Security and Risk Management

Question 1

Who is resposible for risk management?

Answer 1

Senior management

Question 2

¿Confidencialidad pensa siempre en…?

Answer 2

Encripción

Question 3

Data at rest should be always?

Answer 3

Encripted

Question 4

Medidas para proteger “data in process”

Answer 4

Bloquear el escritorio

Question 5

Medidas para proteger “data in transit”

Answer 5

Protocolos de seguridad como IPSec

Question 6

Medidas para la integridad de la información

Answer 6

Hashes, checksums, MAC’s

Question 7

Significado de MTBF?

Answer 7

Mean Time Before Failure - la vida útil del dispositivo, por ejemplo 3 años.

Question 8

Significado de MTTR?

Answer 8

Mean Time To Repair - tiempo medio para la reparación

Question 9

Significado de RPO?

Answer 9

Recovery Point Objective - tolerance of loss data, ¿cuánta información estoy dispuesto a perder?

Question 10

Significado de MTD?

Answer 10

Maximum Tolerable Downtime - el tiempo máximo que la organización aguanta con el servicio caído

Question 11

Significado de SLO?

Answer 11

Service Level Objective - por ejemplo 96% de disponibilidad

Question 12

De que otra manera se le conoce al término Accountability?

Answer 12

Auditing

Question 13

¿Qué debe incluir los registros de auditoria?

Answer 13

• Identidad del sujeto
• La acción realizada
• Objeto sobre el cual la acción fue llevada a cabo
• Timestamp

Question 14

¿A que se refiere el término “Defense in depth”?

Answer 14

La idea es no tener un solo mecanismo de defensa, sino por capas, un mecanismo después del otro.

Question 15

Fail-Safe

Answer 15

No security compromise

Question 16

Risk management es igual a:

Answer 16

Security Management

Question 17

Definición de Asset

Answer 17

provides value to the organization and can be tangible or intangible.

Question 18

Etapas del Risk Management

Answer 18

• Risk Assessment
• Risk Analysis
• Risk Mitigation
• Risk Monitoring

Question 19

¿Que hace el “risk assessment”?

Answer 19

identify assets, threats, vulnerabilities. Tiene que ver mas con identificar.

Question 20

¿Que hace el “risk analysis”?

Answer 20

value of potential risk. Tiene que ver mas con valor del riesgo y dinero. Valor del riesgo.

Question 21

¿Que hace el “risk mitigation”?

Answer 21

responding to risk. Reducir a un nivel de riesgo aceptable por senior management.

Question 22

Etapas del Risk Assessment:

Answer 22

• Identificar y valuar los activos (assets)
• Identificar amenazas y vunerabilidades

Identifify your assest –> Valuate –> look at your threats and vulnerabilities –> figurate your potential for loss –> estrategia de remediación –> pruebas –> documentación

Question 23

Tipo de analisis de riesgo basado en la experiencia, se puede emplear la técnica Delphi:

Answer 23

Cualitativo

Question 24

Tipo de analisis de riesgo basado en la cifras reales, que pueden ser monetarias:

Answer 24

Cuantitativo

Question 25

¿Significado de AV?

Answer 25

Asset Value, se incluye todo, absolutamente todo lo que le da valor al activo.

Question 26

¿Significado de EF?

Answer 26

Exposure Factor, porcentaje de pérdida esperada.

Question 27

¿Significado de SLE?

Answer 27

Single Loss Expectancy, expresado en dinero.

Question 28

¿Significado de ARO?

Answer 28

Annual Rate of Ocurrence.

Question 29

¿Significado de ALE?

Answer 29

Annual Loss Expectancy, cost per year as a result of the threat. Costo multiplicado por la cantidad de veces que puede suceder en un año.

Question 30

¿Significado de TCO?

Answer 30

Total Cost of Ownership, costo toal de implementar una salvaguarda.

Question 31

¿Significado de ROI?

Answer 31

Return of Investment, amount of money saved by implementation of a safeguard.

Question 32

¿Cómo se calcula el SLE?

Answer 32

SLE = AV * EF

Question 33

¿Cómo se calcula el ARO?

Answer 33

ARO = SLE *ARO

Question 34

¿Cómo se calcula el ROI?

Answer 34

ROI = ALE (before control) - ALE (after control)

Question 35

¿A qué se refiere el término Riesgo Total?

Answer 35

Es el riesgo que existe antes de que cualquier control sea implementado.

