capítulo 15 - wordpress.com...2020/07/15 · capítulo 15 análisis de riesgo objetivos de...
TRANSCRIPT
-
Capítulo 15
Análisis de riesgo
OBJETIVOS DE CERTIFICACIÓN
15.01 Introducción al análisis de riesgos
15.02 Tipos de análisis de riesgos
15.03 Estrategias de mitigación de riesgos
Taladro de dos minutos
Q&A Self Test
ANTERIOR14 seguridad física⏮
PRÓXIMO16 Recuperación ante desastres y continuidad del nego… ⏭🔎
CompTIA Security + Certification Study Guide, Third Edition (Exam SY0-501), 3rd Edition
Translated to: Spanish Show original Options ▼
https://learning.oreilly.com/home/https://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch14.xhtmlhttps://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch16.xhtmlhttps://translate.google.com/javascript:void(0)javascript:void(0)
-
UNAGran parte de la seguridad de la informaciónes poder evaluar los riesgos para los activos de la
organización e identificar qué técnicas utilizar para mitigar
esos riesgos. En este capítulo aprenderá sobre el análisis de
riesgos y cómo realizar una evaluación de riesgos. Una buena
comprensión de este capítulo lo ayudará a responder las
preguntas de evaluación de riesgos en el examen de Security
+.
OBJETIVO DE CERTIFICACIÓN 15.01
INTRODUCCIÓN AL ANÁLISIS DERIESGOSEn esta sección, aprenderá sobre la necesidad del análisis de
riesgos y los beneficios que ofrece a su organización desde el
punto de vista de la seguridad. También aprenderá sobre el
proceso general a seguir al realizar un análisis de riesgos.
RESUMEN DEL ANÁLISIS DE RIESGOSTener el conocimiento para realizar un análisis de riesgo, o
evaluación, es una habilidad importante para un profesional
de seguridad porque varios conceptos de seguridad
diferentes utilizan evaluaciones de riesgo como punto de
partida. Por ejemplo, una evaluación de seguridad
generalmente comienza con una evaluación de riesgos para
que pueda identificar los recursos que necesitan seguridad.
Además, realizar un plan de continuidad comercial implica
realizar un análisis de tipo de riesgo llamado análisis de
impacto comercial .
El propósito general del análisis de riesgos es identificar los
activos dentro de la organización y su valor para que luego
pueda identificar las amenazas a esos activos. Después de
identificar las amenazas, usted determina cómo tomar
contramedidas contra cada una de esas amenazas (llamada
mitigación de la amenaza), al mismo tiempo que se asegura
de que su contramedida no cueste más que el valor del
activo. Ese es un punto clave para el análisis de riesgos: no
tendría sentido comercial gastar $ 10,000 en una solución de
-
mitigación para proteger un activo que solo vale $ 2,000.
Antes de presentarle el proceso de análisis de riesgos, quiero
enumerar algunos términos que se utilizan al analizar el
análisis de riesgos. Debe estar familiarizado con los
siguientes términos relacionados con el análisis de riesgos
para el examen Security +:
Activo Un recurso que su organización necesita parafuncionar
Vulnerabilidad Una debilidad en la configuración dehardware o software.
Amenaza Un evento que puede causar daño al activo
Vector de amenaza Una herramienta o mecanismoque el hacker usa para explotar una debilidad en un sistema
Amenaza actor La persona (hacker) que usa el vectorde amenaza para comprometer el sistema
Objetivo de amenaza El sistema o dispositivo queestá siendo atacado
Riesgo Cuando la amenaza a un activo puede causardaño a la organización, lo que generalmente resulta en una
pérdida financiera
Análisis de riesgos La identificación y planificaciónde técnicas de mitigación para reducir y gestionar los riesgos
para su organización.
PROCESO DE ANÁLISIS DE RIESGOSEs importante seguir un proceso al realizar su análisis de
riesgos para asegurarse de identificar todas las amenazas y
riesgos asociados con sus activos. Seguir un proceso de
análisis de riesgos le permite planificar técnicas de
mitigación adecuadas para reducir los riesgos. Esta sección
describe el proceso de análisis de riesgos y divide el proceso
en diferentes fases.
Identificar activos
La primera fase de realizar un análisis de riesgos, también
conocida como evaluación de riesgos, es identificar los
-
g ,
activos dentro de la organización y el valor de esos activos.
Esta fase también se conoce como identificación de activos .
Por ejemplo, si una empresa obtiene ingresos vendiendo
productos en línea, el servidor web que aloja el sitio web de
comercio electrónico se consideraría un activo para la
empresa.
Durante esta fase, asegúrese de concentrarse en identificar
los activos en lugar de preocuparse por cosas como las
amenazas a esos activos, que vendrán en la siguiente fase. Al
centrarse solo en cuáles son los activos, identifica
correctamente todos los activos de la organización. La
siguiente es una lista de activos comunes en poder de las
organizaciones:
Hardware y software
La información y los datos de la organización.
Los edificios)
Inventario y efectivo
Personal
La reputación y la marca de la organización.
Sistemas y servicios informáticos.
Al identificar sus activos, esté atento a los activosocultos. Por ejemplo, su sitio web de comercioelectrónico que genera miles de dólares al díageneralmente tiene un servidor de base de datos quecontiene la lista de productos y los detalles de cadauno de los productos que se venden.
Identificar amenazas a cada activo (evaluación deamenazas)
Una vez que haya identificado los activos en la organización,
centrará su atención en la evaluación de amenazas , que
i li id tifi l d d l ti
-
implica identificar las amenazas a cada uno de los activos
identificados en la primera fase. Continuando con el ejemplo
del sitio web de comercio electrónico de una empresa, tiene
varias amenazas potenciales; por ejemplo, el sistema podría
ser pirateado a través de un exploit de desbordamiento de
búfer o un ataque de inyección SQL. El servidor web también
podría experimentar una falla en el disco duro, lo que podría
causar que el sistema se caiga durante mucho tiempo, lo que
resultaría en una pérdida de ingresos.
Al realizar la evaluación de amenazas, es importante
identificar las amenazas de diferentes fuentes. Existen
amenazas ambientales, amenazas provocadas por el hombre
y amenazas internas y externas. Lo siguiente identifica estos
tipos de amenazas:
Amenazas medioambientales Una amenazamedioambiental es el resultado del entorno o ubicación en la
que opera su empresa. Las amenazas ambientales incluyen,
entre otras, inundaciones, tsunamis, terremotos, erupciones
volcánicas, tornados, tormentas de nieve, tormentas
eléctricas y huracanes.
Amenazas provocadas por el hombre Una amenazaprovocada por el hombre es una amenaza que no existe
naturalmente, sino que es el resultado de acciones humanas,
ya sean intencionales o no. Ejemplos de amenazas
provocadas por el hombre serían un virus, un incendio, robo,
vandalismo o sabotaje.
