Wondershare EdrawMind
EdrawMindNotas de estudio de CISSP Dominio 1 (Seguridad y gestión de riesgos)
Galería de mapas mentales Notas de estudio de CISSP Dominio 1 (Seguridad y gestión de riesgos)
- 3
Notas de estudio de CISSP Dominio 1 (Seguridad y gestión de riesgos)
Revisión del examen CISSP, resumen de puntos de conocimiento y ejercicios importantes en seguridad y gestión de riesgos del Dominio 1, lleno de información útil, amigos necesitados, ¡apúrate y recógela!
Editado a las 2024-02-12 08:29:54,Notas de estudio de CISSP Dominio 1 (Seguridad y gestión de riesgos)
- Recomendados
- Resumen
Notas de estudio de CISSP: Dominio 1 (Seguridad y gestión de riesgos)
Puntos de conocimiento
1.2.triple de la CIA
Confidencialidad
La confidencialidad se refiere a impedir el acceso a los activos de información por parte de entidades no autorizadas, ya sean personas o procesos.
Integridad (Intearitv)
La protección de integridad evita cambios no autorizados en los datos.
Disponibilidad
Disponibilidad significa que a las entidades inversoras se les concede acceso oportuno e ininterrumpido a los objetos.
Autenticidad (Authenticitv)
La autenticidad es un concepto de seguridad según el cual los datos son auténticos o genuinos desde la fuente que dicen contener: integridad y no repudio.
no repudio
El no repudio asegura que el sujeto de una actividad o la persona que causó un evento no puede negar que el evento ocurrió.
Seguridad equilibrada
Cada organización tendrá diferentes prioridades al considerar a la CIA según sus propias circunstancias.
1.3 Evaluar y aplicar principios de gobernanza de la seguridad
Las funciones de seguridad están alineadas con las estrategias y objetivos comerciales.
Al desarrollar la función de seguridad de su organización, primero debe diseñar una estrategia de seguridad que sea coherente con la estrategia comercial general y la declaración de misión de su organización. Debe desarrollar un conjunto de metas y objetivos específicos, mensurables, alcanzables, relevantes y con plazos determinados para ayudarle a mantener eficazmente la confidencialidad, integridad y disponibilidad de los sistemas y la información de la empresa sin comprometer la capacidad de la organización para lograr sus metas y objetivos comerciales.
Ejecutar un programa de seguridad eficaz requiere una consideración cuidadosa de las necesidades comerciales y los caminos de batalla organizacionales, así como de los requisitos legales y de cumplimiento, y requiere gobernanza en toda la organización para gestionar la efectividad de las capacidades de seguridad.
1.3.1. Procesos organizacionales
gobernanza de la seguridad
Comités de Gobernanza
El Consejo de Gobierno está compuesto por ejecutivos responsables de gestionar todos los riesgos de la organización, con el objetivo principal de supervisar la función de seguridad de la organización y al mismo tiempo garantizar que la función de seguridad continúe atendiendo las necesidades tanto de la organización como de sus partes interesadas. Revisan proyectos en curso y planificados, métricas remotas y cualquier otro asunto de seguridad que pueda afectar a toda la empresa.
Fusiones y Adquisiciones (M&A)
Cada adquisición trae consigo un conjunto único de circunstancias, y los expertos en seguridad de ambas organizaciones deben reunirse para evaluar los controles de seguridad de cada organización y descubrir cómo eliminar redundancias y garantizar la contención del sistema.
Posibles puntos de riesgo:
•Contenido desconocido: ¿Cómo se integrarán las instalaciones de TI, los controles de seguridad y los procesos con los sistemas existentes?
• Nuevos vectores de ataque: Si la organización actual sólo utiliza sistemas Windows y Linux, la organización adquirida utiliza sistemas Macos.
•Impacto sobre los recursos: si la mano de obra existente puede garantizar el funcionamiento normal de las funciones existentes. ¿Podrás recibir exitosamente el nuevo sistema?
•Empleados descontentos: los empleados descontentos son una grave amenaza interna
Contramedidas:
•Revisar las políticas y procedimientos de seguridad de la información de la empresa.
•Revisar los activos de datos de la empresa. e identificar cualquier requisito regulatorio o de cumplimiento aplicable (por ejemplo, PCl, HIPAA, GDPR, etc.)
•Revisar la política de seguridad del personal de la organización.
•Identificar cualquier aplicación propietaria o personalizada administrada por la empresa y requerir pruebas de seguridad de aplicaciones estáticas y dinámicas para demostrar su postura de seguridad.
•Zhouqiu proporciona los resultados de pruebas de penetración recientes (pentest), incluidas pruebas de red, sistema operativo, aplicaciones y bases de datos.
•Revisar el uso que hace la organización de software de código abierto y de terceros para garantizar que el software sea seguro y tenga la licencia adecuada.
1.3.2.
Una desinversión es la separación de una parte de una empresa en una organización independiente.
Acciones que se pueden tomar:
•Identificar y clasificar todos los activos involucrados en la desinversión, esto incluye activos de hardware, software y de información;
•Desacople los sistemas afectados de su infraestructura restante.
•Revisar todos los derechos de acceso.
• Consulte con sus equipos legales y de cumplimiento para asegurarse de que cumple con todos los requisitos normativos y de cumplimiento necesarios en relación con la retención, eliminación, etc.
1.3.3. Roles y responsabilidades organizacionales
1.3.3.1 Director de seguridad de la información (CISO)
El director de seguridad de la información es el alto ejecutivo responsable de la gestión y supervisión general del programa de seguridad de la información dentro de una organización.
El director de seguridad de la información impulsa la estrategia y la visión de seguridad de la organización y es, en última instancia, responsable de la seguridad de los sistemas y la información de la empresa.
1.3.3.2 Director de seguridad (CSO)
El CSO es un alto ejecutivo dentro de una organización y normalmente es responsable de todos los asuntos de seguridad física y seguridad del personal.
Muchas organizaciones han fusionado las responsabilidades del CSO con el rol del CISO.
1.3.4. Marco de control de seguridad
1.3.4.1 Marco de control de seguridad
Son medidas de protección técnicas, operativas o administrativas utilizadas por una organización para prevenir, detectar, reducir o contrarrestar amenazas a la seguridad.
1.3.4.2 Tipo de control de seguridad:
Controles técnicos: Protecciones y contramedidas basadas en el sistema, como firewalls, I1DS/PS y prevención de pérdida de datos (DLP) •
Controles operativos: medidas de protección y contramedidas realizadas principalmente por humanos, como guardias de seguridad.
Controles de gestión: incluyen políticas, procedimientos y otras contramedidas para controlar los riesgos de seguridad de la información.
1.3.4.3 Marco común de control de seguridad:
1.3.5. Ser prudente y responsable
1.3.5.1 Cuidado debido
El principio de precaución se refiere a un comportamiento razonable y prudente para proteger la seguridad de la información, incluido el mantenimiento de la confidencialidad, integridad y disponibilidad de la información, y se aplica a todas las personas. Este principio se aplica a cualquier persona u organización, independientemente de su nivel de experiencia en seguridad de la información.
1.3.5.2 Debida diligencia
La debida diligencia se refiere a una serie de medidas tomadas en seguridad de la información para garantizar que se hayan implementado medidas de seguridad razonables y funcionen de manera efectiva. Estos incluyen el desarrollo de un marco de seguridad formal, el desarrollo de políticas, estándares, líneas de base, directrices y procedimientos de seguridad, y más. En este sentido, es responsabilidad de la alta dirección garantizar que se lleve a cabo la debida diligencia.
1.4 Determinar el cumplimiento y otros requisitos
1.4.1. Normas contractuales, legales, industriales y requisitos reglamentarios.
CISSP define el cumplimiento como el cumplimiento de los mandatos, incluido el conjunto de actividades que realiza una organización para comprender y cumplir con todas las leyes, requisitos reglamentarios, estándares industriales y acuerdos contractuales aplicables. Los profesionales de la seguridad deben comprender las diferentes leyes nacionales, regionales y estatales que se aplican a sus negocios.
1.4.1.1 “Ley de Seguridad Informática”
Aprobada por el Congreso de los Estados Unidos en 1987, ha sido eliminada y reemplazada por FISMA.
1.4.1.2 "FISMA"
Según la Ley Federal de Gestión de Seguridad de la Información, todas las agencias del gobierno federal de EE. UU. y organizaciones no gubernamentales que brindan servicios de información a estas agencias deben realizar evaluaciones de seguridad basadas en riesgos de acuerdo con el Marco de Gestión de Riesgos (RMF) del NIST.
1.4.1.3 "SOX"
Normativa relacionada con la financiación de las sociedades cotizadas
1.4.1.4 "PCI DSS"
Regulaciones de la industria de tarjetas de pago
1.4.1.5 "SOC"
Significa control organizacional y de sistemas y es un marco de auditoría con tres tipos de informes y auditorías SOC comúnmente utilizados, denominados SOC1, SOC2 y SOC3.
SOC1: Auditoría relacionada con estados financieros
SOC2: Informes detallados de auditoría y cumplimiento, generalmente no abiertos al público.
SOC3: Una versión simplificada de SOC2, disponible para el público.
