Capítulo 15

Análisis de riesgo

OBJETIVOS DE CERTIFICACIÓN

15.01 Introducción al análisis de riesgos

15.02 Tipos de análisis de riesgos

15.03 Estrategias de mitigación de riesgos

Taladro de dos minutos

Q&A Self Test

ANTERIOR14 seguridad física⏮

PRÓXIMO16 Recuperación ante desastres y continuidad del nego… ⏭🔎

CompTIA Security + Certification Study Guide, Third Edition (Exam SY0-501), 3rd Edition

Translated to: Spanish Show original Options ▼

https://learning.oreilly.com/home/https://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch14.xhtmlhttps://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch16.xhtmlhttps://translate.google.com/javascript:void(0)javascript:void(0)

UNAGran parte de la seguridad de la informaciónes poder evaluar los riesgos para los activos de la

organización e identificar qué técnicas utilizar para mitigar

esos riesgos. En este capítulo aprenderá sobre el análisis de

riesgos y cómo realizar una evaluación de riesgos. Una buena

comprensión de este capítulo lo ayudará a responder las

preguntas de evaluación de riesgos en el examen de Security

+.

OBJETIVO DE CERTIFICACIÓN 15.01

INTRODUCCIÓN AL ANÁLISIS DERIESGOSEn esta sección, aprenderá sobre la necesidad del análisis de

riesgos y los beneficios que ofrece a su organización desde el

punto de vista de la seguridad. También aprenderá sobre el

proceso general a seguir al realizar un análisis de riesgos.

RESUMEN DEL ANÁLISIS DE RIESGOSTener el conocimiento para realizar un análisis de riesgo, o

evaluación, es una habilidad importante para un profesional

de seguridad porque varios conceptos de seguridad

diferentes utilizan evaluaciones de riesgo como punto de

partida. Por ejemplo, una evaluación de seguridad

generalmente comienza con una evaluación de riesgos para

que pueda identificar los recursos que necesitan seguridad.

Además, realizar un plan de continuidad comercial implica

realizar un análisis de tipo de riesgo llamado análisis de

impacto comercial .

El propósito general del análisis de riesgos es identificar los

activos dentro de la organización y su valor para que luego

pueda identificar las amenazas a esos activos. Después de

identificar las amenazas, usted determina cómo tomar

contramedidas contra cada una de esas amenazas (llamada

mitigación de la amenaza), al mismo tiempo que se asegura

de que su contramedida no cueste más que el valor del

activo. Ese es un punto clave para el análisis de riesgos: no

tendría sentido comercial gastar $ 10,000 en una solución de

mitigación para proteger un activo que solo vale $ 2,000.

Antes de presentarle el proceso de análisis de riesgos, quiero

enumerar algunos términos que se utilizan al analizar el

análisis de riesgos. Debe estar familiarizado con los

siguientes términos relacionados con el análisis de riesgos

para el examen Security +:

Activo Un recurso que su organización necesita parafuncionar

Vulnerabilidad Una debilidad en la configuración dehardware o software.

Amenaza Un evento que puede causar daño al activo

Vector de amenaza Una herramienta o mecanismoque el hacker usa para explotar una debilidad en un sistema

Amenaza actor La persona (hacker) que usa el vectorde amenaza para comprometer el sistema

Objetivo de amenaza El sistema o dispositivo queestá siendo atacado

Riesgo Cuando la amenaza a un activo puede causardaño a la organización, lo que generalmente resulta en una

pérdida financiera

Análisis de riesgos La identificación y planificaciónde técnicas de mitigación para reducir y gestionar los riesgos

para su organización.

PROCESO DE ANÁLISIS DE RIESGOSEs importante seguir un proceso al realizar su análisis de

riesgos para asegurarse de identificar todas las amenazas y

riesgos asociados con sus activos. Seguir un proceso de

análisis de riesgos le permite planificar técnicas de

mitigación adecuadas para reducir los riesgos. Esta sección

describe el proceso de análisis de riesgos y divide el proceso

en diferentes fases.

Identificar activos

La primera fase de realizar un análisis de riesgos, también

conocida como evaluación de riesgos, es identificar los

g ,

activos dentro de la organización y el valor de esos activos.

Esta fase también se conoce como identificación de activos .

Por ejemplo, si una empresa obtiene ingresos vendiendo

productos en línea, el servidor web que aloja el sitio web de

comercio electrónico se consideraría un activo para la

empresa.

Durante esta fase, asegúrese de concentrarse en identificar

los activos en lugar de preocuparse por cosas como las

amenazas a esos activos, que vendrán en la siguiente fase. Al

centrarse solo en cuáles son los activos, identifica

correctamente todos los activos de la organización. La

siguiente es una lista de activos comunes en poder de las

organizaciones:

Hardware y software

La información y los datos de la organización.

Los edificios)

Inventario y efectivo

Personal

La reputación y la marca de la organización.

Sistemas y servicios informáticos.

Al identificar sus activos, esté atento a los activosocultos. Por ejemplo, su sitio web de comercioelectrónico que genera miles de dólares al díageneralmente tiene un servidor de base de datos quecontiene la lista de productos y los detalles de cadauno de los productos que se venden.

Identificar amenazas a cada activo (evaluación deamenazas)

Una vez que haya identificado los activos en la organización,

centrará su atención en la evaluación de amenazas , que

i li id tifi l d d l ti

implica identificar las amenazas a cada uno de los activos

identificados en la primera fase. Continuando con el ejemplo

del sitio web de comercio electrónico de una empresa, tiene

varias amenazas potenciales; por ejemplo, el sistema podría

ser pirateado a través de un exploit de desbordamiento de

búfer o un ataque de inyección SQL. El servidor web también

podría experimentar una falla en el disco duro, lo que podría

causar que el sistema se caiga durante mucho tiempo, lo que

resultaría en una pérdida de ingresos.

Al realizar la evaluación de amenazas, es importante

identificar las amenazas de diferentes fuentes. Existen

amenazas ambientales, amenazas provocadas por el hombre

y amenazas internas y externas. Lo siguiente identifica estos

tipos de amenazas:

Amenazas medioambientales Una amenazamedioambiental es el resultado del entorno o ubicación en la

que opera su empresa. Las amenazas ambientales incluyen,

entre otras, inundaciones, tsunamis, terremotos, erupciones

volcánicas, tornados, tormentas de nieve, tormentas

eléctricas y huracanes.

Amenazas provocadas por el hombre Una amenazaprovocada por el hombre es una amenaza que no existe

naturalmente, sino que es el resultado de acciones humanas,

ya sean intencionales o no. Ejemplos de amenazas

provocadas por el hombre serían un virus, un incendio, robo,

vandalismo o sabotaje.

