Tema II

Question 1

¿Qué es una política de seguridad?

Answer 1

“Conjunto de leyes, reglas y prácticas que regulan cómo la información critica y sensitiva es administrada, protegida y distribuida”.

Question 2

¿Cómo es un modelo de política de SI?

Answer 2

Una presentación formal de la política de seguridad aplicada a los sistemas. Debe identificar un conjunto de reglas y prácticas que regulan como un sistema administra, protege y distribuye información sensible

Question 3

¿Cuáles son los objetivos de un marco de referencia para la Seguridad de la información? (2)

Answer 3

1. Asistir en el diseño de un programa de seguridad.
2. Definen los controles necesarios para proporcionar seguridad a los sistemas de información.

Question 4

Menciona algunos de los marcos de referencia vistos (3)

Answer 4

1. COSO
2. ITIL
3. COBIT

Question 5

Características del Marco de Referencia COSO (4)

“The Committee of Soponsoring Organizations of the Treadway Commission”

Answer 5

1. Se formó en 1985 con el apoyo de la National Commission on Fraudulent Fiancial Reporting
2. Estudiaba factores que podían llevar a fraudes financieros
3. COSO identifica 5 áreas de control interno necesario para cumplir con los reportes financieros y objetivos de divulgación.
4. Es adoptado por empresas que buscan cumplimiento con Sarbanes-Oxley sección 404.

Question 6

¿Cuales son las áreas de control interno bajo el marco de referencia COSO? (5)

Answer 6

1. Control Ambiental.- conjunto de estandares, procesos y estructuras que proporcionan la base para llevar a cabo los controles internos. Incluye la integridad y los valores éticos de la organización.
2. Evaluación de Riesgos.- comprende un proceso iterativo y dinámico para identificar y evaluar los riesgos existentes para el logro de los objetivos.
3. Control de Actividades.- son las acciones establecidas a través de políticas y procedimientos que ayudan a asegurar que las directivas gerenciales mitigan los riesgos encontrados en la evaluación.
4. Información y Comunicación.- proceso iterativo de proporcionar, compartir y obtener la información necesaria, puede ser comunicación interna o externa.
5. Monitoreo.- Evaluaciones de ejecución, para asegurarse de que los 5 componentes de control interno están presentes y funcionando

Question 7

¿Cual es la completa composición de un modelo tipo COSO?

Answer 7

Cinco Áreas

1. Control Ambiental.
2. Evaluación de Riesgos.
3. Control de Actividades
4. Información y Comunicación.
5. Monitoreo.-

Tres Categorías de objetivos

1. Operaciones
2. Reporte
3. Cumplimiento

Cinco Componentes

1. Nivel de Entidad
2. División
3. Unidad Operativa
4. Función

Question 8

Menciona las características del marco ITIL

“IT Infrastructure Library”

Answer 8

1. El mejor aceptado mundialmente para la gestión de Servicios de TI.
2. Contiene un conjunto de mejores prácticas de distintas industrias para llevar a cabo una buena gestión de servicio de TI (IT Service Management)
3. Inició como una publicación del gobierno Británico
4. 34 libros entre 1989 y 1992.
5. comprende 5 publicaciones 
   
   • Estrategia de Servicios
   • Diseño de Servicios
   • Transición de Servicios
   • Operación de Servicios
   • Mejora Continua.

Question 9

Define la publicación de Estrategia de Servicios del marco de referencia ITIL (4)

Answer 9

1. Proporciona guía en cómo ver la gestión del servicio no solo como una capacidad organizacional si no como un activo estratégico.
2. Identifica clientes, mercado potencial
3. Analiza riesgos sobre el portafolio de servicios.
4. Valida el correcto alineamiento de los objetivos de negocio con los de el ciclo de vida de TI.

Question 10

Define la publicación de Diseño de Servicios del marco de referencia ITIL (2)

Answer 10

1. Proporciona la guía para el diseño y el desarrollo de servicios y prácticas para la gestión de los mismos.
2. Comprende métodos, y prácticas de diseño para convertir los objetivos de negocio en portafolio de servicios.

Question 11

Define la publicación de Transición de Servicios del marco de referencia ITIL (2)

Answer 11

1. Proporciona guía para el desarrollo y mejora de las capacidades para transicionar servicios nuevos o modificados a un ambiente en producción.
2. Proporciona guía en cómo los requerimientos identificados en la estrategia de servicio y creados en diseño de servicio van a ser ejecutados de manera adecuada en la operación del servicio.

