Está en la página 1de 10

ISO 27017

1. ¿En qué se centra el ISO 27017?

Esta norma ayuda a que todos los datos que el cliente necesite para estar seguro de su
protección frente a posibles riesgos.

2. ¿Cómo se beneficiará un proveedor de servicios cloud de la certificación ISO 27017?

Inspira confianza en su negocio: proporciona una mayor seguridad a clientes y partes


interesadas de que los datos y la información están protegidos.

3. ¿Cómo se beneficiará un Clientes de servicios cloud de la certificación ISO 27017?

Pueden reducir los riesgos de su negocio asegurándose de que entienden su responsabilidad y


toman las mejores decisiones en torno a su elección de proveedor.

4. ¿qué empresa tiene la certificación del ISO 27017?


 Amazon Web Services
 Google

5. ¿Qué es CSA y su función?

Cloud Security Alliance (CSA) es una organización sin fines de lucro que se encarga de generar
documentos, prácticas y recomendaciones, polÍticas para el uso Seguro de Cloud computing.
PILAR
1. ¿Qué significa PILAR y que consiste?
Pilar significa “Procedimiento Informático Lógico de Análisis de Riesgos”; Consiste en
una aplicación informática que compila los activos del sistema, sus relaciones de
independencia y valor para la organización. Conocido el sistema, permite introducir las
amenazas posibles en los aspectos de disponibilidad, integridad, confidencialidad,
autenticidad y trazabilidad, para derivar los riesgos potenciales sobre el sistema
2. ¿En qué consiste el Análisis Cualitativo en PILAR?
PILAR, puede realizar un análisis cualitativo, usando una serie de niveles discretos, un
análisis cualitativo permite:
*Identificar los activos más significativos.
*Identificar el valor relativo de los activos.
*Identificar las amenazas más relevantes.
*Identificar las salvaguardas presentes en el sistema.
*Establecer claramente los activos críticos (los que están sujetos a un riesgo
máximo)
3. ¿En qué consiste Análisis Cuantitativo en PILAR?
PILAR, puede realizar un análisis cuantitativo detallado:
*Detalla las consecuencias económicas de la materialización de una amenaza
en un activo.
*Estima la tasa anual de ocurrencia de amenazas.
*Detalla el coste de despliegue y mantenimiento de las salvaguardas.
*Permite ser más preciso en la planificación de gastos de cara a un plan de
mejora de seguridad.
4. Mencione los impactos y riesgo en PILAR
El impacto es un indicador de que puede suceder cuando ocurren las amenazas.
El riesgo es un indicador de lo que probablemente suceda por causa de las amenazas.
El impacto y el riesgo se mitigan por medio de salvaguardas, viéndose reducidos a
valores residuales.
El impacto y el riesgo, el potencial y los valores residuales, constituyen información
importante para tomar decisiones en materia de seguridad, por ejemplo:
*Activos supervisar.
*Salvaguardas a desplegar o a mejorar.
*Aceptación de riesgos operacionales.
5. Menciones las ventajas del uso de la herramienta PILAR
1. Conocer los riesgos a fin de poder tratarlos.
2. Conocer el grado de cumplimiento de diferentes perfiles de seguridad: 27002,
protección de datos de carácter personal, esquema nacional de seguridad, etc.
3. Implementar la metodología Magerite ISO/IEC 27005
GESTION DE RIESGO
1. ¿Cuáles son las fases para la gestión de riesgo?

Son: Análisis de Riesgo, Clasificación de Riesgo, Reducción de Riesgo, Control de


Riesgo.

2. ¿Cuál es el propósito de la Clasificación de datos en el Análisis de Riesgo?

La clasificación de datos tiene el propósito de garantizar la protección de datos


(personales) y significa definir, dependiendo del tipo o grupo de personas internas y
externas, los diferentes niveles de autorización de acceso a los datos e informaciones.

3. ¿Cuál es el objetivo de la Clasificación de Riesgo?

El objetivo de la clasificación de riesgo es determinar hasta que grado es factible


combatir los riesgos encontrados. La factibilidad normalmente depende de la voluntad
y posibilidad económica de una institución, sino también del entorno donde nos
ubicamos.

4. ¿Cómo se logra la Reducción de Riesgo?

La reducción de riesgo se logra a través de la implementación de Medidas de


protección, que basen en los resultados del análisis y de la clasificación de riesgo.

5. ¿Para qué nos sirven las conclusiones que salen como resultados del control de
riesgo?

En el proceso continuo de la Gestión de riesgo, las conclusiones que salen como


resultado del control de riesgo, nos sirven como fuente de información, cuando se
entra otra vez en el proceso de la Análisis de riesgo.
HISTORIA DE LA SEGURIDAD DE LA INFORMACION
1. ¿Qué es Seguridad?