Amenazas internas y externas Es importante teneren cuenta que las amenazas pueden ser internas o externas.
Una amenaza interna proviene de alguien dentro de la
organización. Esto podría ser una amenaza, como que un
empleado descontento elimine intencionalmente los datos
del cliente o que un empleado elimine accidentalmente un
archivo. Debe protegerse de ambos tipos de amenazas. Una
amenaza externa proviene de fuera de la organización y
podría ser, por ejemplo, alguien en Internet que intenta
piratear su servidor de correo o su sitio web.
Es importante comprender que muchas amenazas provienen
del hecho de que existen debilidades o vulnerabilidades en
los activos de la organización. Por ejemplo, la vulnerabilidad
podría ser un sistema que no se ha protegido
-
adecuadamente, lo que resulta en la amenaza de piratería del
sistema. A continuación se describen algunas
vulnerabilidades comunes que pueden existir:
Sin endurecimiento del sistema Es fundamentalcomprender que un sistema que no se ha asegurado o
endurecido adecuadamente, ayuda a crear la amenaza de que
el sistema sea pirateado.
Sin seguridad física No contar con seguridad físicapuede generar una serie de amenazas potenciales, desde
robar el activo hasta violar la confidencialidad de los datos.
Sin controles de seguridad en los datos No tenercontroles de seguridad en sus datos significa que tiene
amenazas relacionadas con la confidencialidad y la
manipulación de datos.
Sin controles administrativos Un controladministrativo es una política o procedimiento. No tener
políticas y procedimientos establecidos puede resultar en la
amenaza de que no cumpla con las regulaciones o
estándares.
Pueden existir varios tipos de amenazas para cualquier
cantidad de activos que pueda tener su organización. Las
amenazas pueden variar de ser de naturaleza técnica a estar
más relacionadas con las acciones realizadas por el personal.
A continuación se enumeran ejemplos comunes de
amenazas:
Robo El robo es una gran amenaza hoy en día porquese trata no solo del robo físico de un activo sino también del
robo digital de activos de información.
Sistema pirateado desde el interior Podría tenersistemas o servicios críticos en la red comprometidos por un
empleado interno, ya sea intencional o no.
Sistema pirateado desde el exterior Podría tenerservidores públicos como web, FTP o SMTP comprometidos
por alguien externo a su red (Internet).
Desastres naturales Los desastres naturales comoinundaciones, huracanes y tornados son ejemplos de
-
amenazas contra el negocio que continúa sus operaciones.
Fallas de hardware Cuando se ejecutan servidoresque contienen datos o funciones críticas, es importante
identificar fallas de hardware que puedan ocurrir. El
hardware podría ser discos duros, tarjetas de red o incluso
maquinaria en una planta de producción.
Fraude Esto es un poco más difícil de identificar, peroesté atento a las amenazas de fraude porque los empleados
podrían alterar la información o los procesos de la empresa
para obtener un beneficio financiero.
El examen de certificación Security + espera que conozca los
riesgos asociados con tecnologías como la computación en la
nube y la tecnología de virtualización. La computación en la
nube es genial en concepto, pero significa que alguien más
está alojando los servicios, lo que podría conducir a una
violación de la confidencialidad. Por ejemplo, si aloja su
correo en el sistema de un proveedor, no tiene idea de quién
tiene acceso a ese sistema y si está accediendo a su correo
corporativo. Asegúrese de implementar altos niveles de
auditoría en dichos entornos.
Con la tecnología de virtualización, corre el riesgo de que
cuando el sistema host falla, perderá todas las máquinas
virtuales que se ejecutan en ese sistema. Agrupar los hosts
físicos que ejecutan las máquinas virtuales significa que, en
el caso de una falla física, tiene al menos otro servidor físico
en el clúster en el que las máquinas virtuales pueden fallar.
Si el administrador realiza algún mantenimiento en el
sistema operativo host, puede planear mover las máquinas
virtuales a otro sistema host. Los proveedores de
virtualización tienen soluciones para realizar un cambio
planificado, como vSphere vMotion de VMware y la función
de migración en vivo Hyper-V de Microsoft.
Analizar Impacto
La siguiente fase en el análisis de riesgos es el análisis de
impacto. El objetivo del análisis de impacto es identificar
cuál sería el resultado de la amenaza en el negocio. Por
ejemplo, si el sitio web de comercio electrónico de la
compañía tiene un ataque de denegación de servicio
realizado contra él entonces el impacto es que el servidor
-
realizado contra él, entonces el impacto es que el servidor
podría estar inactivo durante días, lo que resulta en la
pérdida de ingresos.
Debe buscar identificar dos tipos de impacto cuando se
producen amenazas: impactos tangibles e intangibles. Un
impacto tangible implica una pérdida visible para la
empresa; por ejemplo, la compañía pierde dinero debido a
que no se generan ingresos. La siguiente lista describe los
impactos tangibles comunes:
Pérdida de ingresos u oportunidad de negocio El impacto común es que la empresa pierde la oportunidad
de generar ingresos cuando se produce la amenaza porque el
activo se ha visto comprometido y no está disponible.
Pérdida de dinero debido al costo de reparación Otro impacto extremadamente visible es la pérdida de
dinero debido al costo de arreglar el activo después de que
ocurra la amenaza. Esto generalmente se suma a la pérdida
de ingresos.
Pérdida de producción La pérdida de producciónes un impacto común de una amenaza que ocurre al equipo o
al inventario.
Seguridad de los empleados Algunas amenazaspueden no resultar en la pérdida de ingresos directamente,
pero pueden resultar en un problema de seguridad para los
empleados.
Para el examen Security +, familiarícese conejemplos de impactos tangibles que podríanafectar su negocio.
El impacto de todas las amenazas no siempre es tan visible y,
a veces, el efecto de la amenaza que ocurre no se ve por un
tiempo después de que ocurre la amenaza. Estos tipos de
-
impactos se conocen como impactos intangibles . A
continuación se describen algunos impactos intangibles
comunes:
Reputación de la empresa Uno de los impactosintangibles más comunes es que cuando ocurre una
amenaza, podría arruinar la reputación de la compañía, ¡lo
cual nunca es bueno para los negocios!
Incumplimiento de las regulaciones Unaamenaza que ocurra puede tener el impacto de que su
compañía no pueda seguir las regulaciones o estándares.
Esto podría dar lugar a acciones legales contra la empresa o,
a veces, incluso a la pérdida del seguro.
Pérdida de la confianza de los clientes Si el sitioweb de comercio electrónico de la empresa es pirateado y
esta información se hace pública, es posible que pierda la
confianza de sus clientes (o accionistas), y que ya no deseen
comprar artículos en línea por temor a la tarjeta de crédito.
números capturados por hackers.
