Security and Risk Management Flashcards
Who is resposible for risk management?
Senior management
¿Confidencialidad pensa siempre en…?
Encripción
Data at rest should be always?
Encripted
Medidas para proteger “data in process”
Bloquear el escritorio
Medidas para proteger “data in transit”
Protocolos de seguridad como IPSec
Medidas para la integridad de la información
Hashes, checksums, MAC’s
Significado de MTBF?
Mean Time Before Failure - la vida útil del dispositivo, por ejemplo 3 años.
Significado de MTTR?
Mean Time To Repair - tiempo medio para la reparación
Significado de RPO?
Recovery Point Objective - tolerance of loss data, ¿cuánta información estoy dispuesto a perder?
Significado de MTD?
Maximum Tolerable Downtime - el tiempo máximo que la organización aguanta con el servicio caído
Significado de SLO?
Service Level Objective - por ejemplo 96% de disponibilidad
De que otra manera se le conoce al término Accountability?
Auditing
¿Qué debe incluir los registros de auditoria?
- Identidad del sujeto
- La acción realizada
- Objeto sobre el cual la acción fue llevada a cabo
- Timestamp
¿A que se refiere el término “Defense in depth”?
La idea es no tener un solo mecanismo de defensa, sino por capas, un mecanismo después del otro.
Fail-Safe
No security compromise
Risk management es igual a:
Security Management
Definición de Asset
provides value to the organization and can be tangible or intangible.
Etapas del Risk Management
- Risk Assessment
- Risk Analysis
- Risk Mitigation
- Risk Monitoring
¿Que hace el “risk assessment”?
identify assets, threats, vulnerabilities. Tiene que ver mas con identificar.
¿Que hace el “risk analysis”?
value of potential risk. Tiene que ver mas con valor del riesgo y dinero. Valor del riesgo.
¿Que hace el “risk mitigation”?
responding to risk. Reducir a un nivel de riesgo aceptable por senior management.
Etapas del Risk Assessment:
- Identificar y valuar los activos (assets)
- Identificar amenazas y vunerabilidades
Identifify your assest –> Valuate –> look at your threats and vulnerabilities –> figurate your potential for loss –> estrategia de remediación –> pruebas –> documentación
Tipo de analisis de riesgo basado en la experiencia, se puede emplear la técnica Delphi:
Cualitativo
Tipo de analisis de riesgo basado en la cifras reales, que pueden ser monetarias:
Cuantitativo
¿Significado de AV?
Asset Value, se incluye todo, absolutamente todo lo que le da valor al activo.
¿Significado de EF?
Exposure Factor, porcentaje de pérdida esperada.
¿Significado de SLE?
Single Loss Expectancy, expresado en dinero.
¿Significado de ARO?
Annual Rate of Ocurrence.
¿Significado de ALE?
Annual Loss Expectancy, cost per year as a result of the threat. Costo multiplicado por la cantidad de veces que puede suceder en un año.
¿Significado de TCO?
Total Cost of Ownership, costo toal de implementar una salvaguarda.
¿Significado de ROI?
Return of Investment, amount of money saved by implementation of a safeguard.
¿Cómo se calcula el SLE?
SLE = AV * EF
¿Cómo se calcula el ARO?
ARO = SLE *ARO
¿Cómo se calcula el ROI?
ROI = ALE (before control) - ALE (after control)
¿A qué se refiere el término Riesgo Total?
Es el riesgo que existe antes de que cualquier control sea implementado.
¿Cómo se calcula el riesgo total?
Total Risk = Threats * Vulnerability * Asset Value
¿Cómo se calcula el riesgo residual?
Residual Risk = Total Risk * Controls Gap
Indica que se hace en cada uno de los siguientes conceptos:
Risk Assessment –> Risk Analysis –> Risk Mitigation
Identify Assests –> Money –> Controles
¿Qué hace el “Governance”?
ensures that stakeholders needs, conditions and options are evaluated. Responsable del apetito al riesgo. Establecen los planos o “blue prints” for achieving security.
¿Qué hace el “management”?
son los encargados de lo que solicita el governance suceda o se dé. Responsable de la tolerancia al riesgo.
Governance provee el barco mientras que el management:
maneja el barco.
Actividades del “management”:
plans, uilds, runs and monitor activites in aligment with the direction set by the governance body to achieve the enterprise objectives.
¿Quienes forman parte del “governance”?
Board members or a Chair Person.
Definición de proyecto:
es algo que tiene un principio y un final, por lo que la seguridad y el análisis de riesgo no pueden ser un proyecto, ya que son actividades continuas.
Types of Approach security management:
Top-Down
Bottom-Up
Descripción del Top-Down Security Management:
senior management knows importance of security.
Senior management –> middle management –> Staff
Descripción del Bottom-Up Security Management:
The IT tries to implement security
Senior management
Who is the ultimately responsible for security within an organization?
Senior mangament: CEO, CSO, CIO, etc.
¿A que se refiere el término “liabilities?
legal liability addresses wether or not a company is responsible for specific actions or inactions. P. ej. Si uno de nuestros sistemas es comprometido y usado para atacar a otra organización, ¿somos responsables?. R = tal vez
¿A qué se refiere el término due diligence?
It’s the research. Monitoreo constante de las prácticas para asegurar que se cumplen o exceden los requisitos de seguridad.
