información por su propietario.
¿Qué es la autenticación de un solo factor?
Utilización de sólo uno de los tres factores disponibles para llevar a cabo el proceso de autenticación.
¿Qué es el estado en el contexto de la seguridad?
La condición en la que se encuentra una entidad en un momento determinado.
¿Qué es la integridad del sistema?
La calidad que tiene un sistema cuando realiza su función prevista de manera impecable.
¿Qué son los controles técnicos?
Controles de seguridad implementados y ejecutados principalmente por el sistema de información.
¿Qué es una amenaza?
Cualquier circunstancia o evento con el potencial de afectar negativamente las operaciones de la organización.
¿Qué es un actor de amenaza?
Un individuo o grupo que intenta explotar vulnerabilidades para provocar una amenaza.
¿Qué es un vector de amenaza?
El medio por el cual un actor de amenazas lleva a cabo sus objetivos.
¿Qué es un simbólico en el contexto de la seguridad?
Un objeto físico que un usuario posee y controla y que se utiliza para autenticar la identidad del usuario.
¿Qué es una vulnerabilidad?
Debilidad en un sistema de información que podría ser explotada por una fuente de amenaza.
¿Qué es el Instituto de Ingenieros Eléctricos y Electrónicos (IEEE)?
Una organización profesional que establece estándares para telecomunicaciones y disciplinas similares.