Para el examen de certificación, recuerde que losejemplos de los impactos intangibles de unaamenaza incluyen la disminución de lareputación de la empresa, la pérdida de laconfianza de los clientes y el incumplimiento delas normas.
Priorizar las amenazas
Una vez que haya identificado todas las amenazas que
podrían ocurrir contra cada activo, debe priorizar las
amenazas en función de su impacto y probabilidad de
ocurrencia (también conocida como probabilidad de
ocurrencia ) para que pueda enfrentar primero las amenazas
más graves.
-
La forma en que priorice las amenazas dependerá del tipo de
análisis de riesgos que se realice; por ejemplo, si está
haciendo un análisis cualitativo, asignará valores basados en
alguna forma de escala a cada amenaza (como baja, media y
alta), y luego se centrará primero en las amenazas de alto
nivel. Más información sobre los tipos de análisis en un
momento.
DENTRO DEL EXAMEN
Registro de riesgo
Un registro de riesgos es una herramienta que se utiliza
para trazar una descripción de las diferentes amenazas,
junto con su impacto y probabilidad. La herramienta
podría ser algo tan simple como una hoja de cálculo que
enumere los detalles del riesgo junto con el impacto y la
probabilidad, o podría ser una aplicación de software de
terceros. El registro de riesgos generalmente traza la
categoría a la que se aplica el riesgo, una descripción de
la amenaza, el impacto (tal vez un número del 1 al 5), la
probabilidad (nuevamente, tal vez un número del 1 al 5),
el puntaje de riesgo (impacto multiplicado por
probabilidad), y los pasos de mitigación. El puntaje de
riesgo lo ayuda a priorizar las amenazas. Aquí hay un
ejemplo de un registro de riesgos.
Evaluación de la cadena de suministro
La cadena de suministro abarca los recursos y procesos
necesarios para llevar el producto o servicio de una
empresa desde sus proveedores de piezas, a través de la
fabricación, hasta la puerta de su cliente. Numerosos
componentes están involucrados en la cadena de
suministro, desde la obtención de las materias primas,
hasta el proceso de fabricación, hasta el personal para
empacar y entregar el producto. La evaluación de la
-
p y g p
cadena de suministro implica identificar cualquier
riesgo dentro de esta cadena de suministro y mitigar
esos riesgos. Por ejemplo, la evaluación podría evaluar
qué hacer si hay escasez de materias primas o si hay un
incendio en la planta de fabricación. Todas esas
amenazas pueden presentar riesgos para su negocio.
Pruebas
Al evaluar las amenazas contra los activos de su
organización, es importante realizar diferentes tipos de
pruebas. Puede realizar una prueba de vulnerabilidad ,
también conocida como análisis de vulnerabilidad ,
para probar si sus sistemas son vulnerables a diferentes
vulnerabilidades y vulnerabilidades. También puede
realizar un tipo de prueba más activo conocido como
prueba de penetración , donde el probador intenta
evitar los controles de seguridad y obtener acceso a un
sistema. Aprenderá más sobre estos tipos de prueba en
el Capítulo 18 .
Hay una serie de otras formas de pruebas que se pueden
realizar que no se relacionan directamente con la
tecnología. Por ejemplo, su organización debe realizar
simulacros de incendio en unregularmente. También
puede probar sus procesos comerciales al probar la
flexibilidad de entrega del proveedor y los niveles de
existencias al probar los pedidos urgentes. Si está en la
industria de servicios, puede probar el servicio al cliente
utilizando compradores misteriosos.
Gestión del cambio
Después de probar sus sistemas con un análisis de
vulnerabilidad o una prueba de penetración, puede
descubrir que necesita hacer cambios en la
configuración de los sistemas para hacerlos más seguros.
Al realizar cambios en la configuración del sistema,
asegúrese de seguir el proceso de administración de
cambios que su organización ha establecido. Este
proceso generalmente implica aplicar primero el cambio
a los sistemas de prueba, luego hacer una copia de
seguridad del sistema de producción antes de realizar el
cambio, aplicar el cambio y luego verificar el
funcionamiento correcto del sistema después del
https://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch18.xhtml#ch18
-
funcionamiento correcto del sistema después del
cambio.
La clave para cambiar la gestión es la documentación.
Por ejemplo, cuando planifique los cambios, debe
documentar los cambios deseados, documentar qué
hacer si los cambios no salen según lo planeado (esto se
llama plan de reversión) y luego resumir los resultados
de la operación de cambio.
Identificar técnicas de mitigación
Una vez que haya identificado las amenazas y las haya
priorizado, sabrá en qué soluciones de amenazas enfocarse, o
al menos cómo reducir el riesgo de que ocurra la amenaza.
Esto se conoce como mitigar la amenaza. La mitigación de la
amenaza generalmente implica gastar dinero en una solución
que implementa un control de seguridad para proteger el
activo del riesgo. Puede implementar tecnologías tolerantes a
fallas, firewalls, encriptación o sistemas de control de acceso,
por nombrar algunos.
Después de implementar su técnica demitigación, evalúe siempre cualquier riesgoresidual que quede.
Evaluar riesgos residuales
Una vez que haya implementado soluciones para mitigar las
amenazas, reevalúe el activo e identifique cualquier amenaza
que aún pueda existir. Las amenazas restantes se conocen
como riesgo residual . Es crítico expresar este riesgo residual
a la administración para que puedan decidir si están
dispuestos a aceptar ese riesgo residual o si necesitan
implementar soluciones de seguridad adicionales.
RIESGO CON CLOUD COMPUTING YTERCEROS
-
Un tema candente en la actualidad es el concepto de
computación en la nube. Con la computación en la nube,
puede suscribirse a un servicio en la nube que ofrece espacio
de almacenamiento de datos en algún servidor en Internet, o
tal vez tener a alguien que le brinde servicios como un
servidor web, un servidor de base de datos o un servidor de
correo electrónico. Un ejemplo del beneficio de suscribirse a
los servicios en la nube es que su empresa no necesitaría
comprar el hardware para alojar el correo electrónico o las
bases de datos de la empresa; simplemente suscríbase al
servicio en la nube y le proporcionarán la funcionalidad.
Luego, simplemente debe iniciar sesión en la interfaz de
administración (generalmente una interfaz web) y
administrar el servicio (como el correo electrónico).
Suscribirse a dichos servicios le permite a su empresa
ahorrar en costos iniciales, como las compras de hardware,
pero también le permite ahorrar tiempo al no preocuparse
por la administración del hardware físico y el sistema
operativo en sí. El proveedor del servicio asumirá la
responsabilidad del hardware, la administración del sistema
operativo y las actualizaciones, y garantizará una alta
disponibilidad (que vale la pena el costo).