1.4.2. Requisitos de privacidad
Los requisitos de privacidad se refieren a proteger la seguridad y confidencialidad de la información personal durante el procesamiento de la información y limitar el acceso a la información personal al alcance de uso autorizado de la parte autorizada. En esencia, la privacidad se refiere a la protección de la información de identificación personal para proteger el derecho de un individuo a la privacidad.
1.4.2.1PII
Información de identificación personal (PII), cualquier información que pueda identificar a un individuo, como su nombre, dirección, número de teléfono, número de tarjeta bancaria, licencia de conducir y número de seguro social (tarjeta de identificación), etc.
1.5. Comprender las cuestiones legales y regulatorias relacionadas con la seguridad de la información en su conjunto.
1.5.1. Cibercrimen y violaciones de datos
1.5.1.1 Cibercrimen
El delito cibernético se refiere a actividades delictivas que involucran directamente a computadoras o Internet, y que incluyen principalmente:
1. Delitos contra las personas, como el robo de identidad
2 Infracción de propiedad, como dañar computadoras y robar propiedad intelectual
3. Delitos contra el gobierno, como el robo de información clasificada
1.5.1.2 Fuga de datos
Las violaciones de datos son un tipo especial de delito cibernético en el que los ciberdelincuentes acceden a la información o la roban sin autorización. Las organizaciones afectadas por una violación de datos pueden enfrentar daños a su reputación, incidentes de robo de identidad, multas o pérdida de propiedad intelectual debido al robo. El cifrado es una forma sencilla de proteger su organización contra filtraciones de datos.
1.5.1.3 Leyes estadounidenses pertinentes:
Ley de Abuso y Fraude Informático (CFAA): la primera ley penal de Estados Unidos dirigida al delito cibernético, lo que convierte muchos tipos de piratería en un delito federal. Las enmiendas de la CFAA encontraron resistencia.
Ley de Privacidad de las Comunicaciones Electrónicas (ECPA): Restringe al gobierno de los EE. UU. la posibilidad de interceptar comunicaciones y almacenar información, y el gobierno debe cumplir requisitos estrictos para obtener una orden de registro para comunicaciones electrónicas.
Ley de Presunción de Disuasión y Robo de Identidad: Hace que el robo del valor de una persona sea un delito federal.
1.5.2 Requisitos de licencia y propiedad intelectual (PI)
1.5.2.1 Licencia de software
El software es una forma importante de propiedad intelectual. Las organizaciones invierten importantes recursos financieros y humanos en el desarrollo de software y luego en protegerlo mediante acuerdos de licencia. Existen cuatro tipos comunes de acuerdos de licencia:
1Licencia contractual: utilice un contrato escrito entre el proveedor de software y el cliente que describa sus respectivas responsabilidades.
2 Efectivo al abrir: Se vuelven efectivos cuando el usuario rompe el sello del empaque.
3. Haga clic en Acuerdo: los clientes solo necesitan hacer clic en el botón "Acepto" al comprar software o registrarse para recibir servicios.
4. Licencia de servicio en la nube: acuerdo de clic para migración a la nube
1.5.2.2 Derechos de propiedad intelectual
Una responsabilidad muy importante de los profesionales de seguridad de la información es proteger la propiedad intelectual perteneciente a su organización contra el uso o divulgación no autorizados.
1.Derechos de autor
Los derechos de autor protegen las obras creativas contra la apropiación indebida. Estas obras pueden incluir categorías tales como libros, películas, canciones, poesía, creaciones artísticas y software de computadora.
La protección de los derechos de autor se otorga automáticamente al creador en el momento de la creación, pero tenga en cuenta que las creaciones que se realizan mientras usted está empleado pertenecen al empleador. La protección de los derechos de autor dura 70 años después de la muerte del autor. Los derechos de autor están representados por el símbolo del diagrama C que se muestra aquí.
2.Marcas
Las marcas comerciales se utilizan para proteger las palabras y símbolos que utiliza para identificar sus productos y servicios. La información protegida por una marca comercial incluye nombres de marcas, logotipos y lemas. Las marcas pueden existir indefinidamente, pero el registro debe renovarse cada 10 años. Las marcas comerciales están representadas por el símbolo ™M y, una vez que el gobierno les otorga el estado de registro, pueden representarse con el símbolo R encerrado en un círculo.
3.Patentes
Las patentes protegen las invenciones y otorgan al inventor derechos exclusivos para utilizar su invención durante un período de tiempo. Una vez concedidos, los derechos de patente generalmente duran 20 años después de la fecha de presentación. Para obtener una patente, los inventores deben demostrar que su idea cumple tres criterios:
Primero, debe ser novedoso;
En segundo lugar, debe ser útil;
Finalmente, debe ser algo que no sea obvio;
4. Secretos comerciales
Con un secreto comercial, el propietario no cuenta a nadie sobre el invento y mantiene los detalles en secreto. Mientras la organización pueda proteger el secreto, goza de derechos exclusivos sobre la invención. La desventaja es que si otros descubren cómo funciona el invento, pueden utilizarlo libremente. Restringir el conocimiento de aquellos dentro de la organización que conocen secretos comerciales a través de un acuerdo de confidencialidad (NDA).
1.5.3. Controles de Importación y Exportación
Muchos países tienen requisitos para los tipos de información y bienes que pueden cruzar fronteras internacionales. Los profesionales de seguridad de la información deben comprender los diversos controles de importación y exportación que se aplican a su industria y garantizar que sus actividades cumplan con estas regulaciones.
1.5.3.1 Controles de importación/exportación de Estados Unidos
El Reglamento de Tráfico de Armas (TAR) es todo lo relacionado con artículos de defensa.
Las Regulaciones de Administración de Exportaciones (EAR) cubren muchas categorías tecnológicas amplias, incluidas electrónica y computadoras sensibles, láseres, navegación, tecnología marina y más.
1.5.4. Flujo de datos transfronterizo
Los flujos de datos transfronterizos se centran en eludir los requisitos nacionales que restringen la entrada o salida de ciertos datos de una ubicación geográfica o jurisdicción específica. Por ejemplo: la "Ley de Ciberseguridad" de China exige que los datos de los ciudadanos chinos recopilados en China se conserven en China y no se puedan transferir al extranjero sin el permiso del gobierno chino.
1.5.5. Privacidad
Los dos elementos más comunes de información privada son la información de identificación personal, o Pll, y la información de salud protegida, o PHl.
1.5.5.1 Leyes de privacidad relevantes en los Estados Unidos
1. "Ley de Privacidad"
Principalmente regula y rige la recopilación, el mantenimiento, el uso y la difusión de PII por parte de agencias gubernamentales de EE. UU.
2. Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA)
Requiere que los hospitales, médicos, compañías de seguros y otras organizaciones que manejan o almacenan información de PHI adopten estrictas medidas de seguridad.
3.Ley de Protección de la Privacidad Infantil en Línea (COPPA)
Existen pautas estrictas para que las empresas en línea protejan la privacidad de los niños menores de 13 años.
4. Ley de Modernización de Servicios Financieros (GLBA)
Proponer requisitos regulatorios para que las instituciones financieras intercambien información de clientes. Requiere que las agencias implementen controles de seguridad adecuados para proteger los datos personales de sus clientes.
5. Ley de Tecnología de la Información Sanitaria para la Salud Económica y Clínica (HITECH)
El proyecto de ley amplía las protecciones de privacidad de HIPAA e impone sanciones más severas. También se han introducido reglas de notificación de infracciones, que exigen la divulgación a las partes afectadas dentro de los 60 días posteriores a la infracción.
1.5.5.2 Leyes de privacidad de la UE pertinentes
1.《Directiva de Protección de Datos (DPD)>
Regula el procesamiento de datos personales de los ciudadanos europeos. Es la primera ley de privacidad importante de la Unión Europea y se considera la regulación de privacidad básica en toda Europa. Ha sido sustituido por el posterior RGPD.
2. Reglamento General de Protección de Datos (RGPD)
Establece siete principios para el tratamiento de datos personales:
1) Legalidad, equidad y transparencia: Obtener y procesar datos personales de acuerdo con las leyes aplicables, e informar plenamente a los usuarios cómo se utilizarán sus datos.
2) Limitación de la finalidad: Determinar la finalidad "específica, clara y legítima" de la recogida de datos e informar de dicha finalidad
3) Minimización de datos: Recopilar y procesar la cantidad mínima de datos necesarios para prestar los servicios acordados.
4) Precisión: Garantizar que los datos personales sean "exactos y, cuando sea necesario, actualizados".
5) Limitación de almacenamiento: Los datos personales se almacenan únicamente durante el tiempo necesario para prestar los servicios acordados. Cumplir con el "derecho al olvido"
6) Integridad y confidencialidad
7) Responsabilidad: Los controladores de datos (es decir, la parte que almacena y procesa datos personales) deben poder demostrar el cumplimiento de todos los requisitos.
Nota: Si su organización almacena o procesa datos personales de ciudadanos o residentes de la UE, entonces se le aplica el RGPD, independientemente de si su empresa está ubicada en la UE. Y requiere que los controladores de datos notifiquen a las partes relevantes dentro de las 72 horas posteriores a tener conocimiento de una violación de datos personales. Para el intercambio de información transfronterizo, se deben utilizar cláusulas contractuales estándar o reglas corporativas vinculantes.
3. "Safe Harbor" y "Privacy Shield" son acuerdos de protección de la privacidad entre Estados Unidos y la Unión Europea, y ambos han expirado.