Question 36

¿Cómo se calcula el riesgo total?

Answer 36

Total Risk = Threats * Vulnerability * Asset Value

Question 37

¿Cómo se calcula el riesgo residual?

Answer 37

Residual Risk = Total Risk * Controls Gap

Question 38

Indica que se hace en cada uno de los siguientes conceptos:

Risk Assessment –> Risk Analysis –> Risk Mitigation

Answer 38

Identify Assests –> Money –> Controles

Question 39

¿Qué hace el “Governance”?

Answer 39

ensures that stakeholders needs, conditions and options are evaluated. Responsable del apetito al riesgo. Establecen los planos o “blue prints” for achieving security.

Question 40

¿Qué hace el “management”?

Answer 40

son los encargados de lo que solicita el governance suceda o se dé. Responsable de la tolerancia al riesgo.

Question 41

Governance provee el barco mientras que el management:

Answer 41

maneja el barco.

Question 42

Actividades del “management”:

Answer 42

plans, uilds, runs and monitor activites in aligment with the direction set by the governance body to achieve the enterprise objectives.

Question 43

¿Quienes forman parte del “governance”?

Answer 43

Board members or a Chair Person.

Question 44

Definición de proyecto:

Answer 44

es algo que tiene un principio y un final, por lo que la seguridad y el análisis de riesgo no pueden ser un proyecto, ya que son actividades continuas.

Question 45

Types of Approach security management:

Answer 45

Top-Down

Bottom-Up

Question 46

Descripción del Top-Down Security Management:

Answer 46

senior management knows importance of security.

Senior management –> middle management –> Staff

Question 47

Descripción del Bottom-Up Security Management:

Answer 47

The IT tries to implement security

Senior management

Question 48

Who is the ultimately responsible for security within an organization?

Answer 48

Senior mangament: CEO, CSO, CIO, etc.

Question 49

¿A que se refiere el término “liabilities?

Answer 49

legal liability addresses wether or not a company is responsible for specific actions or inactions. P. ej. Si uno de nuestros sistemas es comprometido y usado para atacar a otra organización, ¿somos responsables?. R = tal vez

Question 50

¿A qué se refiere el término due diligence?

Answer 50

It’s the research. Monitoreo constante de las prácticas para asegurar que se cumplen o exceden los requisitos de seguridad.

Question 51

¿A qué se refiere el término due care?

Answer 51

It’s the action. Ensuring tha the best practices are implemented and followed.

Question 52

Caracteristicas de la “Security policy”

Answer 52

Impulsada por el senior management. Nunca tendrá detalles.

Question 53

Características de “Accepted Use policies”?

Answer 53

lo que espero que mis empleados hagan con los sistemas.

Question 54

¿Características de los estándares?

Answer 54

• Específicos
• Mandatorios
• Creados para soportar la política

Question 55

¿Características de los procedimientos?

Answer 55

• Descriptivos, es decir Paso a paso
• Mandatorios
• Detallados, ¿el cómo hacer?

Question 56

¿Características de los guidelines?

Answer 56

• No mandatorios
• Son sugerencias
• Mejores prácticas

Question 57

¿Características de las baselines?

Answer 57

• Mandatorias

- Minimum acceptable security configuration for a system or process.

Question 58

¿Cuál es el objetivo del knowledge transfer?

Answer 58

Cambiar la forma o el comportamiento de los empleados.

Question 59

Tipo de leyes americanas:

Answer 59

Criminal Law
Tort (civil) Law
Administrative (regulatory) Law

Question 60

Caracteristicas de la Criminal Law:

Answer 60

Penalties: financial, jail time, death.

Castigar y disuadir.

Question 61

Caracteristicas de la Tort Law

Answer 61

Damages.
Prepoderance of evidence
Liability, due care, due dilligence.

Question 62

Características de Administrative (regulatory) law:

Answer 62

standards of performance and regulates conduct for specific industries, SOX, BASEL, HIPPA. Penalties financial.

Question 63

¿Qué es un trade secret?

Answer 63

Secreto comercial, por ejemplo la receta de la coca cola

Question 64

¿Qué es copyright?

Answer 64

protege la expresión de la idea por 70 años para personas físicas o 74 para empresas a partir de la muerte del autor.

Question 65

¿Qué es trademark?

Answer 65

protect word, name, symbol, sound, shape, color etc. look and feel of a company. P.ej. logo

Question 66

¿Qué es patent?

Answer 66

Válido por 20 años. protege un invento.

