Wondershare EdrawMind
EdrawMindNotas de estudio CISSP-2 (Conceptos de seguridad del personal y gestión de riesgos)
Galería de mapas mentales Notas de estudio CISSP-2 (Conceptos de seguridad del personal y gestión de riesgos)
- 3
Notas de estudio CISSP-2 (Conceptos de seguridad del personal y gestión de riesgos)
Registra en detalle los puntos clave de conocimiento y puntos de prueba relacionados con el Capítulo 2 de CISSP, Seguridad del personal y gestión de riesgos, y tiene varias preguntas de revisión.
Editado a las 2024-01-23 15:59:36,Notas de estudio CISSP-2 (Conceptos de seguridad del personal y gestión de riesgos)
- Recomendados
- Resumen
Notas de estudio CISSP-2 (Conceptos de seguridad del personal y gestión de riesgos)
1-Resumen de puntos de conocimiento
Políticas y procedimientos de seguridad del personal
Los elementos más vulnerables, con la capacitación adecuada, pueden convertirse en activos de seguridad críticos y socios valiosos en los esfuerzos de seguridad.
Descripción del trabajo y responsabilidades.
Las descripciones de puestos deben considerar cuestiones de seguridad.
Defina los roles que deben asignarse a los empleados, y los roles son consistentes con los privilegios y tareas.
La lista de responsabilidades es la forma de asignar derechos de acceso, permisos y privilegios.
Sin reclutamiento, ciclo de vida completo.
Selección y reclutamiento de candidatos.
Incorporación: acuerdos y estrategias laborales
El principio de privilegio mínimo y derechos de acceso.
Acuerdo de confidencialidad NDA
Las responsabilidades laborales del empleado cambian, accede a nuevos activos, firma acuerdos de confidencialidad adicionales
Supervisión de empleados
Las tareas y privilegios laborales variarán, y demasiados privilegios aumentarán los riesgos organizacionales.
licencia obligatoria
Otros empleados usan sus cuentas para realizar sus tareas laborales, detectar abuso, fraude o negligencia y verificar tareas y privilegios laborales.
La segregación de funciones, la rotación laboral, la capacitación cruzada y el tiempo libre forzado pueden reducir el riesgo de colusión
UBA: Análisis del comportamiento del usuario UEBA: Análisis del comportamiento de usuarios y entidades Puede mejorar las políticas de seguridad del personal, los procedimientos, la capacitación y los programas relacionados de supervisión de la seguridad.
Proceso de Separación, Transferencia y Terminación
Los procedimientos de baja también se pueden utilizar cuando los empleados se mudan a un departamento, instalación o ubicación física diferente.
La transferencia de personal puede considerarse despido/recontratación
Los factores para decidir qué programa utilizar incluyen:
Si se debe mantener la misma cuenta de usuario
si ajustar sus permisos
¿Las nuevas responsabilidades laborales son similares a las del puesto anterior?
¿Necesita una cuenta nueva con un historial limpio?
¿El nuevo puesto de trabajo requiere una auditoría?
Acuerdos y controles de proveedores, consultores y contratistas
El uso de un acuerdo de nivel de servicio (SLA) es una forma de garantizar que se proporcionen los niveles de servicio.
Los SLA y los controles de proveedores, consultores y contratistas son una parte importante de la carta de mitigación y la prevención de riesgos.
La subcontratación es una respuesta que transfiere o asigna riesgo
Funciones del sistema de gestión de proveedores VMS:
Realizar pedidos cómodamente
distribución de pedidos
Entrenamiento de pedidos
Facturación unificada
Requisitos de la política de cumplimiento
Beneficios del cumplimiento
alta calidad
consistencia
eficiencia
ahorrar costos
DAÑOS POR INCUMPLIMIENTO DE CUMPLIMIENTO
ganancia
cuota de mercado
Aprobación
reputación
La aplicación del cumplimiento se refiere a la imposición de sanciones o consecuencias por el incumplimiento de políticas, capacitación, mejores prácticas y regulaciones.
Ejecutivo de Cumplimiento
CISO o CEO
Gerentes y supervisores de empleados
Auditores y reguladores externos
Requisitos de la política de privacidad
definición de privacidad
Proteja proactivamente contra el acceso no autorizado a información de identificación personal, Información de identificación personal (PII)
Evitar el acceso no autorizado a información personal o confidencial
Para evitar ser observado, monitoreado o inspeccionado sin consentimiento o conocimiento
El sector TI se ocupa de la privacidad
Comprender y aplicar conceptos de gestión de riesgos.