1.6. Comprender los requisitos del tipo de encuesta.
1.6.1. Tipo de ajuste
1.6.1.1 Investigación administrativa (Administrativa)
Una investigación dentro de una organización para encontrar la causa raíz de un problema y resolverlo para que la empresa pueda reanudar sus operaciones normales.
1.6.1.2 Investigación criminal (Criminal)
Una investigación realizada por una agencia gubernamental que investiga violaciones de las leyes penales.
El más alto nivel de prueba: más allá de toda duda razonable.
1.6.1.3 Investigación Civil (Civil)
Una investigación realizada por una agencia gubernamental que investiga violaciones de las leyes penales.
El más alto estándar de prueba: más allá de toda duda razonable.
1.6.1.4 Regulatorio
Investigaciones realizadas por agencias gubernamentales sobre posibles violaciones del derecho administrativo, o por reguladores independientes sobre violaciones de los estándares de la industria.
Las investigaciones regulatorias pueden ser de naturaleza civil o penal.
1.7. Desarrollar, documentar e implementar políticas, estándares, procedimientos y directrices de seguridad.
1.7.1. Marco de políticas de seguridad
17.1.1 Políticas de Seguridad (Políticas)
Una política de seguridad es un conjunto de declaraciones que describen muy cuidadosamente las expectativas de seguridad a largo plazo de una organización e identifica los principios y reglas que rigen la protección de los sistemas de información y los datos de la organización.
•El cumplimiento de las políticas es obligatorio y las políticas suelen ser aprobadas por el nivel más alto de la organización.
Algunas políticas de seguridad comunes: política de uso aceptable, política de control de acceso, política de gestión de cambios, política de acceso remoto, política de recuperación ante desastres.
1.7.1.2 Normas de seguridad (Normas)
Los estándares de seguridad especifican los detalles específicos de los controles de seguridad que una organización debe seguir, como los protocolos de cifrado aprobados por la organización, dónde se almacenan los datos, los parámetros de configuración y otros detalles técnicos y operativos. Cuando se trata de estándares de configuración complejos, a menudo se recurre a los estándares de la industria, como la Guía de configuración de seguridad proporcionada por el Centro para la seguridad de Internet.
El cumplimiento de las normas de seguridad es obligatorio. La línea base de seguridad está relacionada con los estándares, que establecen un nivel de seguridad mínimo para un sistema, red o dispositivo. Si no se cumplen los requisitos básicos, no puede conectarse.
1.7.1.3 Procedimientos de seguridad (Procedimientos)
Los procedimientos de seguridad son instrucciones paso a paso que los empleados pueden seguir al realizar tareas de seguridad específicas.
1.7.1.4 Pautas de seguridad (Pautas)
Las guías son lugares donde los profesionales de seguridad brindan asesoramiento a otros miembros de la organización, incluidas las mejores prácticas para la seguridad de la información. El cumplimiento de las directrices de seguridad es opcional.
1.8 Identificar, analizar y priorizar los requisitos de continuidad del negocio (BC)
1.8.1. Análisis de Impacto Empresarial (BIA)
El análisis de impacto empresarial ayuda a una organización a identificar sus funciones comerciales esenciales, utilizando evaluaciones de riesgos cuantitativas o cualitativas, y a comprender el impacto de un desastre en cada función. El análisis de impacto empresarial proporciona la base principal para el plan de continuidad del negocio (BCP) y sus requisitos.
BlA ayuda a una organización a determinar cuáles de sus funciones comerciales son más resilientes y cuáles son más vulnerables.
1.8.1.1 Proceso:
1. Comience por establecer el equipo, el alcance y el presupuesto de su proyecto en BC.
2. Identificar las bases comerciales críticas (CBF) y otros elementos comerciales esenciales, incluidos
personal
Procesos de negocio
Sistemas de información y aplicaciones
Otros activos
3. Realizar análisis de riesgos en negocios clave:
Identificar cualquier vulnerabilidad que exista.
•Potencial de eventos adversos
nivel de influencia
1.8.1.2 Métodos para determinar el grado de impacto
1. El tiempo de inactividad máximo tolerable (MTD) o el tiempo de inactividad máximo aceptable (MAO) representa el período total de tiempo que las funciones comerciales críticas no están disponibles. El MTD debe ser determinado por el propietario del sistema, quien tiene la responsabilidad final del correcto funcionamiento del CBF de la organización.
2. El objetivo de tiempo de recuperación (RTO) es el período máximo de tiempo que las empresas críticas deben reanudarse después de una interrupción para evitar consecuencias comerciales inaceptables. RTO debe ser menor o igual que MTD.
3. El objetivo de punto de recuperación (RPO) es una medida de la pérdida de datos tolerable, expresada en períodos de tiempo.
1.8.2 Desarrollar y documentar el alcance y el plan.
1.8.2.1 Plan de Continuidad del Negocio (BCP)
Un plan de continuidad del negocio está diseñado para proteger las funciones comerciales y los clientes críticos de una organización y garantizar que la organización pueda continuar operando de manera efectiva dentro de niveles de servicio y períodos de tiempo específicos para cumplir con los requisitos legales y regulatorios, así como con el conjunto de MTD, RTO y RPO. por la organización.
Fase BCP del Plan de Continuidad del Negocio
Alcance y plan del proyecto
análisis organizacional
Identificar departamentos y personas interesadas en el proceso de BCP.
Departamento de operaciones responsable de entregar el negocio principal a los clientes.
Servicios de soporte clave, como personal de TI, instalaciones y mantenimiento, y otros equipos.
Equipo de seguridad corporativa responsable de la seguridad física.
Altos directivos y personas importantes para las operaciones en curso de la organización.
Este análisis es la base para seleccionar el equipo de BCP y, después de la confirmación por parte del equipo de BCP, se utiliza para guiar las etapas posteriores del desarrollo de BCP.
Elija un equipo BCP
Los expertos técnicos del departamento, personal de seguridad física y TI con habilidades en BCP, representantes legales familiarizados con las responsabilidades legales, regulatorias y contractuales de la empresa, y representantes de la alta dirección. Otros miembros del equipo dependen de la estructura y naturaleza de la organización.
Requerimientos de recursos
Requisitos legales y reglamentarios
Análisis de Impacto del Negocio
BIA es la parte central de BCP y se divide en 5 pasos
priorizar
Lista de prioridades de funciones comerciales
Determinar MTD, tiempo máximo de interrupción permitido
Determinar RTO, RTO<MTD
Objetivo del punto de recuperación, RPO
Identificación de riesgo
Evaluación de posibilidades
Determinar el ARO para cada riesgo.
Análisis de impacto
Priorización de recursos
plan de continuidad
desarrollo de estrategias
Preparación y procesamiento
personal
Edificio/Instalación
infraestructura
Aprobación e implementación del plan.
aprobación del plan
Implementación del plan
entrenamiento y educación
documentación del BCP
1.8.2.2 Alcance general del BCP
Aunque no existe un estándar BCP universal, la mayoría de los planes suelen incluir lo siguiente:
funciones comerciales críticas
Amenazas, Vulnerabilidades y Riesgos
Plan de copia de seguridad y recuperación de datos.
Personal relacionado con FBCP
Plan de comunicación
Requisitos de prueba BCP
1.8.2.3 Requisitos y técnicas para proteger personas, procesos y tecnología
1. Personal:
Garantizar la seguridad de las personas dentro y fuera de la organización durante emergencias es el objetivo principal de BCP. Proporcionar formación y educación adecuadas para que los empleados sepan cómo actuar en caso de emergencia.
2 •Proceso:
Evaluar funciones comerciales críticas y determinar los recursos necesarios en caso de un desastre. Desarrollar planes de sitios de respaldo para instalaciones y capacidades de procesamiento de datos críticos para garantizar operaciones continuas.
3. Tecnología:
Anticipar fallas de software y hardware y desarrollar controles para reducir el riesgo. Implementar respaldo de datos y sistemas redundantes, incluyendo infraestructura como energía, agua, comunicaciones y conectividad de redes.
1.9 Promover y hacer cumplir políticas y procedimientos de seguridad del personal
1.9.1 Selección y reclutamiento de candidatos
Los empleados pueden ser el eslabón más vulnerable de la cadena de seguridad. Es importante tener en cuenta que no todos los empleados darán prioridad a los mejores intereses de la organización. Los ataques internos suelen provocar violaciones de seguridad muy dañinas. Por lo tanto, la seguridad del personal debe ser una base importante de un plan de ciberseguridad:
•Los gerentes de contratación deben trabajar con Recursos Humanos para documentar de manera clara y precisa las responsabilidades y descripciones del trabajo.
•Determinar la sensibilidad o clasificación de roles para asignar los permisos adecuados.
1.9.1.1 Verificación de antecedentes
Antecedentes educacionales
Experiencia laboral
-ciudadanía
-Antecedentes penales
prueba de drogas
Calificación
Historial crediticio y financiero
actividad en las redes sociales
Nota: Las empresas extranjeras generalmente no prestan atención a los exámenes físicos (exámenes de salud físicos ordinarios)
1.9.2. Acuerdos y políticas laborales
1.9.2.1 Acuerdo de Confidencialidad y Acuerdo Competitivo
Los acuerdos de empleados más comunes son los acuerdos de confidencialidad (NDA) y los acuerdos de no competencia (NCA).