Question 12

Define la publicación de Operación de Servicios del marco de referencia ITIL (2)

Answer 12

1. Contiene las prácticas en la gestión del día a día de la ejecución de servicios.
2. Proporciona guía para lograr la efectividad y eficiencia en la entrega y soporte de los servicios para asegurar dar valor a el cliente.

Question 13

Define la publicación de Mejora Contiua del marco de referencia ITIL (2)

Answer 13

1. Proporciona la base para crear y mantener el valor para los clientes a través de un mejor diseño, transición y operación de servicios.
2. Combina principios, prácticas y métodos de Gestión de Calidad.

Question 14

Describe al Marco de Referencia COBIT a partir de su objetivo de negocio

Answer 14

El objetivo de negocio de COBIT consiste en unir los objetivos de negocio con los objetivos de TI, proporcionando métricas y modelos de madures para medir su logro e identificar las responsabilidades asociadas entre los dueños de los procesos de TI y los dueños del negocio.

Question 15

Describe al Marco de Referencia COBIT a partir de su enfoque de procesos

Answer 15

1. Es ilustrado por un modelo que subdivide la TI en 4 dominios y 34 procesos alineando las áreas responsables de planear, construir, ejecutar y monitorear una vista completa de TI.
2. Los conceptos de arquitectura empresarial ayudan a identificar los recursos escenciales para el éxito de los procesos. (aplicaciones, información, infraestructura y gente.
3. Finalmente proporciona la información que la compañía necesita para lograr sus objetivos , los recursos de TI que necesita administrar por un conjunto de procesos bien relacionados.

Question 16

¿Cuáles son los 4 dominio del marco COBIT?

Answer 16

1. Planeación y organización
2. Adquisición e implementación
3. Entrega y Soporte
4. Monitoreo.

Question 17

Define riesgo

Answer 17

Posibilidad de pérdida

Question 18

Define Gestión de Riesgos

Answer 18

Técnica o profesión para evaluar, minimizar, y prevenir perdidas accidentales para el negocio.

Question 19

¿Cómo define la ISC2 a la gestión de riesgos? (2)

Answer 19

1. Disciplina para vivir con la posibilidad de que eventos futuros puedan causar daños”.
2. Reduce los riesgos definiendo y controlando las amenazas y vulnerabilidades..

Question 20

¿Qué se evalúa durante la evaluación de riesgos?

Answer 20

1. Amenazas a los activos.
2. Vulnerabilidades presentes en el ambiente.
3. Identificar la probabilidad de que una amenaza sea exitosa.
4. El impacto dentro de la organización
5. Contramedidas disponibles que puedan reducir la posibilidad de que un exploit pueda ser ejecutado de manera exitosa
6. Riesgo Residual.

Question 21

¿Con qué ayuda la gestión de riesgos a las organizaciones?

Answer 21

1. Determinar las amenazas que la compañía enfrenta
2. Analizar las vulnerabilidades para evaluar el nivel de la amenaza
3. Determinar cómo manejar el riesgo

Question 22

Define Amenaza

Answer 22

Evento natural o causado por el hombre que puede ocasionar un impacto negativo en una organización

Question 23

Define Vulnerabilidad

Answer 23

Defecto, descuido u omisión que puede ser explotado para violar una política de seguridad de una compañía

Question 24

Define Controles

Answer 24

Mecanismo usado para restringir, regular o reducir las vulnerabilidades

Question 25

Define qué son los controles disuasivos

Answer 25

Aquellos diseñados para atender situaciones antes de su ocurrencia

Ej. prompt de un router advirtiendo de la privacidad de sí mismo

Question 26

Define qué es un control detectivo

Answer 26

Aquel que monitorea actividades con el fin de encontrar instancias las cuales no han tenido seguimiento y pueden con llevar a un riesgo para el usuario.

Primordialmente identifica cuando un error o irregulidaridad se da

Question 27

Define qué es un control preventivo

Answer 27

Es un tipo de observación e inspección que ayuda a evitar problemas antes de que aparezcan, protegiendo vulnerabilidades previo a ser explotada

Question 28

Define qué es un control correctivo

Answer 28

Tiene como propósito principal enmendar aquellos errores o desviaciones detectadas.

Question 29

¿Cuáles son las dos forma de cuantificar un valor?

Answer 29

1. Evaluación cuantitativa
2. Evaluación cualitativa

Question 30

Define la evaluación cuantitavia

Answer 30

Se pretende asignar un valor monetario a los elementos de la evaluación de riesgo, activos de información y a las amenazas encontradas en una evaluación de riesgos.