Desafortunadamente, una de las grandes preocupaciones con
los servicios en la nube es la privacidad. ¿Dónde está
almacenando los datos el proveedor de la nube? ¿Cómo se
aseguran los datos? Estas son preguntas que debe hacer y
encontrar respuestas. La conclusión es que confía su
información a una organización de terceros. Muchos clientes
con los que hablo ni siquiera están considerando los servicios
en la nube debido a preocupaciones de privacidad y
regulaciones que rigen su organización.
Decidir usar servicios en la nube es algo que desea planificar
cuidadosamente. También considere soluciones híbridas
donde, por ejemplo, los datos confidenciales se almacenan en
el sitio de su empresa (conocidos como locales), mientras
que los datos no sensibles se almacenan en la nube para
aprovechar los servicios de respaldo o incluso la alta
disponibilidad de esos datos.
Tenga en cuenta que hay diferentes tipos de modelos de
-
nube, como una nube pública que aloja datos en Internet y
una nube privada, lo que significa que aloja los datos
internamente dentro de su empresa. Es importante tener en
cuenta que existen más riesgos asociados con las nubes
públicas, ya que no están alojados dentro de su organización.
Para obtener más información sobre los modelos de nube y
los tipos de servicio, consulte el Capítulo 7 .
Los siguientes son algunos puntos que deben tenerse en
cuenta al integrar sistemas y datos con servicios en la nube y
empresas de terceros:
Socios comerciales internos / externos Altrabajar con socios comerciales que necesitan acceso a sus
sistemas, deberá asegurarse de contar con procedimientos
para agregar nuevas personas (los empleados del socio) al
sistema de gestión de identidad y acceso (IAM) ) Este
sistema se utiliza para identificar personas externas a la
empresa y para controlar su acceso al sistema. El proceso de
agregar un nuevo empleado al sistema se conoce como
incorporación, mientras que la eliminación de un empleado
del sistema se conoce como desconexión.
Redes y / o aplicaciones de redes sociales Con elcrecimiento actual de las redes sociales, las organizaciones
necesitan implementar políticas y educar a los empleados
sobre qué información se puede publicar en las redes sociales
y qué información no se puede publicar.
Acuerdos de interoperabilidad Asegúrese de haberdefinido acuerdos de operación con el proveedor de la nube o
una empresa de terceros. Los acuerdos como el acuerdo de
nivel de servicio (SLA) especifican el tiempo de actividad
garantizado. Verifique si se necesita un acuerdo de compra
general (BPA) , que se utiliza para cubrir las necesidades
repetitivas de un producto o servicio. Asegúrese de que exista
un memorando de entendimiento (MOU) , a veces
denominado memorando de acuerdo (MOA) . Un MOU /
MOA es un documento que establece un acuerdo entre las
dos partes y especifica su relación entre sí. También
asegúrese de estar familiarizado con su acuerdo de servicio
de Internet (ISA)y asegúrese de estar cómodo con los límites
de datos y el tiempo de actividad garantizado de la conexión
a Internet. Esto es fundamental si está aprovechando los
https://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch7.xhtml#ch7
-
servicios en la nube, ya que necesita conectividad a Internet
para acceder a cualquier servicio o datos en la nube.
Consideraciones de privacidad Como se mencionóanteriormente, debe tener en cuenta que existen riesgos al
almacenar información con un tercero o en la nube. Usted
confía en que el proveedor de servicios está asegurando esa
información.
Conciencia del riesgo La comprensión de los riesgosde la integración con servicios en la nube y los terceros es
importante. Corre el riesgo de que sus datos se almacenen en
una ubicación no segura y de que los datos que se transmiten
a través de la red se puedan ver si no se cifran. Debe
asegurarse de que el proveedor garantice el acceso a esa
información. También hay otros riesgos a tener en cuenta:
puede perder el acceso a Internet y no poder acceder a los
datos en la nube. También puede encontrar una situación en
la que el proveedor de la nube cierra, y luego ¿cómo va a
acceder a sus datos? ¿O qué sucede si el hardware del
proveedor de la nube es citado por razones legales? Todas
estas situaciones podrían hacer que no pueda acceder a sus
datos en la nube.
Intercambio de datos no autorizado Al trabajarcon organizaciones de terceros, siempre correrá el riesgo de
que los empleados de la empresa de terceros compartan la
información con otros sin autorización.
Propiedad de los datos Asegúrese de que losacuerdos de interoperabilidad especifiquen quién posee los
datos que se almacenan en la nube o con la empresa de
terceros. Algunas compañías de terceros pueden creer que si
almacena los datos con ellos, entonces los datos son de ellos.
Lea todos los acuerdos y asegúrese de que la propiedad de los
datos se especifique explícitamente.
Copias de seguridad de datos Las copias deseguridad de datos son un gran uso del espacio dealmacenamiento en la nube siempre que comprenda que, en
teoría, una vez que almacena los datos en la nube, no tiene
idea de quién está accediendo a ellos. Si esto le preocupa y
realmente desea almacenar datos en la nube (especialmente
si no es información confidencial), cifre la información antes
-
de hacer una copia de seguridad en la nube.
Siga la política y los procedimientos deseguridad Asegúrese de seguir la política y losprocedimientos de seguridad de su organización cuando
trabaje con servicios en la nube y empresas de terceros. Si
usted es el oficial de seguridad responsable de actualizar las
políticas, asegúrese de actualizar la política para incluir las
reglas de la organización con respecto a los servicios en la
nube.
Revise los requisitos del acuerdo para verificarel cumplimiento y los estándares de rendimiento. ¡ Esto es realmente importante! Lea todos los acuerdos para
asegurarse de que cumple con las reglamentaciones que
rigen su organización. Por ejemplo, debido a problemas de
privacidad, muchas agencias gubernamentales y
departamentos médicos no pueden almacenar información
en la nube o en una empresa de terceros.
OBJETIVO DE CERTIFICACIÓN 15.02
TIPOS DE ANÁLISIS DE RIESGOSAl realizar una evaluación de riesgos, es importante
comprender los dos tipos populares de análisis de riesgos:
cualitativo y cuantitativo. Cualitativo es asignar un valor
basado en una escala a la amenaza y no preocuparse por
calcular la cifra en dólares asociada con el riesgo, mientras
que cuantitativo es asociar un costo en dólares y centavos
con cada riesgo. En esta sección aprenderá la diferencia entre
los dos tipos.
Para el examen Security +, esté muyfamiliarizado con la diferencia entre análisis deriesgos cualitativos y cuantitativos. Cualitativautiliza una escala para identificar la gravedad deuna amenaza, mientras que cuantitativa utiliza
-
qcifras en dólares.