1• Acuerdo de confidencialidad (NDA)
es un acuerdo que limita la divulgación de información confidencial obtenida por un empleado o contratista (u otra persona que pueda estar expuesta a información confidencial) en el curso de su empleo o relación con una organización. Un acuerdo de confidencialidad está diseñado para mantener la confidencialidad de los datos de la organización (como secretos comerciales o información del cliente) y suele ser un acuerdo de por vida (incluso después de que el empleado deja la empresa).
2 • Acuerdo de No Competencia (NCA)
Es una competencia desleal que restringe a un empleado de competir directamente con una organización mientras está empleado y, en la mayoría de los casos, durante un cierto período de tiempo después de dejar la empresa. Acuerdos en competencia. Una no competencia es un acuerdo unidireccional diseñado para proteger a una organización de ex empleados o contratistas.
1.9.2.2 Requisitos organizativos
Además de los NDA y NCA, es posible que se solicite a los empleados que firmen otros requisitos de la organización, como una política de uso aceptable (AUP), un código de conducta o una política de conflicto de intereses.
1.9.2.3 Incorporación: acuerdos y estrategias laborales
Después de unirse a la empresa, primero debe firmar un contrato de trabajo. Dependiendo del puesto, es posible que deba firmar un acuerdo de confidencialidad (NDA) y un acuerdo de no competencia (NCA). Los derechos de acceso al sistema se asignan de acuerdo con los requisitos del empleado. posición. Luego, brindar capacitación a los empleados, incluyendo cultura organizacional, estrategias, procesos, habilidades, etc.
1.9.2.4 Supervisión de empleados
Los gerentes deben revisar o evaluar periódicamente la descripción del trabajo, las tareas, las autoridades y las responsabilidades de cada empleado en todo el puesto de un empleado para garantizar que aún cumplan con los requisitos del puesto.
• Deslizamiento de privilegios (derivación de privilegios): a medida que aumenta el contenido del trabajo de los empleados, pueden obtener permisos que exceden los requisitos del puesto.
•Vacaciones obligatorias: Exige que los empleados estén ausentes de sus trabajos durante 1 a 2 semanas y sean reemplazados por otros empleados para detectar abuso, fraude o negligencia.
•Colusión: Reducir la probabilidad de que los empleados estén dispuestos a cooperar en un esquema ilegal o abusivo a través de medidas como segregación de funciones, licencia forzada, rotación laboral y capacitación cruzada debido al mayor riesgo de detección.
•User and Entity Behavior Analytics (UEBA): Análisis de usuarios y entidades para ayudar a optimizar los planes de gestión de personas.
1.9.2.5 Proceso de renuncia, transferencia de trabajo y cese
Cuando los empleados renuncian, deben prestar atención a los siguientes puntos:
•Deshabilitar, pero no eliminar, la cuenta de usuario de un empleado al mismo tiempo o antes de que el empleado reciba una notificación de despido para fines de auditoría.
•Énfasis en las responsabilidades de NDA y NCA durante las entrevistas de salida.
. Asegúrese de que los empleados devuelvan los activos de la empresa, incluidos, entre otros, llaves, tarjetas de acceso, teléfonos móviles, computadoras, etc.
•Asignar personal de seguridad para acompañar a los empleados en las áreas de trabajo para el reciclaje de efectos personales.
•Notificar a todo el personal relevante sobre la salida del empleado.
1.9.2.6 Acuerdos y controles de proveedores, consultores y contratistas
Acuerdos y controles de proveedores, consultores y contratistas El riesgo multipartito existe cuando varias entidades u organizaciones participan en un proyecto. El acuerdo de nivel de servicio (SLA) garantiza que el nivel de producto o servicio del proveedor cumpla con las expectativas. Si no cumple con las expectativas, habrá una compensación para garantizar la calidad del servicio. A los proveedores, consultores y contratistas a veces se les denomina subcontratación. Las organizaciones también pueden mejorar la eficiencia de la gestión de la subcontratación a través de un sistema de gestión de proveedores (VMS).
1.9.2.7 Requisitos de la política de cumplimiento
La gestión de la seguridad del personal debe cumplir con requisitos legales y reglamentarios, como PCI DSS.
1.9.2.8 Requisitos de la política de privacidad
La gestión de la seguridad del personal también debe cumplir con los requisitos de las políticas de privacidad, como el RGPD.
1.9.3. Procedimientos de personal, traslado de puesto y renuncia
El reclutamiento, el traslado y la separación son las tres etapas del empleo, y cada etapa tiene sus propias consideraciones de seguridad.
1.9.3.1 Formación de incorporación
Recuerde a los empleados su obligación de proteger la información y protegerse contra amenazas, y deben ser conscientes de que sus acciones pueden ser examinadas.
1.9.3.2 Transferencia de trabajo
Elimine los derechos de acceso que ya no sean necesarios al reasignar y siga el principio de privilegio mínimo.
1.9.3.3 Renuncia
La renuncia se divide en voluntaria e involuntaria. Cuando un empleado se marcha en buenos términos, basta con pasar por el proceso de separación de la organización.
Si la separación es involuntaria, se deben tomar las acciones apropiadas para proteger los activos de la organización.
•Entrevista de salida, recordatorio de NDA firmado y otros acuerdos relevantes.
•Cerrar el acceso al sistema mientras se notifica a los empleados sobre el despido y se realizan verificaciones de la lista de verificación de separación.
• Informar a los empleados restantes que el empleado despedido ya no podrá ingresar a la organización.
La lista de verificación de separación incluye: revocar derechos de acceso, recuperar llaves, credenciales, equipos y documentos.
1.9.4 Acuerdos y controles de proveedores, consultores y contratistas
Las organizaciones a menudo subcontratan funciones como el alojamiento del centro de datos y el desarrollo de aplicaciones. La firma de acuerdos de confidencialidad y otros acuerdos con estas organizaciones de subcontratación o asociadas pueden aumentar su carga de cumplimiento y tratar de evitar que terceros provoquen la filtración de información confidencial. A continuación se presentan algunas sugerencias de medidas de seguridad:
-Implementar control de acceso.
Revisión oral del intercambio de documentos.
Administrar y monitorear los ganchos de mantenimiento (puertas traseras)
Realizar una evaluación in situ
Revisar procesos y políticas.
Desarrollar un acuerdo de nivel de servicio
19.5.2 Formación en políticas y castigo
•Capacitación de los empleados: Proporcionar capacitación inicial y recurrente a los empleados y otro personal relevante para garantizar el cumplimiento de la política.
•Conciencia de Seguridad: Mejorar la atención y comprensión de la seguridad de la información.
•Capacitación relacionada con el puesto: Proporcionar capacitación específica basada en los requisitos laborales de los empleados.
•Dejar claras las consecuencias de la política: Indique en la política las posibles consecuencias del incumplimiento, como medidas disciplinarias, suspensión o despido.
1.9.5. Cumplir con los requisitos de la política.
1.9.5.1 Requisitos de política organizacional
•Cumplimiento de leyes y regulaciones: Garantiza que las políticas organizacionales cumplan con las leyes, regulaciones y otras obligaciones legales aplicables.
•Coherencia de la política: Los requisitos, controles y procedimientos de la organización deben ser consistentes con la política.
1.9.6. Requisitos de la política de privacidad
Las organizaciones deben cumplir con las responsabilidades legales y éticas para proteger la privacidad de sus empleados cuando manejan información confidencial. Esta información puede incluir verificaciones de antecedentes, números de Seguro Social (números de identificación), información salarial e información de salud. Para asegurar la información
Por seguridad, las organizaciones deben cubrir los siguientes principios en su política de privacidad:
•Principio de minimización: Recopilar únicamente la información necesaria para completar el proceso legítimo de empleo.
•Acceso Restringido: Proporcionar acceso sólo a quienes necesitan conocer dicha información.
•Utilice cifrado: utilice tecnología de cifrado tanto como sea posible para evitar que la información se lea a través de canales anormales.
1.10 Comprender y aplicar conceptos de gestión de riesgos
1. 10.1 Identificar amenazas y vulnerabilidades
El riesgo es la probabilidad de que una amenaza potencial aproveche una vulnerabilidad para impactar negativamente a una organización, objetivos o activos, incluidas personas, sistemas y datos.
1.10.1.1 Clasificación de riesgos
•Los riesgos inherentes son aquellos que existen antes de que se implemente cualquier medida de control.
•El riesgo residual es el nivel de riesgo que permanece después de que se implementan los controles.
1.10.1.2 Amenaza:
Una persona o entidad que puede, intencionalmente o no, violar la seguridad de un activo, como un pirata informático, un empleado descontento o un desastre natural.
1.10.1.3 Vulnerabilidades
Las debilidades o vulnerabilidades del sistema pueden crear riesgos si son explotadas por actores de amenazas.
1.10.1.4 Activos
Un activo es cualquier cosa de valor, que puede incluir personas, propiedades e información.
1.10.2.Evaluación y análisis de riesgos
1.10.2.1 Definición de evaluación de riesgos
El riesgo es la intersección entre amenazas, vulnerabilidades y activos. La evaluación de riesgos es una serie de actividades que incluyen la identificación de amenazas y vulnerabilidades potenciales y la determinación del impacto y la probabilidad de que esas amenazas exploten las vulnerabilidades identificadas.