Amenazas internas y externas Es importante teneren cuenta que las amenazas pueden ser internas o externas.

Una amenaza interna proviene de alguien dentro de la

organización. Esto podría ser una amenaza, como que un

empleado descontento elimine intencionalmente los datos

del cliente o que un empleado elimine accidentalmente un

archivo. Debe protegerse de ambos tipos de amenazas. Una

amenaza externa proviene de fuera de la organización y

podría ser, por ejemplo, alguien en Internet que intenta

piratear su servidor de correo o su sitio web.

Es importante comprender que muchas amenazas provienen

del hecho de que existen debilidades o vulnerabilidades en

los activos de la organización. Por ejemplo, la vulnerabilidad

podría ser un sistema que no se ha protegido

adecuadamente, lo que resulta en la amenaza de piratería del

sistema. A continuación se describen algunas

vulnerabilidades comunes que pueden existir:

Sin endurecimiento del sistema Es fundamentalcomprender que un sistema que no se ha asegurado o

endurecido adecuadamente, ayuda a crear la amenaza de que

el sistema sea pirateado.

Sin seguridad física No contar con seguridad físicapuede generar una serie de amenazas potenciales, desde

robar el activo hasta violar la confidencialidad de los datos.

Sin controles de seguridad en los datos No tenercontroles de seguridad en sus datos significa que tiene

amenazas relacionadas con la confidencialidad y la

manipulación de datos.

Sin controles administrativos Un controladministrativo es una política o procedimiento. No tener

políticas y procedimientos establecidos puede resultar en la

amenaza de que no cumpla con las regulaciones o

estándares.

Pueden existir varios tipos de amenazas para cualquier

cantidad de activos que pueda tener su organización. Las

amenazas pueden variar de ser de naturaleza técnica a estar

más relacionadas con las acciones realizadas por el personal.

A continuación se enumeran ejemplos comunes de

amenazas:

Robo El robo es una gran amenaza hoy en día porquese trata no solo del robo físico de un activo sino también del

robo digital de activos de información.

Sistema pirateado desde el interior Podría tenersistemas o servicios críticos en la red comprometidos por un

empleado interno, ya sea intencional o no.

Sistema pirateado desde el exterior Podría tenerservidores públicos como web, FTP o SMTP comprometidos

por alguien externo a su red (Internet).

Desastres naturales Los desastres naturales comoinundaciones, huracanes y tornados son ejemplos de

amenazas contra el negocio que continúa sus operaciones.

Fallas de hardware Cuando se ejecutan servidoresque contienen datos o funciones críticas, es importante

identificar fallas de hardware que puedan ocurrir. El

hardware podría ser discos duros, tarjetas de red o incluso

maquinaria en una planta de producción.

Fraude Esto es un poco más difícil de identificar, peroesté atento a las amenazas de fraude porque los empleados

podrían alterar la información o los procesos de la empresa

para obtener un beneficio financiero.

El examen de certificación Security + espera que conozca los

riesgos asociados con tecnologías como la computación en la

nube y la tecnología de virtualización. La computación en la

nube es genial en concepto, pero significa que alguien más

está alojando los servicios, lo que podría conducir a una

violación de la confidencialidad. Por ejemplo, si aloja su

correo en el sistema de un proveedor, no tiene idea de quién

tiene acceso a ese sistema y si está accediendo a su correo

corporativo. Asegúrese de implementar altos niveles de

auditoría en dichos entornos.

Con la tecnología de virtualización, corre el riesgo de que

cuando el sistema host falla, perderá todas las máquinas

virtuales que se ejecutan en ese sistema. Agrupar los hosts

físicos que ejecutan las máquinas virtuales significa que, en

el caso de una falla física, tiene al menos otro servidor físico

en el clúster en el que las máquinas virtuales pueden fallar.

Si el administrador realiza algún mantenimiento en el

sistema operativo host, puede planear mover las máquinas

virtuales a otro sistema host. Los proveedores de

virtualización tienen soluciones para realizar un cambio

planificado, como vSphere vMotion de VMware y la función

de migración en vivo Hyper-V de Microsoft.

Analizar Impacto

La siguiente fase en el análisis de riesgos es el análisis de

impacto. El objetivo del análisis de impacto es identificar

cuál sería el resultado de la amenaza en el negocio. Por

ejemplo, si el sitio web de comercio electrónico de la

compañía tiene un ataque de denegación de servicio

realizado contra él entonces el impacto es que el servidor

realizado contra él, entonces el impacto es que el servidor

podría estar inactivo durante días, lo que resulta en la

pérdida de ingresos.

Debe buscar identificar dos tipos de impacto cuando se

producen amenazas: impactos tangibles e intangibles. Un

impacto tangible implica una pérdida visible para la

empresa; por ejemplo, la compañía pierde dinero debido a

que no se generan ingresos. La siguiente lista describe los

impactos tangibles comunes:

Pérdida de ingresos u oportunidad de negocio El impacto común es que la empresa pierde la oportunidad

de generar ingresos cuando se produce la amenaza porque el

activo se ha visto comprometido y no está disponible.

Pérdida de dinero debido al costo de reparación Otro impacto extremadamente visible es la pérdida de

dinero debido al costo de arreglar el activo después de que

ocurra la amenaza. Esto generalmente se suma a la pérdida

de ingresos.

Pérdida de producción La pérdida de producciónes un impacto común de una amenaza que ocurre al equipo o

al inventario.

Seguridad de los empleados Algunas amenazaspueden no resultar en la pérdida de ingresos directamente,

pero pueden resultar en un problema de seguridad para los

empleados.

Para el examen Security +, familiarícese conejemplos de impactos tangibles que podríanafectar su negocio.

El impacto de todas las amenazas no siempre es tan visible y,

a veces, el efecto de la amenaza que ocurre no se ve por un

tiempo después de que ocurre la amenaza. Estos tipos de

impactos se conocen como impactos intangibles . A

continuación se describen algunos impactos intangibles

comunes:

Reputación de la empresa Uno de los impactosintangibles más comunes es que cuando ocurre una

amenaza, podría arruinar la reputación de la compañía, ¡lo

cual nunca es bueno para los negocios!

Incumplimiento de las regulaciones Unaamenaza que ocurra puede tener el impacto de que su

compañía no pueda seguir las regulaciones o estándares.

Esto podría dar lugar a acciones legales contra la empresa o,

a veces, incluso a la pérdida del seguro.

Pérdida de la confianza de los clientes Si el sitioweb de comercio electrónico de la empresa es pirateado y

esta información se hace pública, es posible que pierda la

confianza de sus clientes (o accionistas), y que ya no deseen

comprar artículos en línea por temor a la tarjeta de crédito.

números capturados por hackers.