Question 31

¿Que elementos se cuantifican durante la evaluación de riesgos? (5)

Answer 31

1. Valor del activo
2. Impacto
3. Frecuencia de la amenaza
4. Efectividad de los controles
5. Costo de los controles

Question 32

¿Qué se debe de calcular durante la evaluación cuantitativa?

Answer 32

1. Single Loss Expectancy: La diferencia entre el valor original y el valor restante de un activo después de haber sido afectado, es decir, el costo de la pérdida de un activo
2. Annualized Rate of Occurence (ARO): estimado de qué tan frecuentemente una amenaza llega a ser tener éxito en explotar una vulnerabilidad en un periodo determinado. Es decir, cuantas veces se puede esperar la pérdida en el periodo de un año.
3. Annualized Loss Expectancy (ALE): Determina la magnitud del riesgo, es el resultado del estimado anual de la frecuencia de la amenaza (ARO) por la perdida del activo en cuestión (SLE).

Question 33

Formulario

SLE, ARO, ALE

Answer 33

SLE = Valor del activo ($) x Factor de exposición

Aro = probabilidad que es dada por el problema

ALE = SLE * ARO

Question 34

Define qué es la evaluación cualitativa

Answer 34

Establece una ponderación a que tan grave es la amenaza y que impacto tiene dentro de una organización

Question 35

¿Cuales son las tres clasificaciones en una evaluación cualitativa?

Answer 35

1. Alto.- puede resultar en perdida de ganancia/bienestar entre la organización, clientes y/o empleados
2. Medio.- puede resultar en daño para la organización o la reparación cuesta una cantidad ($) moderada
3. Bajo.- Inconveniencia menor que puede ser tolerada por un periodo pequeño de tiempo

Question 36

¿Qué metodologías existen para que las empresas comprendan y evaluen los riesgos de TI?

Answer 36

1. OCTAVE
2. FRAP
3. CRAMM

Question 37

Menciona algunas características de la metodología estandarizada OCTAVE (3)

” Operationally Critical Threat, Asset and Vulnerability Evaluation”

Answer 37

1. Permite a las organizaciones, entender, evaluar y gestionar sus riesgos de seguridad de la información desde la perspectiva de la organización
2. Es una metodología orientada a procesos para identificar, priorizar y gestionar los riesgos de seguridad de la información
3. Permite que las unidades operacionales/de negocio y el área de sistemas trabajen juntos para gestionar las necesidades de seguridad de la información de una organización

Question 38

¿De qué les sirve OCTAVE a las Organizaciones? (5)

Answer 38

1. Desarrollar evaluaciones de riesgo cualitativas basadas en tolerancia de riesgo operacional
2. Identificar los activos que son críticos para la misión dela organización
3. Identificar vulnerabilidades y amenazas que son críticos para los activos
4. Determinar y evaluar las consecuencias para la organización si las amenazas son explotadas
5. Iniciar las acciones correctivas para mitigar riesgos

Question 39

¿Cuál es el principal benedicio de la metodología OCTAVE?

Answer 39

Conectar las metas y objetivos organizacionales con las metas y objetivos de la seguridad de la información

Question 40

Define la metodología FRAP

“Facilitated Risk Analisys Process”

Answer 40

Proceso eficiente y disciplinario para asegurar que los riesgos relacionados a la seguridad de la información relacionados a las operaciones de negocio están considerados y documentados

Question 41

En qué consiste la metodología FRAP

Answer 41

1. Analizar a la vez, un sistema, aplicación o segmento del negocio.
2. Convocar a un grupo de personas del negocio y staff técnico para acordar los riesgos identificados
3. El del negocio conoce la información relacionada a la operación y estrategia
4. El staff técnico, conoce las vulnerabilidades y controles que existen.

Question 42

¿Qué fases tiene la metodología FRAP? (4)

Answer 42

1. Pre-FRAP meeting.- se preara la agenda y los elementos a evaluar durante la sesión. Usualmente participan los gerentes, el líder de proyecto y un facilitador.
2. FRAP Session.- se lleva a cabo la lluvia de ideas y se discuten los riesgos, controles y acciones a implementar.
3. FRAP Analysis.- Análisis de la información generada y elaboración de minuta y reportes
4. Post-FRAP.- se crea una sesión para comunicar los resultados.

Question 43

¿Qué se hace durante una sesión bajo la metodología FRAP (4)

Answer 43

1. Se genera una lluvia de ideas sobre vulnerabilidades, amenazas, impactos al negocio (CIA)
2. Se analizan los impactos al negocio y se categorizan de acuerdo al nivel de prioridad que se acuerda durante dicha sesión.
3. Posteriormente se identifican los controles que se pueden implementar para reducir el riesgo enfocándose en los de mejor costo-beneficio.
4. Se documentan los riesgos y prioridades y se acuerdan los controles a ser implementados.