1.10.2.2 Pasos para evaluar el riesgo:
1. Identificación de riesgos: identificación de activos y su valor para la organización.
2. Análisis de riesgos: determinar la probabilidad de que una amenaza aproveche una vulnerabilidad
3. Evaluación de riesgos: determinar el impacto comercial de estas amenazas potenciales
4. Tratamiento de riesgos: Proporcionar un equilibrio económico entre el impacto de la amenaza y el costo de las contramedidas.
1.10.2.3 Identificación de riesgos
Comienza identificando los activos de la organización y determinando el valor de esos activos, luego identificando y describiendo las vulnerabilidades y amenazas que plantean riesgos para los activos.
1.10.2.4 Análisis de riesgos
El análisis de riesgos comienza con la evaluación de la vulnerabilidad y el análisis de las amenazas, calculando la probabilidad de que ocurran los riesgos y clasificándolos según su impacto.
1.10.2.4.1 Análisis cualitativo de riesgos
En muchos casos, el valor no se puede cuantificar, como la reputación de la organización y el valor de los datos, por lo que solo puedo decidir según mi cerebro. Los contenidos como el valor de los activos y el nivel de riesgo se identifican por niveles, como alto, sistema medio, bajo, 0-10, cien puntos, etc.
Las técnicas de análisis de riesgos cualitativos incluyen: lluvia de ideas, guiones gráficos, grupos focales, encuestas, cuestionarios, entrevistas, escenarios y técnicas Delphi.
1.10.2.4.2 Análisis cuantitativo de riesgos
Los principales procesos de análisis cuantitativo de riesgos:
•Inventariar activos, asignar valor (AV)
• Relacionar activos con amenazas
•Calcule el factor de exposición (EF) para cada par de activo-amenaza, que es el porcentaje de pérdida que sufriría un activo si una amenaza específica lo violara.
• Calcule la expectativa de pérdida única (SLE) para cada par de amenazas de activos, que es la cantidad de dinero perdida por una amenaza específica una vez que destruye el activo (SLE=AV*EF)
•Calcular la tasa anualizada de ocurrencia (ARO) para cada amenaza. Es decir, la probabilidad de que ocurra una amenaza específica a un activo dentro de un año.
• Calcular la Expectativa de Pérdida Anualizada (ALE) para cada par activo-amenaza, es decir, el daño al activo dentro de un año por una amenaza específica
Dinero perdido (ALE=SLE*ARO)
•Desarrollar posibles contramedidas para cada par de amenazas de activos y calcular los cambios en el costo anualizado de protección (ACS), ARO, EF y ALE.
•Realizar una evaluación costo/beneficio de cada contramedida. Seleccione la respuesta más adecuada para cada amenaza, es decir, ALE_per-ALE_post-ACS, con el resultado de que las medidas de protección regulares tienen valor y las medidas de protección responsables no tienen valor.
1.10.3. Respuesta al riesgo
Hay cuatro categorías principales de tratamiento de riesgos:
1.10.3.1 Evitación de riesgos (Evitar)
Eliminar los riesgos identificados deteniendo o eliminando las actividades o tecnologías que contribuyen a los riesgos.
1.10.3.2 Mitigación de riesgos (mitigar)
Reducir el daño que los riesgos pueden causar mediante la implementación de políticas y medidas técnicas.
1.10.3.3 Transferencia de Riesgo (Transfer)
También llamada asignación de riesgos (Risk Assignmen0), la responsabilidad y las pérdidas potenciales relacionadas con los riesgos se transfieren a un tercero.
Manera común: comprar un seguro.
1.10.3.4 Aceptación del Riesgo (Aceptar)
Aceptar un riesgo se convierte en una opción cuando el costo de evitarlo, mitigarlo o transferirlo excede las pérdidas esperadas por la amenaza realizada.
1.10.4. Selección e implementación de contramedidas.
1.10.4.1 Consideraciones de contramedidas:
•Relacionados con el personal:
La contratación (o despido), la reestructuración organizacional y la capacitación en concientización son algunas respuestas comunes relacionadas con la gente. Verificaciones de antecedentes, prácticas laborales, concientización y capacitación en materia de seguridad, etc.
•Relacionados con la gestión
Las políticas, procedimientos y otras medidas de mitigación “basadas en el flujo de trabajo” generalmente entran en esta categoría. Cantidad, procedimientos, clasificación y etiquetado de datos, informes y revisión, supervisión de obra.
•Relacionados con la tecnología:
Cifrado, cambios de configuración y otros cambios de hardware o software, etc. Métodos de autenticación, cifrado, interfaces restringidas, listas de control de acceso, protocolos, firewalls, enrutadores, sistemas de detección de intrusos y niveles de poda.
•Relacionados con la física:
Guardias, Barreras Nacionales, Detectores de Movimiento, Puertas Cerradas, Ventanas Selladas, Iluminación, Protección de Cables, Cerraduras para Computadoras Portátiles, Insignias, Tarjetas Magnéticas, Perros, Cámaras, Vestíbulo de Control de Acceso y Alarmas.
1.10.42 Efectividad de las contramedidas
Examinar las percepciones desde las perspectivas de prevención, detección y corrección para asegurar la efectividad de las contramedidas de riesgos. Por ejemplo, si el cifrado no puede resolver un riesgo específico, pruebe con otro enfoque, como considerar la posibilidad de realizar una copia de seguridad.
1.10.4.3 Rentabilidad de las contramedidas
Asegúrese de que el costo de las medidas de seguridad sea proporcional al valor de los activos que se protegen.
1.10.4.4 Impacto empresarial
Considere si la implementación y el uso de contramedidas es demasiado difícil para evitar riesgos crecientes debido a un uso incorrecto.
1.10.5. Tipos de control aplicables
1.10.5.1 Tipo de control
•Prevención: Evite que ocurran incidentes, como firewalls, copias de seguridad del sistema, IPS.
•Detección: Identifique la actividad de eventos y posibles intrusos, como 1DS.
•Corrección: Reparar un componente o sistema después de que ocurre un incidente, como parchear.
•Amenazas: Disuadir a posibles atacantes, como vallas, perros policía.
•Recuperación: Devolver el entorno al estado operativo normal, como copias de seguridad del sistema y de los datos, sitios de recuperación ante desastres.
•Compensación: Proporcionar medidas de control alternativas.
1.10.6. Evaluación del control (seguridad y privacidad)
Las organizaciones deben realizar evaluaciones de control de seguridad (SCA) periódicas para garantizar que los controles de seguridad y privacidad sigan siendo efectivos.
SCA puede utilizar una autoevaluación o una evaluación externa realizada por un tercero.
1.10.6.1 Método de evaluación SCA
•Inspección: El evaluador generalmente requiere que la organización proporcione una lista de políticas de seguridad, archivos de configuración, etc. para su revisión, revisión, observación, investigación o análisis, y para formarse una opinión preliminar.
•Entrevistas: Los evaluadores se reúnen con partes interesadas clave para aprender más sobre los controles de seguridad existentes y cómo operan.
. Pruebas: las pruebas confirman que los controles de seguridad se implementan según lo documentado, son efectivos y funcionan como se espera.
1.10.7. Seguimiento y medición
•Los controles de seguridad deben ser monitoreados y cuantificados continuamente para medir su efectividad y brindar sugerencias de mejora.
- Se debe desarrollar un conjunto de indicadores clave de desempeño (KPI) para cuantificar y controlar el desempeño a largo plazo.
1.10.8.
Cree informes formales para informar hallazgos o indicadores clave a ejecutivos, reguladores y otras partes interesadas detallando los resultados de cada control evaluado. Los informes pueden incluir lo siguiente:
Auditoría interna (por ejemplo, autoevaluación)
•Auditorías externas (por ejemplo, reguladores u otras auditorías de terceros)
•Cambios significativos en el perfil de riesgo de la organización.
•Cambios importantes en los controles de seguridad o privacidad.
•Infracciones de seguridad relacionadas o confirmadas (u otros incidentes)
1.10.9. Mejora continua
A medida que cambian las amenazas y vulnerabilidades, el programa de seguridad debe mantener una mejora continua, reforzar los controles y mejorar la postura general de seguridad de la información de la organización. La gestión de riesgos empresariales (ERM) se puede evaluar utilizando el modelo de madurez de riesgos (RMM) para evaluar un proceso de gestión de riesgos maduro, sostenible y repetible.
1.10.9.1 Modelo de Madurez de Riesgos (RMM)
Suele contener cinco niveles:
. Ad hoc: Uso de prácticas ad hoc con mal control.
•Preliminar: Intente seguir el proceso de gestión de riesgos, pero cada departamento puede realizar evaluaciones de riesgos de forma independiente.
•Definido: Adoptar un marco de riesgos común o estandarizado en toda la organización.
•Integrado: Las operaciones de gestión de riesgos están integradas en los procesos de negocio, utilizando métricas para recopilar datos de efectividad y tratando el riesgo como un elemento de las decisiones comerciales estratégicas.
•Optimizado: centrarse en la gestión de riesgos para lograr objetivos, no sólo para responder a amenazas externas; aumentar la planificación estratégica para lograr el éxito empresarial, no sólo para evitar accidentes: incorporar las lecciones aprendidas en el proceso de gestión de riesgos.