Para el examen de certificación, recuerde que losejemplos de los impactos intangibles de unaamenaza incluyen la disminución de lareputación de la empresa, la pérdida de laconfianza de los clientes y el incumplimiento delas normas.

Priorizar las amenazas

Una vez que haya identificado todas las amenazas que

podrían ocurrir contra cada activo, debe priorizar las

amenazas en función de su impacto y probabilidad de

ocurrencia (también conocida como probabilidad de

ocurrencia ) para que pueda enfrentar primero las amenazas

más graves.

La forma en que priorice las amenazas dependerá del tipo de

análisis de riesgos que se realice; por ejemplo, si está

haciendo un análisis cualitativo, asignará valores basados en

alguna forma de escala a cada amenaza (como baja, media y

alta), y luego se centrará primero en las amenazas de alto

nivel. Más información sobre los tipos de análisis en un

momento.

DENTRO DEL EXAMEN

Registro de riesgo

Un registro de riesgos es una herramienta que se utiliza

para trazar una descripción de las diferentes amenazas,

junto con su impacto y probabilidad. La herramienta

podría ser algo tan simple como una hoja de cálculo que

enumere los detalles del riesgo junto con el impacto y la

probabilidad, o podría ser una aplicación de software de

terceros. El registro de riesgos generalmente traza la

categoría a la que se aplica el riesgo, una descripción de

la amenaza, el impacto (tal vez un número del 1 al 5), la

probabilidad (nuevamente, tal vez un número del 1 al 5),

el puntaje de riesgo (impacto multiplicado por

probabilidad), y los pasos de mitigación. El puntaje de

riesgo lo ayuda a priorizar las amenazas. Aquí hay un

ejemplo de un registro de riesgos.

Evaluación de la cadena de suministro

La cadena de suministro abarca los recursos y procesos

necesarios para llevar el producto o servicio de una

empresa desde sus proveedores de piezas, a través de la

fabricación, hasta la puerta de su cliente. Numerosos

componentes están involucrados en la cadena de

suministro, desde la obtención de las materias primas,

hasta el proceso de fabricación, hasta el personal para

empacar y entregar el producto. La evaluación de la

p y g p

cadena de suministro implica identificar cualquier

riesgo dentro de esta cadena de suministro y mitigar

esos riesgos. Por ejemplo, la evaluación podría evaluar

qué hacer si hay escasez de materias primas o si hay un

incendio en la planta de fabricación. Todas esas

amenazas pueden presentar riesgos para su negocio.

Pruebas

Al evaluar las amenazas contra los activos de su

organización, es importante realizar diferentes tipos de

pruebas. Puede realizar una prueba de vulnerabilidad ,

también conocida como análisis de vulnerabilidad ,

para probar si sus sistemas son vulnerables a diferentes

vulnerabilidades y vulnerabilidades. También puede

realizar un tipo de prueba más activo conocido como

prueba de penetración , donde el probador intenta

evitar los controles de seguridad y obtener acceso a un

sistema. Aprenderá más sobre estos tipos de prueba en

el Capítulo 18 .

Hay una serie de otras formas de pruebas que se pueden

realizar que no se relacionan directamente con la

tecnología. Por ejemplo, su organización debe realizar

simulacros de incendio en unregularmente. También

puede probar sus procesos comerciales al probar la

flexibilidad de entrega del proveedor y los niveles de

existencias al probar los pedidos urgentes. Si está en la

industria de servicios, puede probar el servicio al cliente

utilizando compradores misteriosos.

Gestión del cambio

Después de probar sus sistemas con un análisis de

vulnerabilidad o una prueba de penetración, puede

descubrir que necesita hacer cambios en la

configuración de los sistemas para hacerlos más seguros.

Al realizar cambios en la configuración del sistema,

asegúrese de seguir el proceso de administración de

cambios que su organización ha establecido. Este

proceso generalmente implica aplicar primero el cambio

a los sistemas de prueba, luego hacer una copia de

seguridad del sistema de producción antes de realizar el

cambio, aplicar el cambio y luego verificar el

funcionamiento correcto del sistema después del

https://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch18.xhtml#ch18

funcionamiento correcto del sistema después del

cambio.

La clave para cambiar la gestión es la documentación.

Por ejemplo, cuando planifique los cambios, debe

documentar los cambios deseados, documentar qué

hacer si los cambios no salen según lo planeado (esto se

llama plan de reversión) y luego resumir los resultados

de la operación de cambio.

Identificar técnicas de mitigación

Una vez que haya identificado las amenazas y las haya

priorizado, sabrá en qué soluciones de amenazas enfocarse, o

al menos cómo reducir el riesgo de que ocurra la amenaza.

Esto se conoce como mitigar la amenaza. La mitigación de la

amenaza generalmente implica gastar dinero en una solución

que implementa un control de seguridad para proteger el

activo del riesgo. Puede implementar tecnologías tolerantes a

fallas, firewalls, encriptación o sistemas de control de acceso,

por nombrar algunos.

Después de implementar su técnica demitigación, evalúe siempre cualquier riesgoresidual que quede.

Evaluar riesgos residuales

Una vez que haya implementado soluciones para mitigar las

amenazas, reevalúe el activo e identifique cualquier amenaza

que aún pueda existir. Las amenazas restantes se conocen

como riesgo residual . Es crítico expresar este riesgo residual

a la administración para que puedan decidir si están

dispuestos a aceptar ese riesgo residual o si necesitan

implementar soluciones de seguridad adicionales.

RIESGO CON CLOUD COMPUTING YTERCEROS

Un tema candente en la actualidad es el concepto de

computación en la nube. Con la computación en la nube,

puede suscribirse a un servicio en la nube que ofrece espacio

de almacenamiento de datos en algún servidor en Internet, o

tal vez tener a alguien que le brinde servicios como un

servidor web, un servidor de base de datos o un servidor de

correo electrónico. Un ejemplo del beneficio de suscribirse a

los servicios en la nube es que su empresa no necesitaría

comprar el hardware para alojar el correo electrónico o las

bases de datos de la empresa; simplemente suscríbase al

servicio en la nube y le proporcionarán la funcionalidad.

Luego, simplemente debe iniciar sesión en la interfaz de

administración (generalmente una interfaz web) y

administrar el servicio (como el correo electrónico).

Suscribirse a dichos servicios le permite a su empresa

ahorrar en costos iniciales, como las compras de hardware,

pero también le permite ahorrar tiempo al no preocuparse

por la administración del hardware físico y el sistema

operativo en sí. El proveedor del servicio asumirá la

responsabilidad del hardware, la administración del sistema

operativo y las actualizaciones, y garantizará una alta

disponibilidad (que vale la pena el costo).

