La Vida Va y Viene
Páginas: 41 (10150 palabras)
Publicado: 10 de abril de 2012
3.1 Tomar Decisiones de Administración de Seguridad de Información
1. Su organización usa el servicio dial-in (marcación interna) para dar soporte al servicio de cliente. El sistema consiste en 21 líneas telefónicas entrantes y 3 líneas salientes. Calculando el riesgo que puede presentarse debido a una interrupción, la expectativa de pérdida anualizada (ALE) es 350,000 dólares. Como una medidapreventiva, se ha decidido analizar la posibilidad de instalar otro circuito telefónico y banco de módem. Se estima que el coste para esta nueva instalación es 350,000 dólares, pero esto bajará la ALE a 25,000 dólares. ¿Esta es una medida preventiva rentable? ¿Por qué?
2. ¿Para la pregunta anterior, qué declaración (ones) de política debería ser escrita para apoyar su decisión?
3. ¿Quédeclaración (ones) de política podría ser escrita lo que cubriría el uso de los módems que van hacia fuera?
4. ¿Cómo aseguraría usted que cada uno sabe y sigue estas políticas, aparte de la formación de conciencia?
Preguntas de Revisión
1. ¿Cuáles son los principios fundamentales de la seguridad de información?
Confidencialidad, integridad, y responsabilidad.
2. ¿Cuál es el método para unsistema para saber quién tiene acceso a sus recursos?
La identificación y la autenticación son el método que asocia el objeto (usuario, proceso, etcétera) con la entidad que esta dice ser.
3. ¿Que es no-repudio?
El no rechazo es la capacidad de asegurar que el creador de una comunicación o mensaje es el remitente verdadero garantizando la autenticidad de su firma digital.
4. ¿Cual es elobjetivo de realización de un análisis de riesgo?
El objetivo de un análisis de riesgo es tasar y cuantificar el daño a activos de información y ayudar a justificar salvaguardias apropiadas.
5. ¿Cómo son formados los procedimientos de seguridad de información?
Los procedimientos son formados a partir de pautas y estándares para poner en práctica las políticas indicadas.
6. ¿Cuál es elobjetivo de clasificar datos?
Se supone que la clasificación de datos le dice como los datos deben ser protegidos.
1. ¿Cómo calcula usted la expectativa de pérdida anualizada de un riesgo particular?
A. SLE × ARO
B. Coste de activo – Coste de Salvaguarda
C. Valor de activo × EF
D. EF × ARO
. A. La Respuesta A es la respuesta correcta porque el cálculo para la expectativa de pérdidaanualizada (ALE) es la expectativa de pérdida individual (SLE) por la tasa anual de ocurrencia (ARO). Las Respuestas B y D no son correctas y no calculan nada que vale la pena para un análisis de riesgo. La Respuesta C calcula el valor de SLE.
2. ¿Que es una política de seguridad de información?
A. Las pautas utilizadas para definir un programa de seguridad
B. Procedimientos para configurarcortafuegos
C. Las declaraciones de la dirección que perfilan sus objetivos de seguridad
D. Procedimientos de administracion de riesgos
C. La Respuesta C es la respuesta correcta porque las políticas son usadas para describir como una organización quiere proteger activos de información. La Respuesta A se equivoca porque las pautas son sacadas de las políticas. La Respuesta B es un procedimientoque apoyaría una política. La Respuesta D se equivoca porque la dirección de riesgo es un componente en la creación de la política y no los define.
3. ¿Qué declaración es verdadera considerando los objetivos de seguridad de información qué los militares usarían contra los objetivos usados para sistemas comerciales?
A. Un sistema militar requiere la seguridad más alta porque los riesgos sonmayores.
B. Los sistemas militares basan sus mandos en la confidencialidad, mientras que los sistemas comerciales están basados en integridad de datos y disponibilidad.
C. Sólo los militares pueden hacer sistemas realmente seguros.
D. Los sistemas militares basan sus mandos en disponibilidad e integridad de datos, mientras que los sistemas comerciales están basados en la confidencialidad.