1.10.10.Marco de Riesgos
1.10.10.1 Marco de gestión de riesgos del NIST
Las seis etapas del Marco de Gestión de Riesgos (RMF) en NIST800-37Rev.2:
•Clasificar por categorías:
Clasificar todos los sistemas de información en función de su impacto potencial en la organización en términos de confidencialidad, integridad y disponibilidad.
Seleccionar:
Seleccione un conjunto básico de controles según la clasificación y el impacto.
•Implementar
Implementar controles seleccionados.
•Evaluar:
Evaluar si los controles se implementan correctamente, operan según lo planeado y producen los resultados esperados de seguridad requeridos.
•Autorizar:
Después de la evaluación, el liderazgo organizacional decide si autoriza el uso del sistema, basándose en la capacidad de los controles para operar el sistema dentro de la tolerancia al riesgo y la aceptación del riesgo residual.
•Monitor:
Monitorear continuamente la efectividad de los controles para garantizar que el sistema opere dentro de la tolerancia al riesgo de la organización. Si se descubren problemas importantes, el ciclo puede comenzar de nuevo desde el paso uno.
1.11. Comprender y aplicar conceptos y metodologías de modelado de amenazas.
1.11.1. Modelado de amenazas
1.11.1.1 Métodos de modelado de amenazas
Cuanto antes se realice el modelado de amenazas, más rentable será. Generalmente de los siguientes tres aspectos.
• Centrado en el atacante
Determine las características, las habilidades y las motivaciones de los atacantes potenciales, e identifique a los atacantes que puedan llevar a cabo ataques específicos. Desarrollar una estrategia de defensa.
•Centrado en activos:
Identifique activos de valor para la organización y atacantes potenciales, y evalúe cómo los atacantes podrían comprometer los activos.
•Centrado en software:
Utilice diagramas arquitectónicos (como diagramas de flujo de datos o diagramas de composición) para representar el sistema, evaluar posibles ataques contra cada componente y determinar la necesidad, presencia y eficacia de los controles de seguridad.
1.11.1.2 Marco de modelado de amenazas
1.
zancada (Microsoft)
2.
PASTA (Proceso de simulación de ataques y análisis de amenazas)
3.
NIST 800-154 (Directrices para el modelado de amenazas de sistemas centrados en datos)
4. DREAD (clasificación de riesgos cuantitativos y obsoletos de vulnerabilidades por daños, replicabilidad, explotabilidad, usuarios afectados, descubribilidad)
5. Otros métodos de modelado de amenazas
•OCTAVE: Se enfoca en riesgo operacional, controles de seguridad y tecnología de seguridad en las organizaciones.
•Trike: es un método y herramienta de modelado de amenazas de código abierto que se centra en el uso de modelos de amenazas como herramientas de gestión de riesgos.
•CORAS: También de código abierto, se basa principalmente en el lenguaje de modelado unificado (UML) para visualizar las amenazas en el front-end.
•VAST: Modelado de amenazas visual, ágil y simple, un enfoque que aprovecha conceptos ágiles
1.11.1.3 Explicación detallada de STRIDE
•Falsificación de identidad
Un atacante obtiene acceso no autorizado haciéndose pasar por la identidad de otra persona para obtener acceso a una aplicación o sistema.
•Alteración de datos(Alteración de datos)
Un atacante intenta alterar o corromper datos en una aplicación o sistema para provocar resultados inesperados o maliciosos.
•Repudio
El atacante niega ciertas operaciones o transacciones realizadas en el sistema para evitar responsabilidades o causar disputas.
•Divulgación de información
Los atacantes pueden robar o acceder a información confidencial del sistema, incluidas contraseñas de usuario, información de tarjetas de crédito, secretos de la empresa y más.
•Negación de servicio
Los atacantes intentan impedir o ralentizar el acceso normal de los usuarios a un sistema haciéndolo no disponible o bloqueándose.
•Elevación de privilegios
Un atacante puede pasar de ser un usuario normal a administrador u otro usuario privilegiado explotando una aplicación o vulnerabilidad del sistema.
1.11.1.4 Explicación detallada de PASTA
PASTA es un enfoque basado en riesgos para el modelado de amenazas que combina objetivos comerciales con requisitos técnicos, haciendo que el resultado sea más comprensible para la alta dirección. A diferencia de STRIDE, el enfoque PASTA es estrictamente un marco de identificación de amenazas que proporciona un proceso poderoso para identificar y mitigar amenazas.
El proceso PASTA consta de las siguientes siete etapas:
1. Establecer metas
Los objetivos y necesidades comerciales se identifican para comprender mejor la tolerancia general al riesgo de la organización y los procesos y activos comerciales críticos que pueden estar en riesgo.
2. Determinar el alcance técnico
Se define el alcance de la tecnología y la arquitectura de la aplicación para comprender los sistemas y componentes que pueden ser vulnerables a un ataque.
3. Descomposición de la aplicación
Las aplicaciones se dividen en componentes más pequeños para comprender mejor la funcionalidad, el flujo de datos y la funcionalidad de cada componente.
4. Análisis de amenazas
y relaciones con otros componentes. Esto ayuda a identificar posibles rutas de ataque y amenazas potenciales. Analice las amenazas que pueden afectar a su organización, incluidas las amenazas internas y externas. Esto puede incluir la identificación de atacantes potenciales, sus motivaciones y capacidades, y posibles medios de ataque.
5. Análisis de vulnerabilidad
Realizar un análisis de vulnerabilidad del sistema para identificar posibles debilidades y vulnerabilidades de seguridad. Esto puede incluir revisiones de código, pruebas de penetración y otros métodos de evaluación de seguridad para encontrar y solucionar problemas de seguridad.
6. Enumeración de ataques
Según el análisis anterior, Lieyang podría atacar el sistema. Esto ayuda a comprender mejor los vectores de ataque y las rutas que los atacantes pueden aprovechar.
7. Análisis de riesgos e impactos
Evaluar el riesgo y el impacto de cada amenaza potencial para priorizar y desarrollar medidas de mitigación y políticas de seguridad adecuadas. Esto puede ayudar a las organizaciones a asignar recursos de manera efectiva y concentrarse en áreas de enfoque mientras mitiga el riesgo.
1.12 Aplicación de conceptos de gestión de riesgos de la cadena de suministro (SCRM)
1.12.1 Riesgos relacionados con hardware, software y servicios
Los proveedores desempeñan un papel fundamental en las operaciones de tecnología de la información de una organización. Son indispensables para los servicios de fábrica de los clientes al proporcionar hardware, software o servicios de computación en la nube. Los profesionales de seguridad deben prestar mucha atención a sus asociaciones comerciales con proveedores para proteger la confidencialidad, integridad y disponibilidad de la información y los sistemas de la organización. Este proceso, conocido como debida diligencia del proveedor, está diseñado para evitar problemas relacionados con la adquisición de hardware. software y riesgos relacionados con los servicios.
1.12.1.1 Posibles riesgos del hardware:
Imagen de piezas defectuosas o piezas que no cumplen con los estándares.
Piezas falsificadas o falsificadas
Imagen de un componente electrónico que contiene malware a nivel de firmware
1.12.1.2 Posibles riesgos del software:
Se implantó el caballo de Troya
Hay vulnerabilidades en la biblioteca de componentes utilizada.
1.12.1.3 Posibles riesgos en el servicio:
fuga de datos
1.12.2 Evaluación y seguimiento de terceros
Las actividades de gobernanza y supervisión deben incluir investigaciones de seguridad in situ, auditorías de seguridad formales de sistemas de terceros y pruebas de penetración cuando sea posible. Para los nuevos socios externos, es fundamental evaluarlos según los requisitos de seguridad de la organización, y las brechas deben documentarse y monitorearse de cerca.
1.12.3. Requisitos mínimos de seguridad
De manera similar a las líneas de base, las organizaciones deben establecer requisitos mínimos de seguridad (MSRS) para determinar los estándares de seguridad mínimos aceptables que deben cumplir los proveedores y otros participantes en la cadena de suministro.
MSRS cubrirá todos los requisitos legales, contractuales o reglamentarios aplicables. Al mismo tiempo, es fundamental auditar y evaluar el desempeño de terceros en el cumplimiento de las MSRS establecidas y comunicadas.
1.12.4. Requisitos del nivel de servicio.
Un Acuerdo de Nivel de Servicio (SLA) es un acuerdo contractual que estipula que un proveedor de servicios garantiza un cierto nivel de servicio, como por ejemplo:
Métricas de desempeño, disponibilidad del servicio, tiempos de respuesta y otros criterios de calidad relevantes. Si los servicios no se entregan a los niveles acordados, habrá consecuencias para el proveedor del servicio (generalmente financieras).
1.12.5. Marco
1.12.5.1 Marco para abordar los riesgos de la cadena de suministro:
1.NIST IR 7622
Este documento describe diez prácticas clave que deben considerarse al abordar los riesgos de la cadena de suministro.
2.ISO 28000
15028000.2007 se basa en gran medida en el modelo de mejora de procesos Planificar-Hacer-Verificar-Actuar (PDCA) para optimizar los sistemas de gestión de seguridad y garantizar el cumplimiento organizacional de las prácticas de seguridad.