Desafortunadamente, una de las grandes preocupaciones con

los servicios en la nube es la privacidad. ¿Dónde está

almacenando los datos el proveedor de la nube? ¿Cómo se

aseguran los datos? Estas son preguntas que debe hacer y

encontrar respuestas. La conclusión es que confía su

información a una organización de terceros. Muchos clientes

con los que hablo ni siquiera están considerando los servicios

en la nube debido a preocupaciones de privacidad y

regulaciones que rigen su organización.

Decidir usar servicios en la nube es algo que desea planificar

cuidadosamente. También considere soluciones híbridas

donde, por ejemplo, los datos confidenciales se almacenan en

el sitio de su empresa (conocidos como locales), mientras

que los datos no sensibles se almacenan en la nube para

aprovechar los servicios de respaldo o incluso la alta

disponibilidad de esos datos.

Tenga en cuenta que hay diferentes tipos de modelos de

nube, como una nube pública que aloja datos en Internet y

una nube privada, lo que significa que aloja los datos

internamente dentro de su empresa. Es importante tener en

cuenta que existen más riesgos asociados con las nubes

públicas, ya que no están alojados dentro de su organización.

Para obtener más información sobre los modelos de nube y

los tipos de servicio, consulte el Capítulo 7 .

Los siguientes son algunos puntos que deben tenerse en

cuenta al integrar sistemas y datos con servicios en la nube y

empresas de terceros:

Socios comerciales internos / externos Altrabajar con socios comerciales que necesitan acceso a sus

sistemas, deberá asegurarse de contar con procedimientos

para agregar nuevas personas (los empleados del socio) al

sistema de gestión de identidad y acceso (IAM) ) Este

sistema se utiliza para identificar personas externas a la

empresa y para controlar su acceso al sistema. El proceso de

agregar un nuevo empleado al sistema se conoce como

incorporación, mientras que la eliminación de un empleado

del sistema se conoce como desconexión.

Redes y / o aplicaciones de redes sociales Con elcrecimiento actual de las redes sociales, las organizaciones

necesitan implementar políticas y educar a los empleados

sobre qué información se puede publicar en las redes sociales

y qué información no se puede publicar.

Acuerdos de interoperabilidad Asegúrese de haberdefinido acuerdos de operación con el proveedor de la nube o

una empresa de terceros. Los acuerdos como el acuerdo de

nivel de servicio (SLA) especifican el tiempo de actividad

garantizado. Verifique si se necesita un acuerdo de compra

general (BPA) , que se utiliza para cubrir las necesidades

repetitivas de un producto o servicio. Asegúrese de que exista

un memorando de entendimiento (MOU) , a veces

denominado memorando de acuerdo (MOA) . Un MOU /

MOA es un documento que establece un acuerdo entre las

dos partes y especifica su relación entre sí. También

asegúrese de estar familiarizado con su acuerdo de servicio

de Internet (ISA)y asegúrese de estar cómodo con los límites

de datos y el tiempo de actividad garantizado de la conexión

a Internet. Esto es fundamental si está aprovechando los

https://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch7.xhtml#ch7

servicios en la nube, ya que necesita conectividad a Internet

para acceder a cualquier servicio o datos en la nube.

Consideraciones de privacidad Como se mencionóanteriormente, debe tener en cuenta que existen riesgos al

almacenar información con un tercero o en la nube. Usted

confía en que el proveedor de servicios está asegurando esa

información.

Conciencia del riesgo La comprensión de los riesgosde la integración con servicios en la nube y los terceros es

importante. Corre el riesgo de que sus datos se almacenen en

una ubicación no segura y de que los datos que se transmiten

a través de la red se puedan ver si no se cifran. Debe

asegurarse de que el proveedor garantice el acceso a esa

información. También hay otros riesgos a tener en cuenta:

puede perder el acceso a Internet y no poder acceder a los

datos en la nube. También puede encontrar una situación en

la que el proveedor de la nube cierra, y luego ¿cómo va a

acceder a sus datos? ¿O qué sucede si el hardware del

proveedor de la nube es citado por razones legales? Todas

estas situaciones podrían hacer que no pueda acceder a sus

datos en la nube.

Intercambio de datos no autorizado Al trabajarcon organizaciones de terceros, siempre correrá el riesgo de

que los empleados de la empresa de terceros compartan la

información con otros sin autorización.

Propiedad de los datos Asegúrese de que losacuerdos de interoperabilidad especifiquen quién posee los

datos que se almacenan en la nube o con la empresa de

terceros. Algunas compañías de terceros pueden creer que si

almacena los datos con ellos, entonces los datos son de ellos.

Lea todos los acuerdos y asegúrese de que la propiedad de los

datos se especifique explícitamente.

Copias de seguridad de datos Las copias deseguridad de datos son un gran uso del espacio dealmacenamiento en la nube siempre que comprenda que, en

teoría, una vez que almacena los datos en la nube, no tiene

idea de quién está accediendo a ellos. Si esto le preocupa y

realmente desea almacenar datos en la nube (especialmente

si no es información confidencial), cifre la información antes

de hacer una copia de seguridad en la nube.

Siga la política y los procedimientos deseguridad Asegúrese de seguir la política y losprocedimientos de seguridad de su organización cuando

trabaje con servicios en la nube y empresas de terceros. Si

usted es el oficial de seguridad responsable de actualizar las

políticas, asegúrese de actualizar la política para incluir las

reglas de la organización con respecto a los servicios en la

nube.

Revise los requisitos del acuerdo para verificarel cumplimiento y los estándares de rendimiento. ¡ Esto es realmente importante! Lea todos los acuerdos para

asegurarse de que cumple con las reglamentaciones que

rigen su organización. Por ejemplo, debido a problemas de

privacidad, muchas agencias gubernamentales y

departamentos médicos no pueden almacenar información

en la nube o en una empresa de terceros.

OBJETIVO DE CERTIFICACIÓN 15.02

TIPOS DE ANÁLISIS DE RIESGOSAl realizar una evaluación de riesgos, es importante

comprender los dos tipos populares de análisis de riesgos:

cualitativo y cuantitativo. Cualitativo es asignar un valor

basado en una escala a la amenaza y no preocuparse por

calcular la cifra en dólares asociada con el riesgo, mientras

que cuantitativo es asociar un costo en dólares y centavos

con cada riesgo. En esta sección aprenderá la diferencia entre

los dos tipos.

Para el examen Security +, esté muyfamiliarizado con la diferencia entre análisis deriesgos cualitativos y cuantitativos. Cualitativautiliza una escala para identificar la gravedad deuna amenaza, mientras que cuantitativa utiliza

qcifras en dólares.

CUALITATIVOComo se mencionó, el análisis de riesgo cualitativo

determina las técnicas de riesgo y mitigación sin calcular

realmente la pérdida como una cifra en dólares. Con el

análisis de riesgo cualitativo, crea una escala y califica

subjetivamente cada amenaza en función de los números en

la escala.

