Security and Risk Management Flashcards
1
Q
Who is resposible for risk management?
A
Senior management
2
Q
¿Confidencialidad pensa siempre en…?
A
Encripción
3
Q
Data at rest should be always?
A
Encripted
4
Q
Medidas para proteger “data in process”
A
Bloquear el escritorio
5
Q
Medidas para proteger “data in transit”
A
Protocolos de seguridad como IPSec
6
Q
Medidas para la integridad de la información
A
Hashes, checksums, MAC’s
7
Q
Significado de MTBF?
A
Mean Time Before Failure - la vida útil del dispositivo, por ejemplo 3 años.
8
Q
Significado de MTTR?
A
Mean Time To Repair - tiempo medio para la reparación
9
Q
Significado de RPO?
A
Recovery Point Objective - tolerance of loss data, ¿cuánta información estoy dispuesto a perder?
10
Q
Significado de MTD?
A
Maximum Tolerable Downtime - el tiempo máximo que la organización aguanta con el servicio caído
11
Q
Significado de SLO?
A
Service Level Objective - por ejemplo 96% de disponibilidad
12
Q
De que otra manera se le conoce al término Accountability?
A
Auditing
13
Q
¿Qué debe incluir los registros de auditoria?
A
- Identidad del sujeto
- La acción realizada
- Objeto sobre el cual la acción fue llevada a cabo
- Timestamp
14
Q
¿A que se refiere el término “Defense in depth”?
A
La idea es no tener un solo mecanismo de defensa, sino por capas, un mecanismo después del otro.
15
Q
Fail-Safe
A
No security compromise
16
Q
Risk management es igual a:
A
Security Management
17
Q
Definición de Asset
A
provides value to the organization and can be tangible or intangible.
18
Q
Etapas del Risk Management
A
- Risk Assessment
- Risk Analysis
- Risk Mitigation
- Risk Monitoring
19
Q
¿Que hace el “risk assessment”?
A
identify assets, threats, vulnerabilities. Tiene que ver mas con identificar.
20
Q
¿Que hace el “risk analysis”?
A
value of potential risk. Tiene que ver mas con valor del riesgo y dinero. Valor del riesgo.
21
Q
¿Que hace el “risk mitigation”?
A
responding to risk. Reducir a un nivel de riesgo aceptable por senior management.
22
Q
Etapas del Risk Assessment:
A
- Identificar y valuar los activos (assets)
- Identificar amenazas y vunerabilidades
Identifify your assest –> Valuate –> look at your threats and vulnerabilities –> figurate your potential for loss –> estrategia de remediación –> pruebas –> documentación
23
Q
Tipo de analisis de riesgo basado en la experiencia, se puede emplear la técnica Delphi:
A
Cualitativo
24
Q
Tipo de analisis de riesgo basado en la cifras reales, que pueden ser monetarias:
A
Cuantitativo
25
¿Significado de AV?
Asset Value, se incluye todo, absolutamente todo lo que le da valor al activo.
26
¿Significado de EF?
Exposure Factor, porcentaje de pérdida esperada.
27
¿Significado de SLE?
Single Loss Expectancy, expresado en dinero.
28
¿Significado de ARO?
Annual Rate of Ocurrence.
29
¿Significado de ALE?
Annual Loss Expectancy, cost per year as a result of the threat. Costo multiplicado por la cantidad de veces que puede suceder en un año.
30
¿Significado de TCO?
Total Cost of Ownership, costo toal de implementar una salvaguarda.
31
¿Significado de ROI?
Return of Investment, amount of money saved by implementation of a safeguard.
32
¿Cómo se calcula el SLE?
SLE = AV * EF
33
¿Cómo se calcula el ARO?
ARO = SLE *ARO
34
¿Cómo se calcula el ROI?
ROI = ALE (before control) - ALE (after control)
35
¿A qué se refiere el término Riesgo Total?
Es el riesgo que existe antes de que cualquier control sea implementado.
36
¿Cómo se calcula el riesgo total?
Total Risk = Threats * Vulnerability * Asset Value
37
¿Cómo se calcula el riesgo residual?
Residual Risk = Total Risk * Controls Gap
38
Indica que se hace en cada uno de los siguientes conceptos:
| Risk Assessment --> Risk Analysis --> Risk Mitigation
Identify Assests --> Money --> Controles
39
¿Qué hace el "Governance"?
ensures that stakeholders needs, conditions and options are evaluated. Responsable del apetito al riesgo. Establecen los planos o "blue prints" for achieving security.
40
¿Qué hace el "management"?
son los encargados de lo que solicita el governance suceda o se dé. Responsable de la tolerancia al riesgo.
41
Governance provee el barco mientras que el management:
maneja el barco.
42
Actividades del "management":
plans, uilds, runs and monitor activites in aligment with the direction set by the governance body to achieve the enterprise objectives.
43
¿Quienes forman parte del "governance"?
Board members or a Chair Person.
44
Definición de proyecto:
es algo que tiene un principio y un final, por lo que la seguridad y el análisis de riesgo no pueden ser un proyecto, ya que son actividades continuas.
45
Types of Approach security management:
Top-Down
| Bottom-Up
46
Descripción del Top-Down Security Management:
senior management knows importance of security.
| Senior management --> middle management --> Staff
47
Descripción del Bottom-Up Security Management:
The IT tries to implement security
| Senior management
48
Who is the ultimately responsible for security within an organization?
Senior mangament: CEO, CSO, CIO, etc.
49
¿A que se refiere el término "liabilities?
legal liability addresses wether or not a company is responsible for specific actions or inactions. P. ej. Si uno de nuestros sistemas es comprometido y usado para atacar a otra organización, ¿somos responsables?. R = tal vez
50
¿A qué se refiere el término due diligence?