CUALITATIVOComo se mencionó, el análisis de riesgo cualitativo
determina las técnicas de riesgo y mitigación sin calcular
realmente la pérdida como una cifra en dólares. Con el
análisis de riesgo cualitativo, crea una escala y califica
subjetivamente cada amenaza en función de los números en
la escala.
Antes de ver ejemplos de la escala, primero debe comprender
la fórmula para calcular el riesgo, incluso con un análisis de
riesgo cualitativo. La fórmula es que el riesgo es igual a la
probabilidad multiplicada por la pérdida (también conocida
como impacto):
Riesgo = Probabilidad × Pérdida
Con el análisis de riesgo cualitativo, en lugar de gastar
tiempo calculando los dólares y centavos reales, se enfoca en
asignar un valor basado en la escala que crea. Esto ahorra
tiempo durante el análisis porque en realidad no está
tratando de calcular una cifra exacta en dólares. Veamos un
ejemplo.
El primer paso es crear una escala para la probabilidad de
que ocurra una amenaza. La tabla 15-1 muestra un ejemplo
de una tabla de valores de probabilidad. Otro término para
probabilidad es probabilidad , que es el término utilizado
por los objetivos de certificación de Security +.
CUADRO 15-1
Un ejemplo de escala de probabilidad
La tabla refleja que usted ha decidido cinco valores para la
probabilidad. Con cada una de las amenazas enumeradas con
los activos asignará un valor de probabilidad para indicar la
-
los activos, asignará un valor de probabilidad para indicar la
probabilidad de que ocurra la amenaza. Por ejemplo, el
servidor web que aloja un sitio de correo electrónico público
tiene la amenaza de un ataque de denegación de servicio, y
usted le asigna a la amenaza una probabilidad de "Probable",
que tiene un valor de 3.
Una vez que haya determinado la probabilidad, identificará
el impacto asociado con cada una de las amenazas. Al igual
que la probabilidad, la pérdida se basa en una escala: es
posible que desee utilizar una escala "baja, media, alta" o
crear su propia escala, como la que se encuentra en la Tabla
15-2 .
CUADRO 15-2
Un ejemplo de escala de impacto (pérdida)
Mirando la tabla, puede ver que me he ido con otra escala
que tiene cinco valores. Esto le brinda cierta flexibilidad al
asignar un impacto a cada una de las diferentes amenazas.
Por ejemplo, puede decidir que los ataques de denegación de
servicio a su sitio web de comercio electrónico tienen un
impacto en el nivel de "Impacto medio" porque bloquearán el
servidor y dejarán de estar disponibles para los negocios.
Una vez que haya identificado la probabilidad y el impacto
(pérdida) para cada uno de los riesgos, calcule el riesgo de
cada amenaza con base en nuestra fórmula de riesgo =
probabilidad × pérdida . Cuadro 15-3.muestra un ejemplo de
cómo debe trazar las amenazas contra un activo y luego
calcular el riesgo asociado con cada amenaza mediante el
análisis cualitativo. Mide el riesgo asociado con cada una de
las amenazas utilizando la probabilidad y la pérdida
(conocido como impacto). Esto le permite priorizar las
amenazas y hacer frente a las amenazas de mayor prioridad
primero invirtiendo en soluciones de seguridad para proteger
el activo de esas amenazas de alta prioridad. En este ejemplo,
-
sus amenazas de alto riesgo son el ataque de inyección SQL y
el ataque de desbordamiento de búfer, por lo que debería
invertir en controles para evitar que ocurran esas amenazas.
CUADRO 15-3
Ejemplo de análisis cualitativo de riesgos para el sitio de
comercio electrónico
El análisis de riesgo cualitativo tiene el beneficio deser un tipo de evaluación muy rápido porque no estáempantanado con calcular cifras financieras,simplemente aplica valores basados en una escalaque crea.
EJERCICIO 15-1
Realizar un análisis cualitativo de riesgos
En este ejercicio, identificará algunos activos dentro de su
organización y realizará una evaluación de riesgos
identificando amenazas de ejemplo contra el activo y luego
calculando el riesgo en función de un enfoque cualitativo.
1. En una hoja de papel, o usando su procesador de texto
favorito, identifique tres activos diferentes dentro de su
organización.
2. Identifique tres o cuatro amenazas contra cada activo.
3. Usando la escala de probabilidad que se muestra en la
Tabla 15-1 , registre el valor de probabilidad para cada
amenaza.
ili d l l d i l bl
-
4. Utilizando la escala de impacto que se muestra en la Tabla
15-2 , registre el impacto que tendrá cada amenaza.
5. Calcule el riesgo con base en la fórmula de riesgo =
probabilidad × pérdida ( impacto ), y luego priorice las
amenazas con base en que el riesgo más alto sea la prioridad
más alta.
CUANTITATIVOEl otro tipo de análisis de riesgo es cuantitativo. El
inconveniente del análisis cualitativo es que está utilizando
una escala creada por alguien para juzgar la gravedad de la
amenaza, y la gravedad está sujeta al punto de vista de la
persona que realiza la evaluación.
Con el análisis cuantitativo, el costo resultante dela amenaza ayuda a determinar cuánto debeinvertir en una solución de seguridad paraproteger el activo.
Con el análisis cuantitativo, calcula cantidades en dólares
para cada uno de los riesgos y cuál es el impacto de la
amenaza. Este es un tipo crítico de evaluación porque la
gerencia de nivel superior quiere ver cifras en dólares para
justificar el costo de comprar un control de seguridad para
proteger el activo. Por ejemplo, con un análisis cuantitativo,
si dice: "La amenaza nos costará $ 1,400 al año, por lo que
deberíamos comprar una solución de firewall que nos costará
$ 6,500 al año durante tres años", la gerencia puede decirle
que busque un Solución más barata.
El primer paso para el análisis cuantitativo es evaluar el valor
del activo. Por ejemplo, puede determinar que su sitio web de
comercio electrónico genera miles de dólares por día de
ingresos; esto lo ayudará a calcular el valor del activo.
Una vez que conoce el valor del activo, debe determinar el
impacto que tendría cada amenaza para el activo. Con el
-
análisis cuantitativo, el impacto se especifica como un factor
de exposición (EF), que es el porcentaje del valor del activo
que espera perder si ocurre la amenaza.
Una vez que conoce el valor del activo y tiene un factor de
exposición asociado con cada amenaza, puede calcular lo que
se llama la expectativa de pérdida única (SLE) , que es una
cifra en dólares que representa cuánto dinero perderá la
compañía cada vez que la amenaza ocurre. La siguiente es la
fórmula para la expectativa de pérdida única:
SLE = valor ($) × EF (%)
Por ejemplo, supongamos que decide que el sitio web de
comercio electrónico tiene un valor de $ 200,000, y cada vez
que el servidor web tiene una falla en el disco duro, pierde el
8 por ciento del valor del activo .Esto significa que su
expectativa de pérdida única es de $ 200,000 × .08, que es
de $ 16,000. Por lo tanto, cada vez que el disco duro falla en
el servidor, ¡su negocio pierde $ 16,000!