B....
1. Su organización usa el servicio dial-in (marcación interna) para dar soporte al servicio de cliente. El sistema consiste en 21 líneas telefónicas entrantes y 3 líneas salientes. Calculando el riesgo que puede presentarse debido a una interrupción, la expectativa de pérdida anualizada (ALE) es 350,000 dólares. Como una medidapreventiva, se ha decidido analizar la posibilidad de instalar otro circuito telefónico y banco de módem. Se estima que el coste para esta nueva instalación es 350,000 dólares, pero esto bajará la ALE a 25,000 dólares. ¿Esta es una medida preventiva rentable? ¿Por qué?
2. ¿Para la pregunta anterior, qué declaración (ones) de política debería ser escrita para apoyar su decisión?
3. ¿Quédeclaración (ones) de política podría ser escrita lo que cubriría el uso de los módems que van hacia fuera?
4. ¿Cómo aseguraría usted que cada uno sabe y sigue estas políticas, aparte de la formación de conciencia?
Preguntas de Revisión
1. ¿Cuáles son los principios fundamentales de la seguridad de información?
Confidencialidad, integridad, y responsabilidad.
2. ¿Cuál es el método para unsistema para saber quién tiene acceso a sus recursos?
La identificación y la autenticación son el método que asocia el objeto (usuario, proceso, etcétera) con la entidad que esta dice ser.
3. ¿Que es no-repudio?
El no rechazo es la capacidad de asegurar que el creador de una comunicación o mensaje es el remitente verdadero garantizando la autenticidad de su firma digital.
4. ¿Cual es elobjetivo de realización de un análisis de riesgo?
El objetivo de un análisis de riesgo es tasar y cuantificar el daño a activos de información y ayudar a justificar salvaguardias apropiadas.
5. ¿Cómo son formados los procedimientos de seguridad de información?
Los procedimientos son formados a partir de pautas y estándares para poner en práctica las políticas indicadas.
6. ¿Cuál es elobjetivo de clasificar datos?
Se supone que la clasificación de datos le dice como los datos deben ser protegidos.
1. ¿Cómo calcula usted la expectativa de pérdida anualizada de un riesgo particular?
A. SLE × ARO
B. Coste de activo – Coste de Salvaguarda
C. Valor de activo × EF
D. EF × ARO
. A. La Respuesta A es la respuesta correcta porque el cálculo para la expectativa de pérdidaanualizada (ALE) es la expectativa de pérdida individual (SLE) por la tasa anual de ocurrencia (ARO). Las Respuestas B y D no son correctas y no calculan nada que vale la pena para un análisis de riesgo. La Respuesta C calcula el valor de SLE.
2. ¿Que es una política de seguridad de información?
A. Las pautas utilizadas para definir un programa de seguridad
B. Procedimientos para configurarcortafuegos
C. Las declaraciones de la dirección que perfilan sus objetivos de seguridad
D. Procedimientos de administracion de riesgos
C. La Respuesta C es la respuesta correcta porque las políticas son usadas para describir como una organización quiere proteger activos de información. La Respuesta A se equivoca porque las pautas son sacadas de las políticas. La Respuesta B es un procedimientoque apoyaría una política. La Respuesta D se equivoca porque la dirección de riesgo es un componente en la creación de la política y no los define.
3. ¿Qué declaración es verdadera considerando los objetivos de seguridad de información qué los militares usarían contra los objetivos usados para sistemas comerciales?
A. Un sistema militar requiere la seguridad más alta porque los riesgos sonmayores.
B. Los sistemas militares basan sus mandos en la confidencialidad, mientras que los sistemas comerciales están basados en integridad de datos y disponibilidad.
C. Sólo los militares pueden hacer sistemas realmente seguros.
D. Los sistemas militares basan sus mandos en disponibilidad e integridad de datos, mientras que los sistemas comerciales están basados en la confidencialidad.
B....
Leer documento completo
Regístrate para leer el documento completo.