Se define la palabra seguridad: “Viene del latín seguritas, se refiere a la cualidad de


seguro, es decir, aquello que está exento de peligro, daño o riesgo. Algo seguro es algo
cierto. La seguridad por lo tanto es una certeza”.

2. ¿Qué es Seguridad de la Información?

La seguridad de la información es el conjunto de medidas preventivas y reactivas de las


organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la
información buscando mantener la confidencialidad, la disponibilidad e integridad de
datos y de la misma.

3. Mencione y explique cuáles son los Principios de la Seguridad de la Información.

 Integridad: Es la propiedad que busca mantener los datos libres de


modificaciones no autorizadas.

 Confidencialidad: La confidencialidad es la propiedad que impide la divulgación


de información a individuos, entidades o procesos no autorizados.

 Disponibilidad : Es la característica, cualidad o condición de la información de


encontrarse a disposición de quienes deben acceder a ella, ya sean personas,
procesos o aplicaciones.

 Autenticación o autentificación : Es la propiedad que permite identificar el


generador de la información.

4. Mencione y explique cuáles son las actividades que debe realizar el departamento
encargado de la seguridad de la Información

 Análisis de Riesgo : Proceso mediante el cual se identifican las amenazas y las


vulnerabilidades en una organización, valorando su impacto y la probabilidad
de que ocurran.

 Plan Integral de Seguridad Informática : Se definen los lineamientos de la


planeación, el diseño e implantación de un modelo de seguridad cuyo objetivo
es proteger la información y los activos de la organización, garantizando la
confidencialidad, integridad y disponibilidad de los datos.
 Políticas de Seguridad : “Requisitos definidos por los responsables de un
sistema, que indica en términos generales, que está y que no está permitido en
el área de seguridad durante la operación del sistema.”
 Clasificación de Activos Informáticos : Se debe mantener un listado detallado
de los activos de información como su localización, clasificación de seguridad y
riesgo, propietario, grupo de activo al que pertenece, entre otros.

 Auditorías : Se provee el aseguramiento independiente de la administración en


relación a la efectividad de los objetivos de la seguridad de la información.

5. Mencione 7 principales tecnologías referentes a la seguridad de la información en


informática.

 Administración de cuentas de usuarios


 Detección y prevención de intrusos
 Infraestructura de llave publica
 Capas de Socket Segura (SSL)
 Cumplimiento de privacidad
 Redes Virtuales Privadas "VPNs"
 Transferencia Electrónica Segura "SET"
Cultura Organizacional: Lo primero

1.- ¿Qué ES LA ISO 27001 Y QUE DESCRIBE?

ISO 27001 es una norma internacional emitida por la Organización Internacional de


Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa.

2.- ¿EN QUE SE BASA PRINCIPALMENTE LA NORMA ISO 27001?

La ISO 27001 se basa en la gestión de riesgos: investigar dónde están los riesgos y luego tratarlos
sistemáticamente.

3.- ¿Cuáles son las ventajas que una empresa pueda obtener la norma ISO 27001?

 Cumplir con los requerimientos legales


 Obtener una ventaja comercial
 Menores costos
 Una mejor organización

4.- ¿Mencione 3 pasos para implementar la norma ISO 27001?

 Obtener el apoyo de la dirección.


 Utilizar una metodología para gestión de proyectos.
 Definir el alcance del SGSI.
 Redactar una política de alto nivel sobre seguridad de la información.

5.- ¿Cuántos tipos de certificados existen y cuáles son?

Existem 2 tipos y son:

 Para las organizaciones.


 Para las personas.
ISO 27799
1.- ¿De qué trata la ISO 27799?

Rpta. Trata sobre pautas para las normas de la seguridad de la información organizacional y las
prácticas de gestión de la seguridad de la información, incluida la selección, implementación y
administración de controles teniendo en cuenta los entornos de riesgo de la seguridad de la
información de la organización.

2.- ¿Qué pretende asegurar la norma?

Rpta. A través de la adopción de esta norma, se pretende asegurar un nivel mínimo de


seguridad adecuado a las circunstancias de su organización.

3.- ¿A que hace referencia está norma?

Rpta. Se refiere a la seguridad de la información, pero orientada a una gestión de las


necesidades del sector sanitario a través del control de sus específicos entornos operativos.

4.- ¿Qué premisa deben cumplir los sistemas de información sanitarios?

Rpta. Deben estar siempre disponibles para la eficacia de prestación de servicios médicos. Los
sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en
funcionamiento tanto en situaciones de desastre natural, como en fallos del sistema o durante
eventuales ataques de denegación de servicio.