3. Orientación del Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido
Dividido en 4 etapas (incluidos 12 principios)
•evaluar el riesgo
•Establecer controles
•Verifique los arreglos existentes
• seguir mejorando
1.13. Establecer y mantener un programa de concientización, educación y capacitación en materia de seguridad.
1.13.1 Proponer métodos y técnicas de sensibilización y formación.
Un programa de concientización sobre seguridad es un programa formal diseñado para educar a los usuarios para identificar y responder a amenazas potenciales a la información y los sistemas de una organización, que generalmente incluye capacitación para nuevos empleados, conferencias, capacitación asistida por computadora y materiales impresos, y a través de simulaciones de ingeniería social, seguridad. defensores y gamificación para aumentar la atención a cuestiones críticas de seguridad.
1.13.1.1 Ingeniería Social
La ingeniería social es una táctica de manipulación en la que un atacante se hace pasar por otra persona en un intento de obtener información confidencial.
El phishing es la forma más común de ingeniería social y una fuente importante de riesgos de seguridad.
1.13.1.2 Guardia de seguridad
Los defensores de la seguridad son defensores de las mejores prácticas de seguridad y estos son empleados que no hacen de la seguridad su trabajo principal.
1.13.1.3 Gamificación
La gamificación es la aplicación de elementos del juego a situaciones que no son de juego para involucrar y educar a un público objetivo.
1.13.2. Revisión periódica del contenido.
La seguridad de la información es un campo en evolución, con amenazas y vulnerabilidades que cambian constantemente. Por lo tanto, para garantizar que el contenido sea relevante, debe revisar y actualizar periódicamente el contenido de sus programas de concientización, educación y capacitación sobre seguridad. Se recomienda revisarlo y actualizarlo al menos una vez al año para evitar tecnología y terminología obsoletas o irrelevantes.
1.13.3. Evaluación de la efectividad del programa
1.13.3.1 Indicadores de formación
Como la tasa de finalización de la formación, el número de participantes y otros indicadores breves.
1.13.3.2 Prueba
Los cuestionarios son una forma eficaz de evaluar la eficacia de la formación.
1.13.3.3 Día de concientización sobre la seguridad
Los Días de Concientización sobre la Seguridad están diseñados para aumentar la concientización sobre la seguridad mientras se recopilan opiniones y sugerencias de los empleados sobre programas de seguridad a través de cuestionarios anónimos.
1.13.3.4 Evaluación Interna
Los métodos de evaluación incluyen recopilar aumentos o disminuciones en el número de incidentes de seguridad o incidentes sospechosos de phishing reportados después de la capacitación.
Ejercicios clave
Usted es responsable del programa de concientización sobre seguridad de su organización. Debido a la preocupación de que los cambios en la tecnología puedan hacer que el contenido quede obsoleto, ¿qué controles se pueden implementar para prevenir este riesgo? Una gamificación B Formación basada en ordenador revisión de contenido C D Implementar la capacitación
Respuesta correcta: C. Libro de texto Volumen 1 P76 Evaluación de eficacia
Froneme es un experto en seguridad para un proveedor de servicios en línea estadounidense. Recientemente recibió quejas de propietarios de derechos de autor que habían almacenado información en su servicio que infringía derechos de autor de terceros. ¿Qué ley dicta la acción que debe tomar Francine? A. Ley de derechos de autor B. Ley de Lamb C. Ley de Derecho de Autor del Milenio Digital D. Ley Gramm-Leach-Bulley
Respuesta correcta: C. P115 Ley de derechos de autor y derechos de autor del milenio digital, es necesario recordar el nombre detallado de cada ley
Solo una pregunta por el momento
FyAway Travel tiene oficinas en la Unión Europea (UE) y Estados Unidos y frecuentemente transfiere información personal entre estas oficinas. Recientemente recibieron una solicitud de un cliente de la UE para cancelar su cuenta. ¿Qué requisito para el procesamiento de información personal según el Reglamento General de Protección de Datos (GDPR) establece que un individuo puede solicitar que sus datos ya no se difundan ni procesen? A. Derechos de acceso B. Privacidad por diseño C. Derecho al olvido D. Derecho a la portabilidad de los datos
Respuesta correcta: C. no encontró
Remee está en la sala de juntas: explicando su responsabilidad de revisar los controles de ciberseguridad, cuya regla responsabiliza personalmente a los altos ejecutivos por los asuntos de seguridad de la información. A. Reglas de diligencia debida B.Reglas de responsabilidad personal C.Regla del hombre prudente D. Reglas del debido proceso
Respuesta correcta: C. no encontró La regla del hombre prudente responsabiliza a los altos directivos de garantizar que se mantenga la atención adecuada en su trabajo diario.
Zhang San ayudó recientemente a un colega a prepararse para el examen CISSP. Durante el proceso, Zhang San filtró información confidencial sobre el examen, violando el Artículo 4 de las Normas Éticas: Promoción y Protección de la Profesión. ¿Quién puede presentar cargos de ética contra Zhang San? R Cualquiera puede presentar cargos. B Cualquier profesional que posea una certificación o licencia puede presentar una denuncia. C Sólo el empleador de Zhang San puede presentar cargos. D Sólo el empleado afectado puede presentar una devolución.
Respuesta correcta: B no encontró
Yolanda es la directora de privacidad de una institución financiera y está investigando los requisitos públicos y privados relacionados con las cuentas corrientes de los clientes. ¿Cuál de las siguientes leyes es más probable que se aplique a esta situación? Ley AGLBA B. Ley SOX Ley C.HIPAA Ley D.FERPA
Respuesta correcta: A no encontró La regla del hombre prudente responsabiliza a los altos directivos de garantizar que se mantenga la atención adecuada en su trabajo diario.
¿Qué tecnologías es más probable que se exporten para activar leyes y regulaciones de control de exportaciones? Un chip de memoria B. Aplicaciones de producción de oficina disco duro C software de cifrado D
Respuesta correcta:D P119
Después de completar sus esfuerzos de planificación de la continuidad del negocio y decidir aceptar uno de los riesgos, a continuación debe informar ¿Qué? A Implementar nuevos controles de seguridad para reducir los niveles de riesgo. B Diseñar un plan de recuperación ante desastres. C. Volver a realizar la evaluación de impacto empresarial. D Documente su proceso de toma de decisiones.
Respuesta correcta:D
Al realizar una revisión de los controles utilizados por las instalaciones de almacenamiento de medios de su organización, desea categorizar adecuadamente cada control que existe actualmente. ¿Cuál de las siguientes categorías de control describe con precisión el cercado alrededor de una instalación? (Seleccione todas las que correspondan.) A. Control físico B.Control de detección C. Control de disuasión D. Control preventivo
Respuesta correcta: ACD
¿Cuál de los siguientes principios impone a las personas un nivel de atención acorde con el que una persona razonable esperaría en circunstancias particulares? A. Debida diligencia B. Segregación de funciones C.Debido cuidado D. Mínimo privilegio
Respuesta correcta: C.
Kelly cree que un empleado utilizó recursos informáticos para un proyecto paralelo sin autorización. con gerencia ¿Qué? Tras consultas, decidió iniciar una investigación administrativa. La carga de la prueba que debe cumplir en esta investigación es A. Preponderancia de las pruebas B.Más allá de toda duda razonable C. Sin duda D. No existe un estándar
Respuesta correcta:D La investigación administrativa no es derecho civil, penal o administrativo, por lo que no existen estándares.