Antes de ver ejemplos de la escala, primero debe comprender

la fórmula para calcular el riesgo, incluso con un análisis de

riesgo cualitativo. La fórmula es que el riesgo es igual a la

probabilidad multiplicada por la pérdida (también conocida

como impacto):

Riesgo = Probabilidad × Pérdida

Con el análisis de riesgo cualitativo, en lugar de gastar

tiempo calculando los dólares y centavos reales, se enfoca en

asignar un valor basado en la escala que crea. Esto ahorra

tiempo durante el análisis porque en realidad no está

tratando de calcular una cifra exacta en dólares. Veamos un

ejemplo.

El primer paso es crear una escala para la probabilidad de

que ocurra una amenaza. La tabla 15-1 muestra un ejemplo

de una tabla de valores de probabilidad. Otro término para

probabilidad es probabilidad , que es el término utilizado

por los objetivos de certificación de Security +.

CUADRO 15-1

Un ejemplo de escala de probabilidad

La tabla refleja que usted ha decidido cinco valores para la

probabilidad. Con cada una de las amenazas enumeradas con

los activos asignará un valor de probabilidad para indicar la

los activos, asignará un valor de probabilidad para indicar la

probabilidad de que ocurra la amenaza. Por ejemplo, el

servidor web que aloja un sitio de correo electrónico público

tiene la amenaza de un ataque de denegación de servicio, y

usted le asigna a la amenaza una probabilidad de "Probable",

que tiene un valor de 3.

Una vez que haya determinado la probabilidad, identificará

el impacto asociado con cada una de las amenazas. Al igual

que la probabilidad, la pérdida se basa en una escala: es

posible que desee utilizar una escala "baja, media, alta" o

crear su propia escala, como la que se encuentra en la Tabla

15-2 .

CUADRO 15-2

Un ejemplo de escala de impacto (pérdida)

Mirando la tabla, puede ver que me he ido con otra escala

que tiene cinco valores. Esto le brinda cierta flexibilidad al

asignar un impacto a cada una de las diferentes amenazas.

Por ejemplo, puede decidir que los ataques de denegación de

servicio a su sitio web de comercio electrónico tienen un

impacto en el nivel de "Impacto medio" porque bloquearán el

servidor y dejarán de estar disponibles para los negocios.

Una vez que haya identificado la probabilidad y el impacto

(pérdida) para cada uno de los riesgos, calcule el riesgo de

cada amenaza con base en nuestra fórmula de riesgo =

probabilidad × pérdida . Cuadro 15-3.muestra un ejemplo de

cómo debe trazar las amenazas contra un activo y luego

calcular el riesgo asociado con cada amenaza mediante el

análisis cualitativo. Mide el riesgo asociado con cada una de

las amenazas utilizando la probabilidad y la pérdida

(conocido como impacto). Esto le permite priorizar las

amenazas y hacer frente a las amenazas de mayor prioridad

primero invirtiendo en soluciones de seguridad para proteger

el activo de esas amenazas de alta prioridad. En este ejemplo,

sus amenazas de alto riesgo son el ataque de inyección SQL y

el ataque de desbordamiento de búfer, por lo que debería

invertir en controles para evitar que ocurran esas amenazas.

CUADRO 15-3

Ejemplo de análisis cualitativo de riesgos para el sitio de

comercio electrónico

El análisis de riesgo cualitativo tiene el beneficio deser un tipo de evaluación muy rápido porque no estáempantanado con calcular cifras financieras,simplemente aplica valores basados en una escalaque crea.

EJERCICIO 15-1

Realizar un análisis cualitativo de riesgos

En este ejercicio, identificará algunos activos dentro de su

organización y realizará una evaluación de riesgos

identificando amenazas de ejemplo contra el activo y luego

calculando el riesgo en función de un enfoque cualitativo.

1. En una hoja de papel, o usando su procesador de texto

favorito, identifique tres activos diferentes dentro de su

organización.

2. Identifique tres o cuatro amenazas contra cada activo.

3. Usando la escala de probabilidad que se muestra en la

Tabla 15-1 , registre el valor de probabilidad para cada

amenaza.

ili d l l d i l bl

4. Utilizando la escala de impacto que se muestra en la Tabla

15-2 , registre el impacto que tendrá cada amenaza.

5. Calcule el riesgo con base en la fórmula de riesgo =

probabilidad × pérdida ( impacto ), y luego priorice las

amenazas con base en que el riesgo más alto sea la prioridad

más alta.

CUANTITATIVOEl otro tipo de análisis de riesgo es cuantitativo. El

inconveniente del análisis cualitativo es que está utilizando

una escala creada por alguien para juzgar la gravedad de la

amenaza, y la gravedad está sujeta al punto de vista de la

persona que realiza la evaluación.

Con el análisis cuantitativo, el costo resultante dela amenaza ayuda a determinar cuánto debeinvertir en una solución de seguridad paraproteger el activo.

Con el análisis cuantitativo, calcula cantidades en dólares

para cada uno de los riesgos y cuál es el impacto de la

amenaza. Este es un tipo crítico de evaluación porque la

gerencia de nivel superior quiere ver cifras en dólares para

justificar el costo de comprar un control de seguridad para

proteger el activo. Por ejemplo, con un análisis cuantitativo,

si dice: "La amenaza nos costará $ 1,400 al año, por lo que

deberíamos comprar una solución de firewall que nos costará

$ 6,500 al año durante tres años", la gerencia puede decirle

que busque un Solución más barata.

El primer paso para el análisis cuantitativo es evaluar el valor

del activo. Por ejemplo, puede determinar que su sitio web de

comercio electrónico genera miles de dólares por día de

ingresos; esto lo ayudará a calcular el valor del activo.

Una vez que conoce el valor del activo, debe determinar el

impacto que tendría cada amenaza para el activo. Con el

análisis cuantitativo, el impacto se especifica como un factor

de exposición (EF), que es el porcentaje del valor del activo

que espera perder si ocurre la amenaza.

Una vez que conoce el valor del activo y tiene un factor de

exposición asociado con cada amenaza, puede calcular lo que

se llama la expectativa de pérdida única (SLE) , que es una

cifra en dólares que representa cuánto dinero perderá la

compañía cada vez que la amenaza ocurre. La siguiente es la

fórmula para la expectativa de pérdida única:

SLE = valor ($) × EF (%)

Por ejemplo, supongamos que decide que el sitio web de

comercio electrónico tiene un valor de $ 200,000, y cada vez

que el servidor web tiene una falla en el disco duro, pierde el

8 por ciento del valor del activo .Esto significa que su

expectativa de pérdida única es de $ 200,000 × .08, que es

de $ 16,000. Por lo tanto, cada vez que el disco duro falla en

el servidor, ¡su negocio pierde $ 16,000!