Descripción general
Los resultados de la primera gestión de riesgos son la base para formular estrategias de seguridad.
Los eventos posteriores de gestión de riesgos se utilizan para mejorar y mantener la infraestructura de seguridad de la organización.
Componentes de gestión de riesgos:
Evaluación de riesgos (análisis)
Evaluar la probabilidad de ocurrencia.
Pérdidas causadas después de la liberación real
Evaluar los costos de diversas medidas de control de riesgos.
Los resultados de los tres elementos anteriores clasifican las prioridades de riesgo.
respuesta a los riesgos
Utilice el análisis de costo/beneficio
Evaluar controles de riesgos, salvaguardas y controles de seguridad.
Implementar las medidas correspondientes seleccionadas en la infraestructura de TI y describirlas en el documento de política de seguridad.
Conciencia del riesgo
Términos y conceptos de riesgo
Valoración de activos
Identificar amenazas y vulnerabilidades
Evaluación/análisis de riesgos
Análisis cuantitativo
Calcule las pérdidas de activos utilizando el valor monetario real basándose en cálculos matemáticos.
Analisis cualitativo
Representar las pérdidas de activos en términos subjetivos e intangibles, teniendo en cuenta opiniones, sentimientos, intuición, preferencias, pensamientos y reacciones viscerales.
Técnicas de análisis cualitativo de riesgos.
Escenas
tecnología delphi
Proceso de retroalimentación y respuesta anónimo, sin discriminación basada en la fuente de la idea.
Análisis cuantitativo de riesgos.
paso
factor de exposición FE
También llamada pérdida potencial, expresada como porcentaje, utilizar datos internos, realizar análisis estadísticos, consultar con el público, suscribirse a un libro de contabilidad/registro de riesgos, trabajar con asesores, utilizar software de gestión de riesgos.
expectativa de pérdida única SLE
SLE = Valor del activo (AV) * Factor de exposición (EF)
Tasa de ocurrencia anual ARO
Pérdida Anual Esperada ALE
ALE=Expectativa de primera pérdida (SLE)*Tasa de ocurrencia anual (ARO)=AV*EF*ARO
respuesta a los riesgos
Mitigación de riesgos (reducción)
Implementar salvaguardias, controles de seguridad y contramedidas de seguridad para reducir o eliminar vulnerabilidades o prevenir amenazas.
transferencia de riesgo
Compre ciberseguridad, seguros y subcontratación
disuasión de riesgos
Implementar auditorías, cámaras de seguridad, pancartas de advertencia, utilizar personal de seguridad.
Aversión al riesgo
Seleccionar alternativa
aceptación de riesgo
aceptar la pérdida
rechazo del riesgo
Negar o ignorar el riesgo
Riesgo total = amenaza * vulnerabilidad * valor del activo Riesgo total - brecha de control = riesgo residual
La gestión de riesgos no es un evento único
Costos y beneficios de los controles de seguridad
El valor de la medida de protección para la empresa = ALE antes de implementar la medida de protección - ALE después de implementar la medida de protección - Coste anual de la medida de protección ACS
ALE1-ALE2-ACS
Las mejores medidas de seguridad, las más rentables
Seleccionar e implementar contramedidas de seguridad.
Clasificación
Controles administrativos
Incluye: políticas, procedimientos, prácticas de contratación, verificación de antecedentes, clasificación y etiquetado de datos, concientización y capacitación en seguridad, informes y revisión, supervisión del trabajo, controles y pruebas de personal.
Controles lógicos/técnicos
Incluye: autenticación, cifrado, interfaces restringidas, listas de control de acceso, protocolos, firewalls, enrutadores, sistemas de detección de intrusos y niveles de umbral.
medidas de control fisico
subtema
Tipos de control aplicables
control preventivo
IPS
Control de disuasión
Políticas, capacitación en concientización sobre seguridad, cerraduras, cercas, señales de seguridad, guardias de seguridad, vestíbulos de control de acceso y cámaras de seguridad.
control de detección
identificación
Control de compensación
control correctivo
restaurar el control
control de instrucciones
Evaluación del control de seguridad
Evaluar los mecanismos individuales de la infraestructura de seguridad frente a líneas de base o expectativas de confiabilidad.
Puede utilizarse como complemento de las pruebas de penetración o de la evaluación de vulnerabilidades.