¿A qué se refiere el término due care?
It’s the action. Ensuring tha the best practices are implemented and followed.
Caracteristicas de la “Security policy”
Impulsada por el senior management. Nunca tendrá detalles.
Características de “Accepted Use policies”?
lo que espero que mis empleados hagan con los sistemas.
¿Características de los estándares?
- Específicos
- Mandatorios
- Creados para soportar la política
¿Características de los procedimientos?
- Descriptivos, es decir Paso a paso
- Mandatorios
- Detallados, ¿el cómo hacer?
¿Características de los guidelines?
- No mandatorios
- Son sugerencias
- Mejores prácticas
¿Características de las baselines?
- Mandatorias
- Minimum acceptable security configuration for a system or process.
¿Cuál es el objetivo del knowledge transfer?
Cambiar la forma o el comportamiento de los empleados.
Tipo de leyes americanas:
Criminal Law
Tort (civil) Law
Administrative (regulatory) Law
Caracteristicas de la Criminal Law:
Penalties: financial, jail time, death.
Castigar y disuadir.
Caracteristicas de la Tort Law
Damages.
Prepoderance of evidence
Liability, due care, due dilligence.
Características de Administrative (regulatory) law:
standards of performance and regulates conduct for specific industries, SOX, BASEL, HIPPA. Penalties financial.
¿Qué es un trade secret?
Secreto comercial, por ejemplo la receta de la coca cola
¿Qué es copyright?
protege la expresión de la idea por 70 años para personas físicas o 74 para empresas a partir de la muerte del autor.
¿Qué es trademark?
protect word, name, symbol, sound, shape, color etc. look and feel of a company. P.ej. logo
¿Qué es patent?
Válido por 20 años. protege un invento.
A qué se refieren los acuerdos WASSENAAR?
restrict to export cryptographic SW or HW to certain countries.
restrict import of cryptographic tools.
A qué se refiere la ley Graham-Leach-Bliley
protege a los consumidores en relación con la banca.
¿A qué se refiere el BCP?
se refiere a la sobrevivencia de la organización en el evento de una posible interrupción. Ve la organización como un todo. EL BCP CONTIENE EL DRP
¿A qué se refiere el DRP?
se refiere mas a aspectos de TI
¿Quién puede declarar el BCP?
anyone can declare an emergency, only the BCP coordinator can declare a disaster.
Fases del BCP:
Project initiation BIA Recovery strategy Plan design and development Implementation Testing Maintenance
Responsabilidades del CEO en el BCP.
- Setting business continuity plan
- Prioritizing critial business functions
Responsabilidades del Senior Functional Management en el BCP
- Make that happen
- Ensure periodic test
- Develop and document maintenance and testing strategy
Responsabilidades del Steering Committee coordinator
- Lead the team developing the BCP
- Conduct a BIA
- Trabajo interdisciplinario
Responsabilidades del Green team
Tambien conocido como rescue team, son los responsables de evacuar al personal.
Responsabilidades del Red Team
Tambien conocidos como recovery team.
Resposible for getting the alternate facility up and running and restoring the most critical services first.
Responsabilidades del salvage team.
Responsible for the return of operations to the original or permanent facility (reconstitution).
Objetivos principales del BCP.
Proteger la vida humana.
Recuperar la operación
Sustain
Subplanes del BCP:
BRP (Business Recovery Plan)
DRP (Disaster Recovery Plan)
Continuity of support plan
COOP (Continuity of Operations Plan)
¿A quién se le debe distribuir el BCP?
solo debe distribuirse a las personas que deben saberlo y solo se debe informar a cada área de forma individual, no a todos.
Fases del BCP:
Notificación –> Recuperación –> Reconstitución
¿Cada cuánto se debe probar el BCP?
Una vez al año
¿Cuáles son los tipos de pruebas del BCP?
- Checklist
- Structured Walk through
- Simultation Test
- Parallel Test
- Full Interruption Test
- Planes
¿En qué consiste la prueba de checklist - BCP?
Functional managers review
Copies of plan distribuited to different departments.
¿En qué consiste la prueba de Structured Walk (Talk) Through- BCP?
Representatives from each departmen go over the plan.
¿En qué consiste la prueba de Simulation Test - BCP?
Going through a disaster scenario
Continues up to the actual rellocation to an offsite facility.
¿En qué consiste la prueba Parallel Test - BCP?
Systems moved to alternate site, and procesing takes place there.
¿En qué consiste la prueba Full-Interruption Test - BCP?
Original Site Shut Down. All of processing moved to the offsite facility.
¿Cuándo deben ser revisados los planes de BCP?
Al menos una vez al año, o cuando ocurra un cambio mayor.
¿Qué identifica el BIA?
Identifica y prioriza todos los procesos de negocio basados en la criticidad de cada uno de ellos. FUNCIONES DE NEGOCIO NO DE TI. Es decir, ¿qué causa las mayores pérdidas?.
¿El BIA identifica solo los procesos críticos del negocio?
No. El BIA identifica todos los procesos y activos del negocio, no sólo los considerados críticos, ya que esto se realiza asignando una prioridad a cada uno de los procesos.
Etapas del Plan and design development BIA
Escribir el plan:
- responsabilidades
- prioridades
- pruebas
Etapas del Implementation BIA
- Distribuirlo
- Copias solo al personal que necesita concoerlo.