5.- ¿Qué áreas de seguridad de la información están fuera del alcance de la ISO 27799?

Rpta.

 Metodologías y pruebas estadísticas para una anonimización efectiva de la


información personal de salud.
 Metodologías para la seudonimización de la información de la salud personal.
 Calidad de servicio de la red y métodos para medir la disponibilidad de redes utilizadas
para informática sanitaria
 Calidad de datos
ISO 27005
1) ¿Qué es la ISO 27005?
Es el estándar internacional que se ocupa de la gestión de riesgos de
seguridad de información.
2) ¿A qué tipo de organizaciones es aplicable la ISO 27005?
Es aplicable a todo tipo de organizaciones que tengan la intención de
gestionar los riesgos que puedan complicar la seguridad de la información de
su organización.
3) ¿La ISO 27005 recomienda una metodología concreta?
No recomienda una metodología concreta, dependerá de una serie de
factores como el alcance real del Sistema de Gestión de Seguridad de la
Información (SGSI) o el sector comercial de la propia industria.
4) ¿Por qué es importante la ISO 27005?
La importancia del análisis de riesgos según esta ISO, proviene de que es una
herramienta que nos permite identificar las amenazas a las que se encuentran
expuestos todos los activos, se estima la frecuencia en la que se materializan
todas las amenazas y valora el impacto que supone que se materialice en
nuestra organización.
5) ¿Por qué hay personas que critican la ISO 27005?
La crítica se centra en señalar que el estándar ISO 27005 no se adentra de
forma real en la gestión de los riesgos, sino que se queda en un mero marco
declarativo de determinados riesgos, además de la subordinación que
presenta el estándar hacia el Sistema de Gestión de Seguridad de la
Información.
MARGERIT

1. ¿Qué es MARGERIT?

Es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de


Administración Electrónica, dependen de forma creciente de las tecnologías de la
información para el cumplimiento de su misión.

2. ¿Para quienes está dirigido MARGERIT?

MAGERIT interesa a todos aquellos que trabajan con información digital y sistemas
informáticos para tratarla.

3. Mencionar dos objetivos de MARGERIT

• Ofrecer un método sistemático para analizar riesgos.


• Ayudar a descubrir y planificar las medidas oportunas para mantener los riesgos bajo
control.

4. ¿Cuál es la desventaja de MARGERIT?

El hecho de tener que traducir en forma directa todas las valoraciones en valores
económicos, hace que la aplicación de esta metodología sea realmente costosa.

5. Mencionar los elementos del análisis de riesgo de MARGERIT

 Activos
 Amenazas
 Impacto
 Salvaguardas
 Vulnerabilidades
 Impacto
ISO 27016
1. De qué trata la ISO/IEC TR 27016.

Forman el sistema especializado para la normalización mundial Organismos nacionales


que son miembros de ISO o IEC participan en el desarrollo de estándares
internacionales a través de comités establecidos por la organización respectiva para
tratar campos particulares de actividad. Los comités técnicos de ISO e IEC colaboran en
campos de interés mutuo.

2. ¿Cuáles son los beneficios económicos de la administración de seguridad de la


información (ISO/IEC TR 27016)?

a) Minimizar cualquier impacto negativo en los objetivos comerciales de la


organización.

b) Asegurar que cualquier perdida financiera sea aceptable.

c) Evitar los requerimientos de capital de riesgo adicional y provisión para las


contingencias.

3. ¿Cuáles son los beneficios que deben ser cuantificados e incluidos como parte del
análisis económico?

a) Permitir que la empresa participe en emprendimientos de alto riesgo.

b) Permitir que la empresa cumpla con las obligaciones legales y reglamentarias.

c) Gestionar las expectativas de los clientes de la organización.

d) Gestionar las expectativas de la comunidad respecto de la organización.

e) Mantener una reputación organizacional confiable.

f) Asegurando la integridad y exactitud de los informes financieros.

4. ¿Qué quiere decir referencias normativas?

Los siguientes documentos, en su totalidad o en parte, están referenciados


normativamente en este documento y son indispensable para su aplicación. Para las
referencias con fecha, sólo se aplica la edición citada. Para sin fecha referencias, se
aplica la última edición del documento referenciado (incluidas las enmiendas). ISO /
IEC 27000.

5. A quienes está destinado el lector de informe técnico.

Principalmente está destinado a la gerencia ejecutiva que ha delegado la


responsabilidad del gobierno cuerpo para estrategia y política, p. Directores Ejecutivos
(CEO), Jefes de Organizaciones Gubernamentales, Directores financieros (CFOs), de
seguridad de la información (CISO) y roles similares.