También disponible como evaluación de seguridad completa
Monitoreo y Medición
Informes y documentación de riesgos.
Contenido del registro de riesgos
Riesgos identificados
Evaluar la gravedad de estos riesgos y priorizarlos
Desarrollar respuestas para reducir o eliminar riesgos.
Seguimiento del progreso de la mitigación de riesgos
seguir mejorando
Evaluación del modelo de madurez de riesgos (RMM) Programa ERM de gestión de riesgos empresariales
nivel RMM
nivel inicial
nivel preparatorio
nivel de definición
Marco de riesgos común o estandarizado
Nivel integrado
Las operaciones de gestión de riesgos están integradas en los procesos de negocio.
Nivel de optimización
Objetivos
riesgo heredado
fin de vida
EOSL
marco de riesgo
Marco de gestión de riesgos del MGR
Normas obligatorias para agencias federales.
Hay seis etapas cíclicas en RMF
Prepárese desde una perspectiva organizacional y a nivel de sistema estableciendo el contexto y las prioridades para gestionar los riesgos de seguridad y privacidad. Ejecutar RMF
Clasificación Clasifica los sistemas y la información que procesan, almacenan y transmiten basándose en un análisis del impacto de la pérdida.
Selección Seleccione un conjunto inicial de ataduras para el sistema y adapte los controles según sea necesario para reducir el riesgo a un secado de agua aceptable según la evaluación de riesgos.
Implementar Implementar el control y describir cómo se utilizará dentro del sistema y su entorno operativo.
Evaluación Evaluar los controles para determinar si se implementan correctamente, funcionan como se espera y producen los resultados esperados que cumplen con los requisitos de seguridad y privacidad.
Autorización Autoriza sistemas o controles comunes basados en la determinación de que los riesgos para las operaciones y activos de la organización, los individuos, otras organizaciones y los países son aceptables.
El monitoreo incluye evaluar la efectividad del control, registrar cambios en los sistemas y entornos operativos, realizar evaluaciones de riesgos y análisis de impacto e informar sobre el estado de seguridad y privacidad de los sistemas.
Marco de ciberseguridad del CSF
Diseñado para infraestructura y organizaciones comerciales.
Ingeniería social
La forma más eficaz de defenderse de los ataques de ingeniería social
Educación del usuario
entrenamiento de conciencia
principio
autoridad
intimidación
consenso
escasez
familiar
confianza
urgencia
consiguiendo información
preposición
Suplantación de identidad
Phishing de lanza
ballena de phishing
phishing por SMS
Phishing de voz
correo basura
vistazo al hombro
Fraude de facturas
Travesura
Falsificación y disfraz
Seguir rueda y llevar a cuestas
búsqueda de basura
fraude de identidad
Nombre de dominio mal impreso
influir en el movimiento
guerra híbrida
medios de comunicación social
Establecer y mantener programas de concientización, educación y capacitación en materia de seguridad.
conciencia de seguridad
Requisitos previos para la formación en seguridad
capacitación
educar
Mejorar
Cambiar el enfoque de los objetivos, a veces el individuo, a veces el cliente, a veces la organización.
Cambie el orden y el enfoque de los temas. Una vez es ingeniería social, la próxima es seguridad de equipos y la próxima es otra cosa.
Varios métodos de presentación.
A través del juego de roles, permita que los participantes interpreten a atacantes y defensores, permitiendo que diferentes personas aporten ideas para afrontar el ataque y la defensa.
Desarrollar y alentar a los líderes en seguridad.
La gamificación potencia y mejora la formación
estímulo y castigo
Incrementar la participación de los empleados en la formación.
aumentar la comprensión
Otras mejoras: ejercicios de captura de bandera, phishing simulado, capacitación basada en computadora (CBT) y capacitación basada en roles.
evaluación de efectividad
Adoptar nuevos métodos y técnicas.