Question 44

¿Cuáles son las 3 fases de la metodología CRAMM?

” Risk Analysis and Management Method”

Answer 44

1. Establecimiento de Objetivos
2. Evaluación de riesgos
3. Identificación y establecimiento de medidas.

Question 45

Describe la etapa de Establecimiento de Objetivos de la metodología CRAMM

Answer 45

1. Definir los límites del estudio
2. Identificar y evaluar los activos físicos que son parte del sistema
3. Determinar el valor de los datos a través de entrevistas con los usuarios y el impacto del negocio tras la pérdida, destrucción o divulgación de información.
4. Identificar y evaluar los activos de software que son parte del sistema.

Question 46

Describe la etapa de Evaluación de Riesgos de la metodología CRAMM

Answer 46

Question 47

Define auditoría

Answer 47

Proceso Sistémico por el cual un equipo calificado obtiene y evalúa evidencia en relación a afirmaciones acerca de procesos con el propósito de formar una opinión y reportar el grado en el cual dicha afirmación es implementada.

Question 48

Define Auditoria de Sistemas de Información

Answer 48

Revisión y evaluación total o parcial de los sistemas de información automatizados relacionados a procesos manuales y las interfaces entre ellos.

Question 49

¿Qué se requiere para llevar a cabao una auditoría? (4)

Answer 49

1. Planeación de las áreas que van a ser auditadas
2. Evaluación de riesgos generales de cada área a ser auditada
3. Desarrollar un programa de auditoria con objetivos y procedimientos
4. Preparar la evidencia requerida por los auditores de SI

Question 50

¿Qué requiere un auditor para llevar a cabo su auditoria? (3)

Answer 50

1. Evaluar las fortalezas y debilidades de los controles
2. Analizar las evidencias proporcionadas y evaluar la postura actual VS la requerida por el marco legal a ser evaluado.
3. Preparar el reporte con los hallazgos

Question 51

¿Cómo debe de ser el proceso de una auditoría según la ISACA?

(7)

Answer 51

1. Definir alcance de la auditoria
2. Elaborar los objetivos de la auditoría
3. Identificar el criterio de auditoría
4. Ejecutar los procedimientos de auditoría
5. Revisar y evaluar la evidencia
6. Generar las opiniones y conclusiones
7. Reportar a la gerencia los puntos encontrados.

Question 52

¿Qué tipo de auditorias existen?

Answer 52

1. Financiera
2. Operativa
3. Integral
4. Administrativa
5. Sistemas de Información

Question 53

Define una auditoría financiera

Answer 53

Evaluar qué tan correcto es el estado de resultados financiero de una compañía

Question 54

Define una auditoría operativa

Answer 54

Evaluar la estructura de controles internos en un área o proceso dado

Question 55

Define a una auditoría administrativa

Answer 55

Evalúa los problemas relacionados con la eficiencia en la productividad operacional.

Question 56

Define una auditoría de Sistema de Información

Answer 56

Evalúa la evidencia para determinar si los sistemas de información y recursos relacionados protegen los activos, mantienen la integridad, disponibilidad de datos y sistemas, consumen los recursos de manera adecuada y tienen los controles necesarios para soportar los objetivos de negocio.

Question 57

¿Qué se evalua en una auditoria de Sistemas de Información?

Answer 57

1. Ambiente Físico.
2. Administración de Sistemas
3. Software de aplicaciones
4. Seguridad en la Red
5. Continuidad de Negocio
6. Integridad de Datos

Question 58

Menciona algunas auditorías de Sistemas de Inf. especializadas

Answer 58

1. SAS70
2. PCI
3. ISO27001

Question 59

¿Qué es una auditoría forense?

Answer 59

• Descubrir, comunicar y dar seguimiento a fraudes y crímenes. Incluye el análisis de dispositivos electrónicos para la investigación de evidencias que lleven al correcto rastreo de un crimen ejecutado a través de medios electrónicos.

Question 60

¿Qué es una auditoría interna?

Answer 60

Es llevada a cabo por un grupo de trabajo de la organización con el objetivo de identificar y evaluar los el estado actual de los controles así como desarrollar el plan de acción para mitigar los riesgos encontrados.

Question 61

¿Qué es una auditoría externa?

Answer 61

Es llevada a cabo por un grupo de trabajo ajeno a la organización y que tiene la facultad, reconocimiento y habilidad para evaluar los controles actuales contra los definidos en estándares.