Para el examen Security +, recuerde cómocalcular la expectativa de pérdida única: SLE =valor del activo × factor de exposición.
Una vez que haya calculado la expectativa de pérdida única,
puede trabajar en el cálculo de la expectativa de pérdida
anual (ALE) , que es un cálculo de cuánto dinero perderá por
año con cada una de las amenazas. La fórmula para calcular
la expectativa de pérdida anual es tomar la expectativa de
pérdida única y multiplicarla por la tasa anual de ocurrencia
(ARO) . La tasa anual de ocurrencia es cuántas veces al año
espera que ocurra la amenaza.
ALE = SLE × ARO
Por ejemplo, puede esperar que ocurra una amenaza tres
veces al año o que ocurra una vez cada cinco años. El
-
siguiente ejemplo calcula el ALE para nuestra amenaza de
falla del disco duro si ocurriera tres veces al año:
PERO = $ 16,000 × 3
Esto significa que el ALE basado en el fallo del disco duro
tres veces al año le costaría a la compañía $ 48,000. Debe
asegurarse de que la solución que implemente para proteger
contra fallas del disco duro no cueste más de $ 48,000 al
año.
Para el examen de certificación, recuerde que laexpectativa de pérdida anual se calcula por latasa anual de ocurrencia de SLE ×.
Veamos un ARO diferente. Si se esperaba que la amenaza de
falla del disco duro ocurriera una vez cada cinco años,
entonces su ARO sería 1/5, o .20. Esto significa que su
fórmula para calcular la expectativa de pérdida anual sería
PERO = $ 16,000 × .20
Esto resulta en un ALE de $ 3,200. Por lo tanto, debe
encontrar una solución de seguridad para proteger el activo
que no cuesta más de $ 3,200 al año.
El beneficio del análisis cuantitativo es que está calculando
cifras exactas en dólares, que es lo que le gusta a la gerencia
porque es fácil ver si implementar una solución tiene sentido
desde el punto de vista financiero. El inconveniente del
análisis cuantitativo es el tiempo que lleva calcular estos
números; por ejemplo, es difícil asignar un valor a un activo
porque hay muchas variables involucradas.
-
El análisis de riesgo cuantitativo tiene elbeneficio de poder tomar decisiones informadasen función de si un control de seguridad valeeconómicamente.
EJERCICIO 15-2
Realizar un análisis cuantitativo de riesgos
En este ejercicio, identificará algunos activos dentro de su
organización y realizará una evaluación de riesgos
identificando amenazas de ejemplo contra el activo y luego
calculando el riesgo basándose en un enfoque cuantitativo.
1. En una nueva hoja de papel, o usando su procesador de
texto favorito, identifique tres activos diferentes dentro de su
organización. Intenta estimar el valor del activo.
2. Luego, identifique tres o cuatro amenazas contra cada
activo y luego registre el factor de exposición (porcentaje de
pérdida para el activo) si ocurriera la amenaza.
3. Calcule la expectativa de pérdida única (LES) con cada
amenaza.
4. Determine la tasa anual de ocurrencia (ARO) con cada
amenaza.
5. Calcule la expectativa de pérdida anual (ALE) con cada
amenaza.
OBJETIVO DE CERTIFICACIÓN 15.03
ESTRATEGIAS DE MITIGACIÓN DERIESGOSUna vez que haya identificado todas las amenazas contra los
activos y haya determinado las amenazas críticas, ya sea
mediante análisis cualitativo o análisis cuantitativo, debe
decidir c ál será s técnica de resp esta al riesgo Esto
-
decidir cuál será su técnica de respuesta al riesgo . Esto
también se conoce como la estrategia de mitigación de
riesgos . Los enfoques que puede tomar para hacer frente a
las amenazas son
Mitigar el riesgo (mitigación) La primera forma delidiar con el riesgo es mitigándolo. La mitigación implica la
implementación de un control de seguridad que protege el
activo de la amenaza. Por ejemplo, para protegerse contra
fallas del disco duro en el servidor web, puede comprar una
solución RAID.
Aceptar el riesgo (aceptación) Otra forma demanejar el riesgo es aceptarlo. Aceptar el riesgo significa que
no implementa ninguna solución para protegerse contra la
amenaza porque está convencido de que las posibilidades de
que ocurra la amenaza y el impacto de la amenaza no
garantizan el costo de implementar un control de seguridad.
Transfiera el riesgo (transferencia) ¡ Tambiénpuede considerar transferir el riesgo, lo que significa que
amenaza el problema de otra persona! Por ejemplo, puede
obtener un seguro que lo ayude a recuperarse del incidente
de seguridad.
Evite el riesgo (evitar el riesgo) Evitar el riesgo es la idea de que, sea cual sea la actividad que lo pone en
riesgo, usted decide no realizar esa actividad más para evitar
el riesgo. Por ejemplo, tener un sitio web de comercio
electrónico para obtener ingresos lo pone en riesgo de ser
atacado por fuentes en Internet; puede evitar esto al no
vender productos en línea (pero también pierde los
ingresos).
Determinar el riesgo (disuasión) No es tan comúnque un enfoque para enfrentar el riesgo sea disuadir el
riesgo. Un ejemplo de disuasión de un riesgo es amenazar
con castigar (generalmente un castigo legal) a cualquiera que
ataque el activo; usted está disuadiendo que ocurra el evento.
Puede seguir una serie de prácticas para ayudar a mitigar el
riesgo dentro de su organización. La siguiente es una lista de
estrategias de mitigación comunes con las que debe estar
familiarizado para el examen de certificación de Security +:
Hacer cumplir los controles de seguridad de la
-
Hacer cumplir los controles de seguridad de latecnología El método más común para mitigar el riesgo es
implementar controles de seguridad como RAID, soluciones
de alta disponibilidad, firewalls, cifrado, sistemas de
detección de intrusos, honeypots, parches y protección de
software malicioso. Otro control de seguridad común
importante para las empresas son los controles de
prevención de pérdida de datos (DLP) , generalmente un
software que permite al administrador definir reglas para la
información que se considera confidencial o confidencial y
no permite que la información se comparta o copie.
DENTRO DEL EXAMEN
El valor de la seguridad física
Para el examen Security +, recuerde las diferentes
formas en que puede lidiar con los riesgos. El método
más común para lidiar con los riesgos es mitigar el
riesgo, lo que significa que implementa un control para
reducir el riesgo.
Recuerde que hay otras formas de manejar el riesgo; por
ejemplo, puede aceptar el riesgo al no hacer nada para
controlar el riesgo, o puede transferir el riesgo
comprando una póliza de seguro.