regular
2-Puntos clave del examen
1. Comprender que las personas son un elemento crítico de la seguridad.
2. Comprender la importancia de la descripción del puesto.
3. Comprender las implicaciones de seguridad de contratar nuevos empleados
4. Comprender la incorporación y la baja
5. Comprender el principio de privilegio mínimo
6. Comprender la necesidad de acuerdos de confidencialidad (NDA)
7. Comprender la supervisión de los empleados
8. Comprender la necesidad de una licencia obligatoria
9. Entender la UBA y la UEBA
10. Comprender los traslados de personal
11. Explicar las estrategias de terminación apropiadas.
12. Comprender los controles de proveedores, consultores y contratistas.
13. Comprender el cumplimiento de las políticas
14. Comprenda cómo encaja la privacidad en el panorama de la seguridad de TI
15. Capacidad para definir la gestión global de riesgos.
16. Comprender el análisis de riesgos y elementos relacionados.
17. Saber evaluar las amenazas
18. Comprender el análisis de riesgos cualitativo
19.Comprender la tecnología Delphi
20. Comprender el análisis de riesgos cuantitativo
21. Concepto del factor de exposición (EF) de Jess
22. Comprender el significado y el método de cálculo de la expectativa de pérdida única (SLE)
23. Comprensión de la tasa anual de ocurrencia (ARO)
24. Comprender el significado y el cálculo de la Expectativa de Pérdida Anual (ALE)
25. Comprender la fórmula para evaluar las medidas de protección.
26. Comprenda cómo manejar los riesgos
27. Explique el riesgo total, el riesgo de participación y las brechas de control.
28. Comprender los tipos de control
29. Comprender los tipos de control
30. Comprender la evaluación del control de seguridad (SCA)
31. Comprender la seguridad, la salud y la medición.
32. Comprender los informes de riesgos
33. Comprender la necesidad de mejora continua
34. Comprender el modelo de madurez del riesgo.
35. Comprender los riesgos heredados Riesgos de seguridad
36. Comprender el marco de riesgos
37. Comprender la ingeniería social
38. Comprender cómo implementar capacitación, capacitación y educación en materia de concienciación sobre seguridad.
39. Conozca a los líderes en seguridad
40. Entender la gamificación
41. Comprender la necesidad de revisiones periódicas del contenido y evaluaciones de eficacia.
Ejercicios importantes
1. Activo: cualquier cosa utilizada en un proceso o tarea empresarial. Amenaza: cualquier evento potencial que podría tener efectos adversos o consecuencias no deseadas en una organización o un activo específico. Vulnerabilidad: una debilidad en un activo, o la debilidad o ausencia de medidas de protección. Expuesto: vulnerable a la pérdida de activos debido a una amenaza, con la posibilidad de que la vulnerabilidad pueda o sea explotada. Riesgo: la probabilidad de que una amenaza aproveche una vulnerabilidad para causar daño a un activo y la gravedad del daño que se puede causar.
2. Las reuniones de seguridad se centran en definir el valor de los activos, desarrollar una lista de amenazas, predecir el nivel específico de daño que causaría una infracción y determinar la cantidad de veces que una amenaza podría afectar a la empresa por año. Qué es esto: Una evaluación de riesgos cualitativa B tecnología Delphi C aversión al riesgo D Evaluación cuantitativa de riesgos
Respuesta correcta:D
3. ¿Cuáles de las siguientes son definiciones de riesgo válidas? A Una evaluación de probabilidad, verosimilitud o azar. B Cualquier cosa que elimine una vulnerabilidad o proteja contra una o más amenazas específicas. Riesgo C = amenaza * vulnerabilidad D cada instancia expuesta E La existencia de vulnerabilidades en presencia de amenazas relevantes
Respuesta correcta: ACD
4. La empresa instala una nueva aplicación web en un servidor web público. Los piratas informáticos explotaron el nuevo código y obtuvieron acceso a los archivos de datos alojados en el sistema. ilustrar: Un riesgo inherente Matriz de riesgos B C Evaluación cualitativa riesgo residual
Respuesta correcta: A Riesgos que existen antes de que se realice cualquier trabajo de gestión de riesgos.
5. La organización está buscando un nuevo socio comercial que haya definido varios requisitos de seguridad organizacional que deben cumplirse antes de firmar un SLA y un Acuerdo de socio comercial (BPA). Uno requiere que las organizaciones demuestren los niveles de implementación de un modelo de madurez de riesgo. En concreto, es necesario adoptar un marco de riesgos común o estandarizado. Este nivel pertenece a: Un nivel preparatorio Nivel integrado B Nivel de definición C Nivel de optimización D
Respuesta correcta: C. Nivel inicial - Caos Nivel preparatorio: intento inicial, puede diferir para cada departamento Nivel de definición: marco de riesgo común y estándar Nivel de integración: las operaciones de gestión de riesgos se integran en los procesos comerciales y el riesgo se considera un elemento en las decisiones comerciales estratégicas. Nivel de optimización: la gestión de riesgos se centra en lograr objetivos, no solo en responder a las amenazas, para el éxito empresarial, en lugar de evitar accidentes, y puede aprender de la experiencia e incorporarla al proceso de gestión de riesgos.