Keenan Systems desarrolló recientemente un nuevo proceso de fabricación de microprocesadores. La empresa espera otorgar licencias de la tecnología a otras empresas, pero quiere evitar el uso no autorizado de la tecnología. ¿Qué tipo de protección de la propiedad intelectual es más adecuada para esta situación fiscal? Una patente B. Secretos comerciales C.Derechos de autor D.Marca registrada
Respuesta correcta: A
Wike implementó recientemente un sistema de prevención de intrusiones que ha tenido un impacto en la prevención de ciberataques comunes a su organización. ¿Qué tipo de estrategia de gestión de riesgos está siguiendo Mike? A. Aceptación del riesgo B.Evitación de riesgos C.Mitigación de riesgos D. Transferencia de riesgos
C
Carl es un agente federal que investiga un delito informático. Identificó a un atacante que estaba incurriendo en una conducta ilegal y quería presentar un caso contra el individuo que podría conducir a una pena de prisión. ¿Qué estándar de prueba debe cumplir Carl? R. Sin duda B. Preponderancia de la prueba C.Más allá de toda duda razonable D.Preponderancia de la prueba
C
Las siguientes organizaciones que realizan transacciones electrónicas no están sujetas automáticamente a los requisitos de privacidad y seguridad de HIPAA: Un proveedor de atención médica B Desarrollador de aplicaciones de salud y fitness C Centro de intercambio de información de salud plan de seguro médico D
B Requiere hospitales, médicos, compañías de seguros y otras organizaciones que procesen o almacenen información médica privada. Sin desarrolladores de programas
Acme Bridges está desarrollando nuevos controles para su departamento de contabilidad. A la gerencia le preocupaba que una firma de contabilidad corrupta pudiera crear un proveedor falso y emitirle un cheque como pago por servicios no realizados. ¿Qué control de seguridad ayudaría mejor a evitar que esto suceda? A. Licencia obligatoria B. Segregación de funciones C. Defensa en profundidad D. Rotación de puestos
A P35
¿Cuál de las siguientes personas suele ser responsable de realizar las responsabilidades operativas de protección de datos delegadas por la alta dirección, como verificar la integridad de los datos, realizar pruebas de preparación y gestionar políticas de seguridad? A. Responsable de los datos B. Propietario de los datos C.Usuario D. auditor
A P157
Alan trabaja para una empresa de comercio electrónico y recientemente le robaron contenido de otro sitio web y lo volvieron a publicar sin permiso. El tipo de protección de la propiedad intelectual de tipo polisemilla es la mejor manera de proteger los ingresos de la empresa de Alen. A. Secretos comerciales B. Derechos de autor C.Marca registrada D.Patente
B
Tom ha habilitado un firewall de aplicaciones de su proveedor de servicios de infraestructura en la nube, que está diseñado para evitar muchos tipos de ataques a aplicaciones. Desde una perspectiva de gestión de riesgos, ¿qué métrica intenta reducir Tom con esta contramedida? A.Influencia B. RPO C. OTM D. Posibilidad
D
Beth, una especialista en recursos humanos, se está preparando para ayudar a despedir a un empleado. Aquí hay algunas cosas que normalmente no forman parte del proceso de despido: Una entrevista de salida B Recuperación de propiedad Terminación de cuenta C D Firmar un NCA (acuerdo de no competencia)
D
Un contable de Doolittle Industries fue arrestado recientemente por su papel en un plan de malversación de fondos. El empleado transfirió fondos de guerra a su cuenta personal y luego transfirió fondos entre otras cuentas todos los días para encubrir el fraude digital durante varios meses. ¿Cuál de los siguientes controles podría detectar mejor este fraude por adelantado? Una segregación de funciones B. Mínimo privilegio C profundidad defensiva D licencia obligatoria
D
¿Quién en una organización debería recibir capacitación inicial en planificación de la continuidad del negocio? A. Alto Ejecutivo B. Personal en funciones específicas de continuidad del negocio C. Todos en la organización D. Personal de primeros auxilios
C
James está realizando una evaluación de riesgos para su organización y está intentando asignar un valor de activo a los servidores del centro de datos. La principal preocupación de una organización es garantizar que haya fondos suficientes disponibles para la reconstrucción en caso de que un centro de datos resulte dañado o destruido. ¿Cuál de los siguientes métodos de valoración de activos sería el más apropiado en esta situación? A. Costo de compra B. Costo de depreciación C. Costo de reposición D. costo de oportunidad
C
La organización de Roger sufrió una violación de los registros de tarjetas de crédito de los clientes. ¿Cuál de las siguientes organizaciones podría optar por investigar este asunto según los términos del PCIDSS? A. Oficina Federal de Investigaciones (FBI) B. Agencias locales de aplicación de la ley banco C D PCI SSC
C
John invitó a empleados clave de cada unidad de negocios a ayudar con su programa de concientización sobre seguridad. Son responsables de compartir información de seguridad con sus pares y responder preguntas relacionadas con la ciberseguridad. ¿Qué término describe mejor esta relación? Un campeón de seguridad B experto en seguridad C. Restos de viaje D. Revisión por pares
A
Silanco descubrió un registrador de teclas escondido en la computadora portátil del director ejecutivo de la empresa. ¿Qué principio de seguridad de la información es más probable que el teclado esté diseñado para socavar? Una confidencialidad B. Integridad C. Disponibilidad D. Negar
A
Alice está ayudando a su organización a prepararse para evaluar y adoptar una nueva gestión de recursos humanos basada en la nube. (HRM)) Proveedor del sistema. ¿Cuáles son los estándares mínimos de seguridad que mejor se adaptan a los requisitos de los posibles proveedores? A Cumplir con todas las leyes y regulaciones. B. Procesar la información de la misma manera que la organización. C. Eliminar todos los riesgos de seguridad identificados D. Cumplir con la política propia del proveedor
B
.HAL Systems decidió recientemente dejar de proporcionar servicios NTP públicos debido a la preocupación de que sus servidores NTP pudieran usarse para amplificar ataques DDOS a gran escala. ¿Qué tipo de enfoque de gestión de riesgos ha adoptado HAL para sus servicios NTP? A.Mitigación de riesgos B. Aceptación del riesgo C.Transferencia de riesgos D.Evitación de riesgos
D La evitación de riesgos, un método de respuesta al riesgo, se refiere a la eliminación de riesgos o las condiciones para que ocurran mediante cambios en los planes para proteger los objetivos del impacto de los riesgos. Evitar riesgos no significa eliminarlos por completo. Lo que queremos evitar son las pérdidas que los riesgos nos puedan causar. La mitigación del riesgo, el control de las pérdidas por riesgo, consiste en reducir el grado de pérdida reduciendo la probabilidad de pérdida. Adoptar medidas para reducir la probabilidad de que ocurra el riesgo, mitigar las consecuencias de la ocurrencia del riesgo y reducir la gravedad del riesgo a un nivel aceptable.
¿Cuál de los siguientes componentes debería incluirse en las directrices de respuesta a emergencias de una organización? A. Lista del personal de emergencia que debe ser notificado B. Acuerdo de continuidad del negocio a largo plazo C Iniciar el proceso de organización del sitio de espera en frío D Información de contacto para realizar pedidos de equipos
A Guía de respuesta a emergencias: 1. Procedimientos correspondientes 2. Lista de personas notificadas del incidente (ejecutivos, miembros del BCP) 3. Procedimientos de respuesta secundaria para los socorristas mientras esperan que se reúna el equipo de BCP
Becka firmó recientemente un contrato con una instalación de procesamiento de datos de respaldo para proporcionar espacio a su empresa en caso de un desastre. La instalación incluye circuitos de climatización, eléctricos y de comunicaciones, pero ningún equipo de repuestos. ¿Qué tipo de instalación utiliza Becka? Un sitio de espera frío B. Sitio de espera cálida C sitio de espera activa D Sitio de respaldo móvil
A
La empresa de Greg experimentó recientemente una importante filtración de datos que involucró los datos personales de muchos clientes. ¿Qué normas sobre incumplimiento deberían revisar para garantizar que se tomen las medidas adecuadas? A Normas de divulgación en el estado donde tienen su sede. B. Regulaciones de divulgación de los estados en los que operan. C. Únicamente regulaciones federales de divulgación. D. Las regulaciones sobre incumplimiento se aplican únicamente a agencias gubernamentales, no a empresas privadas.
B
Ben busca un marco de objetivos de control que sea ampliamente aceptado a nivel mundial y se centre en los controles de seguridad de la información. ¿Cuál de los siguientes marcos se adapta mejor a sus necesidades? A.ITIL B.ISO 27002 MMC C PMBOK
B Confusión entre CMM y RMM
El Código de Ética de ISC2 se aplica a todo el personal certificado de cissP. ¿Cuál de los siguientes no es un criterio? ¿Uno de los cuatro códigos obligatorios en? A. Proteger la sociedad, el interés público, la confianza pública y la infraestructura necesarias. B. Divulgación de violaciones de la privacidad, la confianza y la ética. C Proporcionar servicios diligentes y competentes al cliente. D. Promover y proteger la profesión.
B
¿Qué principio de seguridad de la información establece que las organizaciones deben implementar controles de seguridad superpuestos siempre que sea posible? A El principio de privilegio mínimo B Separación de funciones C. Defensa en profundidad D. Seguridad mediante ofuscación
C
Ryan es un profesional de ciberseguridad certificado por CIssP que trabaja en organizaciones sin fines de lucro. ¿Cuál de las siguientes obligaciones éticas se aplican a su trabajo? (seleccione todas las que correspondan) Código de Ética de A.(SC)2 B. Código de Ética de la Organización C. Código Federal de Ética D. RFC 1087
AB
Ben es responsable de proteger la seguridad de la información de la tarjeta de pago almacenada en la base de datos. La política le exigía que borrara por la fuerza la información de la base de datos, pero por razones operativas no pudo hacerlo. Obtuvo una excepción a la política y busca un control compensatorio adecuado para mitigar el riesgo. ¿Cuál es su mejor opción? A. Compra de seguro B. Cifrar el contenido de la base de datos C. Eliminar datos D. Oponerse a las excepciones
B
En su función como desarrolladora de banca en línea, Lisa tuvo que enviar su código para probarlo y revisarlo. Después de pasar por este proceso y obtener la aprobación, otro empleado pasa el código a producción. ¿Qué tipo de gestión de seguridad describe esta abreviatura? A. Pruebas de regresión B. Revisión del código C.Gestión del cambio D. Prueba de fuzz
C
¿Cuál de los siguientes no suele incluirse en el proceso de selección previa al empleo? A. Pruebas de drogas B. Verificación de antecedentes C. Censura de las redes sociales D.Evaluación de la salud
D P34 Desafío de habilidades, prueba de drogas, verificación de crédito, verificación de antecedentes de conducción y prueba/evaluación de personalidad
¿Cuáles de los siguientes se consideran típicamente riesgos de la cadena de suministro? (Seleccione todas las que correspondan.) A. Manipulación del hardware por parte del adversario antes de la entrega al cliente final B. Un adversario compromete el servidor web de una organización que se ejecuta en un entorno laas C Los adversarios utilizaron ataques de ingeniería social para atacar a los empleados del proveedor de Saas ompromisoa para obtener acceso a las cuentas de los clientes. D Los adversarios utilizan botnets para realizar ataques de denegación de servicio
C.A.