Para el examen Security +, recuerde cómocalcular la expectativa de pérdida única: SLE =valor del activo × factor de exposición.

Una vez que haya calculado la expectativa de pérdida única,

puede trabajar en el cálculo de la expectativa de pérdida

anual (ALE) , que es un cálculo de cuánto dinero perderá por

año con cada una de las amenazas. La fórmula para calcular

la expectativa de pérdida anual es tomar la expectativa de

pérdida única y multiplicarla por la tasa anual de ocurrencia

(ARO) . La tasa anual de ocurrencia es cuántas veces al año

espera que ocurra la amenaza.

ALE = SLE × ARO

Por ejemplo, puede esperar que ocurra una amenaza tres

veces al año o que ocurra una vez cada cinco años. El

siguiente ejemplo calcula el ALE para nuestra amenaza de

falla del disco duro si ocurriera tres veces al año:

PERO = $ 16,000 × 3

Esto significa que el ALE basado en el fallo del disco duro

tres veces al año le costaría a la compañía $ 48,000. Debe

asegurarse de que la solución que implemente para proteger

contra fallas del disco duro no cueste más de $ 48,000 al

año.

Para el examen de certificación, recuerde que laexpectativa de pérdida anual se calcula por latasa anual de ocurrencia de SLE ×.

Veamos un ARO diferente. Si se esperaba que la amenaza de

falla del disco duro ocurriera una vez cada cinco años,

entonces su ARO sería 1/5, o .20. Esto significa que su

fórmula para calcular la expectativa de pérdida anual sería

PERO = $ 16,000 × .20

Esto resulta en un ALE de $ 3,200. Por lo tanto, debe

encontrar una solución de seguridad para proteger el activo

que no cuesta más de $ 3,200 al año.

El beneficio del análisis cuantitativo es que está calculando

cifras exactas en dólares, que es lo que le gusta a la gerencia

porque es fácil ver si implementar una solución tiene sentido

desde el punto de vista financiero. El inconveniente del

análisis cuantitativo es el tiempo que lleva calcular estos

números; por ejemplo, es difícil asignar un valor a un activo

porque hay muchas variables involucradas.

El análisis de riesgo cuantitativo tiene elbeneficio de poder tomar decisiones informadasen función de si un control de seguridad valeeconómicamente.

EJERCICIO 15-2

Realizar un análisis cuantitativo de riesgos

En este ejercicio, identificará algunos activos dentro de su

organización y realizará una evaluación de riesgos

identificando amenazas de ejemplo contra el activo y luego

calculando el riesgo basándose en un enfoque cuantitativo.

1. En una nueva hoja de papel, o usando su procesador de

texto favorito, identifique tres activos diferentes dentro de su

organización. Intenta estimar el valor del activo.

2. Luego, identifique tres o cuatro amenazas contra cada

activo y luego registre el factor de exposición (porcentaje de

pérdida para el activo) si ocurriera la amenaza.

3. Calcule la expectativa de pérdida única (LES) con cada

amenaza.

4. Determine la tasa anual de ocurrencia (ARO) con cada

amenaza.

5. Calcule la expectativa de pérdida anual (ALE) con cada

amenaza.

OBJETIVO DE CERTIFICACIÓN 15.03

ESTRATEGIAS DE MITIGACIÓN DERIESGOSUna vez que haya identificado todas las amenazas contra los

activos y haya determinado las amenazas críticas, ya sea

mediante análisis cualitativo o análisis cuantitativo, debe

decidir c ál será s técnica de resp esta al riesgo Esto

decidir cuál será su técnica de respuesta al riesgo . Esto

también se conoce como la estrategia de mitigación de

riesgos . Los enfoques que puede tomar para hacer frente a

las amenazas son

Mitigar el riesgo (mitigación) La primera forma delidiar con el riesgo es mitigándolo. La mitigación implica la

implementación de un control de seguridad que protege el

activo de la amenaza. Por ejemplo, para protegerse contra

fallas del disco duro en el servidor web, puede comprar una

solución RAID.

Aceptar el riesgo (aceptación) Otra forma demanejar el riesgo es aceptarlo. Aceptar el riesgo significa que

no implementa ninguna solución para protegerse contra la

amenaza porque está convencido de que las posibilidades de

que ocurra la amenaza y el impacto de la amenaza no

garantizan el costo de implementar un control de seguridad.

Transfiera el riesgo (transferencia) ¡ Tambiénpuede considerar transferir el riesgo, lo que significa que

amenaza el problema de otra persona! Por ejemplo, puede

obtener un seguro que lo ayude a recuperarse del incidente

de seguridad.

Evite el riesgo (evitar el riesgo) Evitar el riesgo es la idea de que, sea cual sea la actividad que lo pone en

riesgo, usted decide no realizar esa actividad más para evitar

el riesgo. Por ejemplo, tener un sitio web de comercio

electrónico para obtener ingresos lo pone en riesgo de ser

atacado por fuentes en Internet; puede evitar esto al no

vender productos en línea (pero también pierde los

ingresos).

Determinar el riesgo (disuasión) No es tan comúnque un enfoque para enfrentar el riesgo sea disuadir el

riesgo. Un ejemplo de disuasión de un riesgo es amenazar

con castigar (generalmente un castigo legal) a cualquiera que

ataque el activo; usted está disuadiendo que ocurra el evento.

Puede seguir una serie de prácticas para ayudar a mitigar el

riesgo dentro de su organización. La siguiente es una lista de

estrategias de mitigación comunes con las que debe estar

familiarizado para el examen de certificación de Security +:

Hacer cumplir los controles de seguridad de la

Hacer cumplir los controles de seguridad de latecnología El método más común para mitigar el riesgo es

implementar controles de seguridad como RAID, soluciones

de alta disponibilidad, firewalls, cifrado, sistemas de

detección de intrusos, honeypots, parches y protección de

software malicioso. Otro control de seguridad común

importante para las empresas son los controles de

prevención de pérdida de datos (DLP) , generalmente un

software que permite al administrador definir reglas para la

información que se considera confidencial o confidencial y

no permite que la información se comparta o copie.

DENTRO DEL EXAMEN

El valor de la seguridad física

Para el examen Security +, recuerde las diferentes

formas en que puede lidiar con los riesgos. El método

más común para lidiar con los riesgos es mitigar el

riesgo, lo que significa que implementa un control para

reducir el riesgo.

Recuerde que hay otras formas de manejar el riesgo; por

ejemplo, puede aceptar el riesgo al no hacer nada para

controlar el riesgo, o puede transferir el riesgo

comprando una póliza de seguro.