6. El Marco de Gestión de Riesgos (RMF) proporciona especificaciones para la gestión de riesgos de seguridad y privacidad, incluida la clasificación de seguridad de la información, la selección, implementación y evaluación de controles, la autorización general y del sistema, y una secuencia de siete pasos o etapas. ¿Qué fase del RMF se centra en determinar si los controles generales o del sistema son razonables en función de los riesgos para las operaciones y activos de la organización, los individuos y sus áreas? A.Clasificación B.Autorización C.Evaluación D.Monitoreo
Respuesta correcta: B La etapa RME (0) es la autorización de sistemas o controles comunes basados en una determinación de que los riesgos para las operaciones y activos de la organización, los individuos, otras organizaciones y los países son aceptables (o razonables). Las etapas del MGR incluyen: (1) preparación, (2) clasificación, (3) selección, (4) implementación, (5) evaluación, (6) inversión y (7) seguimiento. (A) es la etapa RMF (2), que se refiere a la clasificación de los sistemas y la información procesada, almacenada y transmitida por el sistema con base en el análisis del impacto de la pérdida. (C) es la etapa RMF (5), que evalúa los controles para determinar si se implementan correctamente, funcionan como se espera y producen los resultados esperados que cumplen con los requisitos de seguridad y privacidad. ①D) es la etapa RMF (⑦), que monitorea continuamente el sistema y los controles relacionados, incluida la evaluación de la efectividad del control, el registro de cambios en el sistema y el entorno operativo, la realización de evaluaciones de riesgos y análisis de impacto, y la presentación de informes sobre el estado de seguridad y privacidad del sistema.
7. ¿Cuál de las siguientes opciones se puede clasificar como un ataque de ingeniería social? (Seleccione todas las filas juntas). Un Un usuario inicia sesión en su estación de trabajo y compra un refresco en la máquina expendedora de la escalera. Mientras ese usuario está lejos de su estación de trabajo, otra persona se sienta en su escritorio y copia todos los archivos de la carpeta local al recurso compartido de red. B Recibe un correo electrónico advirtiéndole que una nueva enfermedad peligrosa se está propagando en Internet. Este mensaje le aconseja buscar un archivo específico en su disco duro y eliminarlo porque indica la presencia de un virus. El sitio web C afirma brindar acceso temporal gratuito a sus productos y servicios, pero requiere que usted cambie la configuración de su navegador web y/o firewall antes de poder descargar el software de acceso. El secretario D recibió una llamada de una persona que decía ser un cliente que tendría que reunirse con el director ejecutivo más tarde. La persona que llama solicita el número de teléfono móvil privado del director general para poder llamarlo.
Respuesta correcta: BCD La actividad descrita en la opción A simplemente aprovecha la oportunidad de la víctima de irse. Es un ataque de acceso oportunista y no es un ataque de ingeniería social porque no hay interacción con la víctima. Las actividades descritas en las opciones B (broma), C (phishing, broma, ataque de abrevadero) y D (phishing por voz) son todas parte de un ataque de ingeniería social.
8. Normalmente, __ es el miembro del equipo que decide (o se le asigna) la responsabilidad de aplicar e integrar conceptos de seguridad en el equipo. en las actividades laborales. __A menudo, personal no relacionado con la seguridad tiene la tarea de inspirar a otros a apoyar y adoptar más prácticas de seguridad y Responsabilidades de conducta. A. Director de seguridad de la información B. Líder de seguridad C.Medidor de coche de seguridad D. Custodio
Respuesta correcta: B La respuesta correcta es líder de seguridad. Un líder de seguridad suele ser un miembro de un equipo que decide (o se le anima) a aplicar e integrar conceptos de seguridad en las actividades laborales del equipo. Un líder de seguridad suele ser una persona ajena a la seguridad que inspira a otros a apoyar y adoptar más prácticas de seguridad. y responsabilidades de comportamiento Ninguna de las otras opciones es correcta. El CISO o el Director de Seguridad define e implementa la seguridad en toda la organización. El Auditor de Seguridad gestiona los registros de seguridad y revisa los registros de auditoría en busca de signos de violaciones. en un contenedor informático que proporcione la seguridad adecuada según la distribución especificada por el propietario.