Gestión de cambios Asegúrese de implementarprocedimientos de gestión de cambios en su negocio y de
educar a todos los empleados sobre los métodos adecuados
para realizar cambios. Por ejemplo, asegúrese de que los
desarrolladores realicen cambios en las aplicaciones web en
una máquina de desarrollo y luego publiquen el cambio en
un servidor de prueba para verificar que el cambio sea
exitoso antes de copiarlo en el servidor de producción.
Gestión de incidentes Una parte fundamental de laseguridad es garantizar que tenga un equipo de gestión de
incidentes y procedimientos de respuesta a incidentes que el
equipo siga cuando haya un incidente de seguridad.
Revisiones de permisos y derechos de usuario Tómese el tiempo para evaluar la configuración de los
-
sistemas de forma regular. Esto incluye revisar los privilegios
(derechos) otorgados en un sistema y cualquier permiso
otorgado a los datos. Asegúrese de que se siga el principio de
privilegio mínimo porque esto ayudará a reducir la
ocurrencia de incidentes de seguridad.
Realizar auditorías de rutina Una parte clave detener un entorno seguro es realizar auditorías de rutina.
Puede realizar varias auditorías diferentes, desde una
revisión de configuración hasta una evaluación de
vulnerabilidad.
Aplicar políticas y procedimientos La seguridadde su organización comienza con tener una buena política de
seguridad y exigir que se conozcan las políticas y los
procedimientos. Tener políticas y procedimientos estrictos
que los empleados deben seguir puede ayudar a proteger
contra la pérdida y el robo de datos. Por ejemplo, garantizar
que todos los empleados tengan un código de acceso
configurado en su dispositivo móvil garantiza que si el
dispositivo se pierde o es robado, es más difícil que alguien
tenga acceso a la información en el dispositivo.
EJERCICIO 15-3
Identificación de técnicas de mitigación
En este ejercicio, identificará las técnicas de mitigación de
riesgos asociadas con cada amenaza identificada en el
Ejercicio 15-2.
1. En una nueva hoja de papel, o utilizando su procesador de
textos favorito, registre si transferirá el riesgo, mitigará el
riesgo o aceptará el riesgo de cada amenaza.
2. Justifique su razón para el enfoque de mitigación que
adoptó con cada amenaza.
RESUMEN DE CERTIFICACIÓNEn este capítulo aprendió la importancia de realizar un
análisis de riesgos y los dos tipos más comunes de análisis de
riesgos: cualitativo y cuantitativo. Los siguientes son algunos
-
g y g g
puntos clave para recordar de este capítulo mientras se
prepara para el examen de certificación de Security +:
El análisis de riesgos es el proceso de identificar activos,
identificar las amenazas a esos activos y gestionar esas
amenazas.
El proceso de análisis de riesgos tiene múltiples fases:
debe identificar los activos, reconocer las amenazas contra
los activos, determinar la probabilidad y el impacto, priorizar
las amenazas, identificar la técnica de mitigación y
finalmente evaluar los riesgos residuales.
Los dos tipos principales de análisis de riesgos son los
análisis de riesgos cualitativos y cuantitativos.
El análisis cualitativo no calcula las cifras en dólares
asociadas con el riesgo, pero se centra en identificar la
gravedad de un riesgo en función de los valores que asigne.
El análisis cuantitativo se centra en calcular cuánto
dinero se pierde cuando se produce una amenaza. Esto ayuda
a identificar si el costo de la solución para proteger el activo
está justificado.
Las diferentes formas de lidiar con las amenazas
incluyen métodos comunes como mitigar la amenaza con un
control de seguridad, transferir el riesgo obteniendo una
póliza de seguro o aceptar el riesgo y el hecho de que la
amenaza puede ocurrir.
TALADRO DE DOS MINUTOS
Introducción al análisis de riesgos
El análisis de riesgos es el proceso de identificar las
diferentes amenazas contra los activos de su empresa y
gestionar esas amenazas.
Asegúrese de seguir un proceso al realizar el análisis de
riesgos. El proceso debe involucrar la identificación de los
activos, detectar amenazas contra los activos, priorizar las
-
amenazas en función de la probabilidad y el impacto,
identificar la técnica de mitigación y finalmente evaluar los
riesgos residuales.
El impacto de la amenaza determina el valor de la pérdida
de la amenaza.
Normalmente implementa una técnica de mitigación, que
implica el uso de un control de seguridad para proteger el
activo de la amenaza.
Tipos de análisis de riesgos
Los dos tipos principales de análisis de riesgos son los
análisis de riesgos cualitativos y cuantitativos.
El análisis de riesgo cualitativo utiliza valores asignados a
la probabilidad de la amenaza y el impacto de la amenaza.
El análisis cuantitativo calcula la pérdida financiera en
dólares y centavos mediante el uso de fórmulas para calcular
la expectativa de pérdida anual (ALE).
Para calcular ALE, primero debe calcular la expectativa
de pérdida única, que es el valor del activo multiplicado por
el factor de exposición (SLE = valor × EF).
El ALE es la expectativa de pérdida única multiplicada
por la tasa anual de ocurrencia (ALE = SLE × ARO).
Estrategias de mitigación de riesgos
Una vez que ha identificado las amenazas y las ha
priorizado, decide cómo gestionar esos riesgos.
Los métodos comunes de gestión de riesgos incluyen
mitigar el riesgo mediante la implementación de un control
de seguridad, transferir el riesgo obteniendo una póliza de
seguro o aceptar el riesgo y no hacer nada.
Puede ayudar a mitigar el riesgo haciendo cosas como
realizar auditorías de seguridad periódicas, configurar
controles de seguridad y garantizar que se sigan las políticas
y procedimientos.
-
AUTOTESTLas siguientes preguntas lo ayudarán a medir su
comprensión del material presentado en este capítulo. Como
se indicó, algunas preguntas pueden tener más de una
respuesta correcta, así que asegúrese de leer cuidadosamente
todas las opciones de respuesta.
Introducción al análisis de riesgos
1 . ¿Cuál de los siguientes describe mejor el análisis de
riesgos?
A. Un evento que puede causar daño al activo.
B. Una debilidad en la configuración de hardware o software.
C. Cuando la amenaza a un activo puede causar daño a la
organización, lo que generalmente resulta en una pérdida
financiera
D. La identificación y planificación de técnicas de mitigación
para reducir los riesgos para su organización.
2 . El gerente le ha pedido que lo ayude con algunos
análisis de riesgos dentro de la empresa. ¿Cuál es el primer
paso para realizar una evaluación de riesgos?
A. Identificar las amenazas.
B. Identificar los activos.
C. Identificar el impacto.
D. Evaluar los riesgos residuales.
3 . ¿Cuál de los siguientes es un ejemplo del impacto
intangible de una amenaza?