It's the research. Monitoreo constante de las prácticas para asegurar que se cumplen o exceden los requisitos de seguridad.
51
¿A qué se refiere el término due care?
It's the action. Ensuring tha the best practices are implemented and followed.
52
Caracteristicas de la "Security policy"
Impulsada por el senior management. Nunca tendrá detalles.
53
Características de "Accepted Use policies"?
lo que espero que mis empleados hagan con los sistemas.
54
¿Características de los estándares?
- Específicos
- Mandatorios
- Creados para soportar la política
55
¿Características de los procedimientos?
- Descriptivos, es decir Paso a paso
- Mandatorios
- Detallados, ¿el cómo hacer?
56
¿Características de los guidelines?
- No mandatorios
- Son sugerencias
- Mejores prácticas
57
¿Características de las baselines?
- Mandatorias
| - Minimum acceptable security configuration for a system or process.
58
¿Cuál es el objetivo del knowledge transfer?
Cambiar la forma o el comportamiento de los empleados.
59
Tipo de leyes americanas:
Criminal Law
Tort (civil) Law
Administrative (regulatory) Law
60
Caracteristicas de la Criminal Law:
Penalties: financial, jail time, death.
| Castigar y disuadir.
61
Caracteristicas de la Tort Law
Damages.
Prepoderance of evidence
Liability, due care, due dilligence.
62
Características de Administrative (regulatory) law:
standards of performance and regulates conduct for specific industries, SOX, BASEL, HIPPA. Penalties financial.
63
¿Qué es un trade secret?
Secreto comercial, por ejemplo la receta de la coca cola
64
¿Qué es copyright?
protege la expresión de la idea por 70 años para personas físicas o 74 para empresas a partir de la muerte del autor.
65
¿Qué es trademark?
protect word, name, symbol, sound, shape, color etc. look and feel of a company. P.ej. logo
66
¿Qué es patent?
Válido por 20 años. protege un invento.
67
A qué se refieren los acuerdos WASSENAAR?
restrict to export cryptographic SW or HW to certain countries.
restrict import of cryptographic tools.
68
A qué se refiere la ley Graham-Leach-Bliley
protege a los consumidores en relación con la banca.
69
¿A qué se refiere el BCP?
se refiere a la sobrevivencia de la organización en el evento de una posible interrupción. Ve la organización como un todo. EL BCP CONTIENE EL DRP
70
¿A qué se refiere el DRP?
se refiere mas a aspectos de TI
71
¿Quién puede declarar el BCP?
anyone can declare an emergency, only the BCP coordinator can declare a disaster.
72
Fases del BCP:
```
Project initiation
BIA
Recovery strategy
Plan design and development
Implementation
Testing
Maintenance
```
73
Responsabilidades del CEO en el BCP.
- Setting business continuity plan
| - Prioritizing critial business functions
74
Responsabilidades del Senior Functional Management en el BCP
- Make that happen
- Ensure periodic test
- Develop and document maintenance and testing strategy
75
Responsabilidades del Steering Committee coordinator
- Lead the team developing the BCP
- Conduct a BIA
- Trabajo interdisciplinario
76
Responsabilidades del Green team
Tambien conocido como rescue team, son los responsables de evacuar al personal.
77
Responsabilidades del Red Team
Tambien conocidos como recovery team.
| Resposible for getting the alternate facility up and running and restoring the most critical services first.
78
Responsabilidades del salvage team.
Responsible for the return of operations to the original or permanent facility (reconstitution).
79
Objetivos principales del BCP.
Proteger la vida humana.
Recuperar la operación
Sustain
80
Subplanes del BCP:
BRP (Business Recovery Plan)
DRP (Disaster Recovery Plan)
Continuity of support plan
COOP (Continuity of Operations Plan)
81
¿A quién se le debe distribuir el BCP?
solo debe distribuirse a las personas que deben saberlo y solo se debe informar a cada área de forma individual, no a todos.
82
Fases del BCP:
Notificación --> Recuperación --> Reconstitución
83
¿Cada cuánto se debe probar el BCP?
Una vez al año
84
¿Cuáles son los tipos de pruebas del BCP?
- Checklist
- Structured Walk through
- Simultation Test
- Parallel Test
- Full Interruption Test
- Planes
85
¿En qué consiste la prueba de checklist - BCP?
Functional managers review
| Copies of plan distribuited to different departments.
86
¿En qué consiste la prueba de Structured Walk (Talk) Through- BCP?
Representatives from each departmen go over the plan.
87
¿En qué consiste la prueba de Simulation Test - BCP?
Going through a disaster scenario
| Continues up to the actual rellocation to an offsite facility.
88
¿En qué consiste la prueba Parallel Test - BCP?
Systems moved to alternate site, and procesing takes place there.
89
¿En qué consiste la prueba Full-Interruption Test - BCP?
Original Site Shut Down. All of processing moved to the offsite facility.
90
¿Cuándo deben ser revisados los planes de BCP?
Al menos una vez al año, o cuando ocurra un cambio mayor.
91
¿Qué identifica el BIA?
Identifica y prioriza todos los procesos de negocio basados en la criticidad de cada uno de ellos. FUNCIONES DE NEGOCIO NO DE TI. Es decir, ¿qué causa las mayores pérdidas?.
92
¿El BIA identifica solo los procesos críticos del negocio?
No. El BIA identifica todos los procesos y activos del negocio, no sólo los considerados críticos, ya que esto se realiza asignando una prioridad a cada uno de los procesos.
93
Etapas del Plan and design development BIA
Escribir el plan:
- responsabilidades
- prioridades
- pruebas
94
Etapas del Implementation BIA
- Distribuirlo
| - Copias solo al personal que necesita concoerlo.