Gestión de cambios Asegúrese de implementarprocedimientos de gestión de cambios en su negocio y de

educar a todos los empleados sobre los métodos adecuados

para realizar cambios. Por ejemplo, asegúrese de que los

desarrolladores realicen cambios en las aplicaciones web en

una máquina de desarrollo y luego publiquen el cambio en

un servidor de prueba para verificar que el cambio sea

exitoso antes de copiarlo en el servidor de producción.

Gestión de incidentes Una parte fundamental de laseguridad es garantizar que tenga un equipo de gestión de

incidentes y procedimientos de respuesta a incidentes que el

equipo siga cuando haya un incidente de seguridad.

Revisiones de permisos y derechos de usuario Tómese el tiempo para evaluar la configuración de los

sistemas de forma regular. Esto incluye revisar los privilegios

(derechos) otorgados en un sistema y cualquier permiso

otorgado a los datos. Asegúrese de que se siga el principio de

privilegio mínimo porque esto ayudará a reducir la

ocurrencia de incidentes de seguridad.

Realizar auditorías de rutina Una parte clave detener un entorno seguro es realizar auditorías de rutina.

Puede realizar varias auditorías diferentes, desde una

revisión de configuración hasta una evaluación de

vulnerabilidad.

Aplicar políticas y procedimientos La seguridadde su organización comienza con tener una buena política de

seguridad y exigir que se conozcan las políticas y los

procedimientos. Tener políticas y procedimientos estrictos

que los empleados deben seguir puede ayudar a proteger

contra la pérdida y el robo de datos. Por ejemplo, garantizar

que todos los empleados tengan un código de acceso

configurado en su dispositivo móvil garantiza que si el

dispositivo se pierde o es robado, es más difícil que alguien

tenga acceso a la información en el dispositivo.

EJERCICIO 15-3

Identificación de técnicas de mitigación

En este ejercicio, identificará las técnicas de mitigación de

riesgos asociadas con cada amenaza identificada en el

Ejercicio 15-2.

1. En una nueva hoja de papel, o utilizando su procesador de

textos favorito, registre si transferirá el riesgo, mitigará el

riesgo o aceptará el riesgo de cada amenaza.

2. Justifique su razón para el enfoque de mitigación que

adoptó con cada amenaza.

RESUMEN DE CERTIFICACIÓNEn este capítulo aprendió la importancia de realizar un

análisis de riesgos y los dos tipos más comunes de análisis de

riesgos: cualitativo y cuantitativo. Los siguientes son algunos

g y g g

puntos clave para recordar de este capítulo mientras se

prepara para el examen de certificación de Security +:

El análisis de riesgos es el proceso de identificar activos,

identificar las amenazas a esos activos y gestionar esas

amenazas.

El proceso de análisis de riesgos tiene múltiples fases:

debe identificar los activos, reconocer las amenazas contra

los activos, determinar la probabilidad y el impacto, priorizar

las amenazas, identificar la técnica de mitigación y

finalmente evaluar los riesgos residuales.

Los dos tipos principales de análisis de riesgos son los

análisis de riesgos cualitativos y cuantitativos.

El análisis cualitativo no calcula las cifras en dólares

asociadas con el riesgo, pero se centra en identificar la

gravedad de un riesgo en función de los valores que asigne.

El análisis cuantitativo se centra en calcular cuánto

dinero se pierde cuando se produce una amenaza. Esto ayuda

a identificar si el costo de la solución para proteger el activo

está justificado.

Las diferentes formas de lidiar con las amenazas

incluyen métodos comunes como mitigar la amenaza con un

control de seguridad, transferir el riesgo obteniendo una

póliza de seguro o aceptar el riesgo y el hecho de que la

amenaza puede ocurrir.

TALADRO DE DOS MINUTOS

Introducción al análisis de riesgos

El análisis de riesgos es el proceso de identificar las

diferentes amenazas contra los activos de su empresa y

gestionar esas amenazas.

Asegúrese de seguir un proceso al realizar el análisis de

riesgos. El proceso debe involucrar la identificación de los

activos, detectar amenazas contra los activos, priorizar las

amenazas en función de la probabilidad y el impacto,

identificar la técnica de mitigación y finalmente evaluar los

riesgos residuales.

El impacto de la amenaza determina el valor de la pérdida

de la amenaza.

Normalmente implementa una técnica de mitigación, que

implica el uso de un control de seguridad para proteger el

activo de la amenaza.

Tipos de análisis de riesgos

Los dos tipos principales de análisis de riesgos son los

análisis de riesgos cualitativos y cuantitativos.

El análisis de riesgo cualitativo utiliza valores asignados a

la probabilidad de la amenaza y el impacto de la amenaza.

El análisis cuantitativo calcula la pérdida financiera en

dólares y centavos mediante el uso de fórmulas para calcular

la expectativa de pérdida anual (ALE).

Para calcular ALE, primero debe calcular la expectativa

de pérdida única, que es el valor del activo multiplicado por

el factor de exposición (SLE = valor × EF).

El ALE es la expectativa de pérdida única multiplicada

por la tasa anual de ocurrencia (ALE = SLE × ARO).

Estrategias de mitigación de riesgos

Una vez que ha identificado las amenazas y las ha

priorizado, decide cómo gestionar esos riesgos.

Los métodos comunes de gestión de riesgos incluyen

mitigar el riesgo mediante la implementación de un control

de seguridad, transferir el riesgo obteniendo una póliza de

seguro o aceptar el riesgo y no hacer nada.

Puede ayudar a mitigar el riesgo haciendo cosas como

realizar auditorías de seguridad periódicas, configurar

controles de seguridad y garantizar que se sigan las políticas

y procedimientos.

AUTOTESTLas siguientes preguntas lo ayudarán a medir su

comprensión del material presentado en este capítulo. Como

se indicó, algunas preguntas pueden tener más de una

respuesta correcta, así que asegúrese de leer cuidadosamente

todas las opciones de respuesta.

Introducción al análisis de riesgos

1 . ¿Cuál de los siguientes describe mejor el análisis de

riesgos?

A. Un evento que puede causar daño al activo.

B. Una debilidad en la configuración de hardware o software.

C. Cuando la amenaza a un activo puede causar daño a la

organización, lo que generalmente resulta en una pérdida

financiera

D. La identificación y planificación de técnicas de mitigación

para reducir los riesgos para su organización.

2 . El gerente le ha pedido que lo ayude con algunos

análisis de riesgos dentro de la empresa. ¿Cuál es el primer

paso para realizar una evaluación de riesgos?

A. Identificar las amenazas.

B. Identificar los activos.

C. Identificar el impacto.

D. Evaluar los riesgos residuales.

3 . ¿Cuál de los siguientes es un ejemplo del impacto

intangible de una amenaza?