A. pérdida de ingresos
-
B. Pérdida de producción.
C. Daño a la reputación de la empresa.
D. Pérdida de instalaciones.
Tipos de análisis de riesgos
4 4 . ¿Qué tipo de análisis de riesgo implica calcular los
dólares reales perdidos debido a una amenaza que ocurre?
A. cuantitativo
B. cualitativa
C. Evaluación de riesgos
D. Mitigación
5 5 . Su gerente ha estado leyendo sobre el análisis de
riesgos y le pregunta cuál es el beneficio del análisis
cualitativo. ¿Cómo responderías?
R. Puede justificar el costo porque sabe cuánto dinero le
costará cada amenaza.
B. Puede calcular el ALE.
C. Usted puede calcular el LES.
D. Es más rápido que un análisis cuantitativo.
6 6 . ¿Cuál de los siguientes representa cómo puede
calcular el ALE?
A. SLE × EF
B. SLE × ARO
C. Valor del activo × EF
D. EF × ARO
7 7 . Su empresa tiene una maquinaria que se utiliza para
producir el producto principal que vende. Se ha decidido que
la maquinaria tiene un valor de $ 320,000. Si una parte falla,
-
q $ 3 , p ,
tendrá un impacto en su compañía que perderá el 18 por
ciento del valor del activo con cada falla. Espera que la falla
ocurra una vez cada cuatro años. ¿Cuál es la expectativa de
pérdida anual de la amenaza?
A. $ 57,000
B. $ 29,000
C. $ 57.600
D. $ 14,400
Estrategias de mitigación de riesgos
8 . Después de identificar que existe una amenaza de
desbordamiento de búfer contra su servidor web,
implementa un firewall para controlar la comunicación con
el servidor web. ¿Cómo has manejado el riesgo?
Una transferencia
B. aceptar
C. Mitigar
D. Negar
9 . Al observar una amenaza contra uno de sus activos, ha
decidido obtener una póliza de seguro que cubra el riesgo.
¿Cómo has manejado el riesgo?
Una transferencia
B. aceptar
C. Mitigar
D. Negar
10 . Una pequeña empresa ha identificado que tener elservidor de la empresa en el armario de una instalación y no
tenerlo en una habitación cerrada representa un riesgo.
Deciden no hacer nada para corregir la amenaza. ¿Cómo han
manejado el riesgo?
-
Una transferencia
B. aceptar
C. Mitigar
D. Negar
Pregunta basada en el rendimiento
11 . Usando la exposición, haga coincidir el término en ellado izquierdo con su descripción correspondiente a la
derecha.
RESPUESTAS DE AUTOPRUEBA
Introducción al análisis de riesgos
1 . D. El análisis de riesgos no solo implica
identificar la amenaza o la debilidad en una solución, sino
que también implica identificar la estrategia de mitigación
que debe usarse.
A, B y C son incorrectos. La opción A es la descripciónde una amenaza, la opción B es la descripción de una
vulnerabilidad y la opción C es la descripción del riesgo.
2 . B. El primer paso es identificar los activos.
A, C y D son incorrectos. Después de identificar losactivos, puede identificar las amenazas contra los activos y el
impacto que tendrá cada amenaza El último paso para la
-
impacto que tendrá cada amenaza. El último paso para la
evaluación de riesgos es evaluar los riesgos residuales
después de mitigarlos.
3 . C. Un impacto intangible es el resultado de una
amenaza que no siempre es visible, por ejemplo, el efecto
sobre la reputación de la empresa.
A, B y D son incorrectos. Son impactos tangibles queson resultados visibles de una amenaza que ocurre. Por
ejemplo, su empresa sabe que está perdiendo producción
debido a que un activo no está disponible.
Tipos de análisis de riesgos
4 4 . A. El análisis de riesgo cuantitativo implica el
cálculo de los montos perdidos en dólares debido a una
amenaza.
B, C, and D are incorrect. Qualitative analysis involvesassigning an arbitrary value to the probability of a threat and
the impact, and then using that to determine the priority of
the threat. Risk assessment and mitigation are not correct
because they are not types of risk analysis.
5 . D. Qualitative risk analysis has the benefit that it
is easier and quicker to perform than quantitative because
you do not need to determine the actual value of the asset
and percentages such as the exposure factor. These values
can sometimes be difficult to pinpoint.
A, B, and C are incorrect. They describe benefits ofquantitative risk analysis.
6 . B. The ALE = SLE × ARO. The annual loss
expectancy is equal to the single loss expectancy multiplied
by the annual rate of occurrence.
A, C, and D are incorrect. They do not represent theformula for ALE.
7 . D. To calculate the ALE, you must first calculate
the SLE, which is the value of the asset multiplied by the
impact (known as exposure factor) In this case it is
-
impact (known as exposure factor). In this case, it is
$320,000 × .18 = $57,600 (the SLE). You then must take the
SLE and multiply it by the annual rate of occurrence (in this
case, 1/4). This gives you ALE = 57,600 × .25 = $14,400.
A, B, and C are incorrect. They are not the calculatedALE.
Risk Mitigation Strategies
8 . C. Because you have implemented a security
control, you have mitigated the risk.
A, B, and D are incorrect. Transferring the risk wouldbe making the risk somebody else’s problem, accepting the
risk would be knowing the risk exists and doing nothing
about it, while denying a risk would be not accepting that the
risk exists.
9 . A. You have transferred the risk by getting an
insurance policy, making the risk the insurance company’s
problem.
B, C, and D are incorrect. Accepting the risk would beknowing the risk exists and doing nothing about it,
mitigating the risk would be implementing a security
solution to remove the threat, and denying a risk would be
not accepting that the risk exists.
10. B. Accepting the risk is knowing the risk exists anddoing nothing about it.
A, C, and D are incorrect. Transferring the risk wouldbe making the risk somebody else’s problem, such as getting
an insurance policy. Mitigating the risk would be
implementing a security solution to remove the threat;
denying a risk would be not accepting that the risk exists.
Performance-Based Question
11. The following illustration displays the matching betweenthe terms and their corresponding description. Note that the
real certification exam may ask you to drag the boxes from
one side of the screen onto the boxes on the other side of the
screen.
-
Settings / Support / Sign Out© 2020 O'Reilly Media, Inc . Términos de servicio / Política de privacidad
ANTERIOR14 seguridad física⏮
PRÓXIMO16 Recuperación ante desastres y continuidad del nego… ⏭
https://learning.oreilly.com/u/preferences/https://learning.oreilly.com/public/support/https://learning.oreilly.com/accounts/logout/https://learning.oreilly.com/https://www.oreilly.com/terms/https://learning.oreilly.com/privacyhttps://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch14.xhtmlhttps://learning.oreilly.com/library/view/comptia-security-certification/9781260026085/ch16.xhtml