Question 67

A qué se refieren los acuerdos WASSENAAR?

Answer 67

restrict to export cryptographic SW or HW to certain countries.
restrict import of cryptographic tools.

Question 68

A qué se refiere la ley Graham-Leach-Bliley

Answer 68

protege a los consumidores en relación con la banca.

Question 69

¿A qué se refiere el BCP?

Answer 69

se refiere a la sobrevivencia de la organización en el evento de una posible interrupción. Ve la organización como un todo. EL BCP CONTIENE EL DRP

Question 70

¿A qué se refiere el DRP?

Answer 70

se refiere mas a aspectos de TI

Question 71

¿Quién puede declarar el BCP?

Answer 71

anyone can declare an emergency, only the BCP coordinator can declare a disaster.

Question 72

Fases del BCP:

Answer 72

Project initiation
BIA
Recovery strategy
Plan design and development
Implementation
Testing
Maintenance

Question 73

Responsabilidades del CEO en el BCP.

Answer 73

• Setting business continuity plan

- Prioritizing critial business functions

Question 74

Responsabilidades del Senior Functional Management en el BCP

Answer 74

• Make that happen
• Ensure periodic test
• Develop and document maintenance and testing strategy

Question 75

Responsabilidades del Steering Committee coordinator

Answer 75

• Lead the team developing the BCP
• Conduct a BIA
• Trabajo interdisciplinario

Question 76

Responsabilidades del Green team

Answer 76

Tambien conocido como rescue team, son los responsables de evacuar al personal.

Question 77

Responsabilidades del Red Team

Answer 77

Tambien conocidos como recovery team.

Resposible for getting the alternate facility up and running and restoring the most critical services first.

Question 78

Responsabilidades del salvage team.

Answer 78

Responsible for the return of operations to the original or permanent facility (reconstitution).

Question 79

Objetivos principales del BCP.

Answer 79

Proteger la vida humana.
Recuperar la operación
Sustain

Question 80

Subplanes del BCP:

Answer 80

BRP (Business Recovery Plan)
DRP (Disaster Recovery Plan)
Continuity of support plan
COOP (Continuity of Operations Plan)

Question 81

¿A quién se le debe distribuir el BCP?

Answer 81

solo debe distribuirse a las personas que deben saberlo y solo se debe informar a cada área de forma individual, no a todos.

Question 82

Fases del BCP:

Answer 82

Notificación –> Recuperación –> Reconstitución

Question 83

¿Cada cuánto se debe probar el BCP?

Answer 83

Una vez al año

Question 84

¿Cuáles son los tipos de pruebas del BCP?

Answer 84

• Checklist
• Structured Walk through
• Simultation Test
• Parallel Test
• Full Interruption Test
• Planes

Question 85

¿En qué consiste la prueba de checklist - BCP?

Answer 85

Functional managers review

Copies of plan distribuited to different departments.

Question 86

¿En qué consiste la prueba de Structured Walk (Talk) Through- BCP?

Answer 86

Representatives from each departmen go over the plan.

Question 87

¿En qué consiste la prueba de Simulation Test - BCP?

Answer 87

Going through a disaster scenario

Continues up to the actual rellocation to an offsite facility.

Question 88

¿En qué consiste la prueba Parallel Test - BCP?

Answer 88

Systems moved to alternate site, and procesing takes place there.

Question 89

¿En qué consiste la prueba Full-Interruption Test - BCP?

Answer 89

Original Site Shut Down. All of processing moved to the offsite facility.

Question 90

¿Cuándo deben ser revisados los planes de BCP?

Answer 90

Al menos una vez al año, o cuando ocurra un cambio mayor.

Question 91

¿Qué identifica el BIA?

Answer 91

Identifica y prioriza todos los procesos de negocio basados en la criticidad de cada uno de ellos. FUNCIONES DE NEGOCIO NO DE TI. Es decir, ¿qué causa las mayores pérdidas?.

Question 92

¿El BIA identifica solo los procesos críticos del negocio?

Answer 92

No. El BIA identifica todos los procesos y activos del negocio, no sólo los considerados críticos, ya que esto se realiza asignando una prioridad a cada uno de los procesos.

Question 93

Etapas del Plan and design development BIA

Answer 93

Escribir el plan:

• responsabilidades
• prioridades
• pruebas

Question 94

Etapas del Implementation BIA

Answer 94

• Distribuirlo

- Copias solo al personal que necesita concoerlo.