A. pérdida de ingresos

B. Pérdida de producción.

C. Daño a la reputación de la empresa.

D. Pérdida de instalaciones.

Tipos de análisis de riesgos

4 4 . ¿Qué tipo de análisis de riesgo implica calcular los

dólares reales perdidos debido a una amenaza que ocurre?

A. cuantitativo

B. cualitativa

C. Evaluación de riesgos

D. Mitigación

5 5 . Su gerente ha estado leyendo sobre el análisis de

riesgos y le pregunta cuál es el beneficio del análisis

cualitativo. ¿Cómo responderías?

R. Puede justificar el costo porque sabe cuánto dinero le

costará cada amenaza.

B. Puede calcular el ALE.

C. Usted puede calcular el LES.

D. Es más rápido que un análisis cuantitativo.

6 6 . ¿Cuál de los siguientes representa cómo puede

calcular el ALE?

A. SLE × EF

B. SLE × ARO

C. Valor del activo × EF

D. EF × ARO

7 7 . Su empresa tiene una maquinaria que se utiliza para

producir el producto principal que vende. Se ha decidido que

la maquinaria tiene un valor de $ 320,000. Si una parte falla,

q $ 3 , p ,

tendrá un impacto en su compañía que perderá el 18 por

ciento del valor del activo con cada falla. Espera que la falla

ocurra una vez cada cuatro años. ¿Cuál es la expectativa de

pérdida anual de la amenaza?

A. $ 57,000

B. $ 29,000

C. $ 57.600

D. $ 14,400

Estrategias de mitigación de riesgos

8 . Después de identificar que existe una amenaza de

desbordamiento de búfer contra su servidor web,

implementa un firewall para controlar la comunicación con

el servidor web. ¿Cómo has manejado el riesgo?

Una transferencia

B. aceptar

C. Mitigar

D. Negar

9 . Al observar una amenaza contra uno de sus activos, ha

decidido obtener una póliza de seguro que cubra el riesgo.

¿Cómo has manejado el riesgo?

Una transferencia

B. aceptar

C. Mitigar

D. Negar

10 . Una pequeña empresa ha identificado que tener elservidor de la empresa en el armario de una instalación y no

tenerlo en una habitación cerrada representa un riesgo.

Deciden no hacer nada para corregir la amenaza. ¿Cómo han

manejado el riesgo?

Una transferencia

B. aceptar

C. Mitigar

D. Negar

Pregunta basada en el rendimiento

11 . Usando la exposición, haga coincidir el término en ellado izquierdo con su descripción correspondiente a la

derecha.

RESPUESTAS DE AUTOPRUEBA

Introducción al análisis de riesgos

1 . D. El análisis de riesgos no solo implica

identificar la amenaza o la debilidad en una solución, sino

que también implica identificar la estrategia de mitigación

que debe usarse.

A, B y C son incorrectos. La opción A es la descripciónde una amenaza, la opción B es la descripción de una

vulnerabilidad y la opción C es la descripción del riesgo.

2 . B. El primer paso es identificar los activos.

A, C y D son incorrectos. Después de identificar losactivos, puede identificar las amenazas contra los activos y el

impacto que tendrá cada amenaza El último paso para la

impacto que tendrá cada amenaza. El último paso para la

evaluación de riesgos es evaluar los riesgos residuales

después de mitigarlos.

3 . C. Un impacto intangible es el resultado de una

amenaza que no siempre es visible, por ejemplo, el efecto

sobre la reputación de la empresa.

A, B y D son incorrectos. Son impactos tangibles queson resultados visibles de una amenaza que ocurre. Por

ejemplo, su empresa sabe que está perdiendo producción

debido a que un activo no está disponible.

Tipos de análisis de riesgos

4 4 . A. El análisis de riesgo cuantitativo implica el

cálculo de los montos perdidos en dólares debido a una

amenaza.

B, C, and D are incorrect. Qualitative analysis involvesassigning an arbitrary value to the probability of a threat and

the impact, and then using that to determine the priority of

the threat. Risk assessment and mitigation are not correct

because they are not types of risk analysis.

5 . D. Qualitative risk analysis has the benefit that it

is easier and quicker to perform than quantitative because

you do not need to determine the actual value of the asset

and percentages such as the exposure factor. These values

can sometimes be difficult to pinpoint.

A, B, and C are incorrect. They describe benefits ofquantitative risk analysis.

6 . B. The ALE = SLE × ARO. The annual loss

expectancy is equal to the single loss expectancy multiplied

by the annual rate of occurrence.

A, C, and D are incorrect. They do not represent theformula for ALE.

7 . D. To calculate the ALE, you must first calculate

the SLE, which is the value of the asset multiplied by the

impact (known as exposure factor) In this case it is

impact (known as exposure factor). In this case, it is

$320,000 × .18 = $57,600 (the SLE). You then must take the

SLE and multiply it by the annual rate of occurrence (in this

case, 1/4). This gives you ALE = 57,600 × .25 = $14,400.

A, B, and C are incorrect. They are not the calculatedALE.

Risk Mitigation Strategies

8 . C. Because you have implemented a security

control, you have mitigated the risk.

A, B, and D are incorrect. Transferring the risk wouldbe making the risk somebody else’s problem, accepting the

risk would be knowing the risk exists and doing nothing

about it, while denying a risk would be not accepting that the

risk exists.

9 . A. You have transferred the risk by getting an

insurance policy, making the risk the insurance company’s

problem.

B, C, and D are incorrect. Accepting the risk would beknowing the risk exists and doing nothing about it,

mitigating the risk would be implementing a security

solution to remove the threat, and denying a risk would be

not accepting that the risk exists.

10. B. Accepting the risk is knowing the risk exists anddoing nothing about it.

A, C, and D are incorrect. Transferring the risk wouldbe making the risk somebody else’s problem, such as getting

an insurance policy. Mitigating the risk would be

implementing a security solution to remove the threat;

denying a risk would be not accepting that the risk exists.

Performance-Based Question

11. The following illustration displays the matching betweenthe terms and their corresponding description. Note that the

real certification exam may ask you to drag the boxes from

one side of the screen onto the boxes on the other side of the

screen.

Settings / Support / Sign Out© 2020 O'Reilly Media, Inc . Términos de servicio / Política de privacidad

ANTERIOR14 seguridad física⏮

PRÓXIMO16 Recuperación ante desastres y continuidad del nego… ⏭

https://learning.oreilly.com/u/preferences/https://learning.oreilly.com/public/support/https://learning.oreilly.com/accounts/logout/https://learning.oreilly.com/https://www.oreilly.com/terms/https://learning.oreilly.com/privacyhttps://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch14.xhtmlhttps://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch16.xhtml