Wondershare EdrawMind
Galeria de mapas mentais Notas de estudo CISSP-2 (Conceitos de segurança de pessoal e gerenciamento de riscos)
- 7
- 1
- 1
Notas de estudo CISSP-2 (Conceitos de segurança de pessoal e gerenciamento de riscos)
Ele registra detalhadamente os principais pontos de conhecimento e pontos de teste relacionados ao Capítulo 2 do CISSP, Segurança de Pessoal e Gerenciamento de Riscos, e possui diversas questões de revisão.
Editado em 2024-01-23 15:59:36
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
Notas de estudo CISSP-2 (Conceitos de segurança de pessoal e gerenciamento de riscos)
- moléculas que compõem as células
A segunda unidade do Curso Obrigatório de Biologia resumiu e organizou os pontos de conhecimento, abrangendo todos os conteúdos básicos, o que é muito conveniente para todos aprenderem. Adequado para revisão e visualização de exames para melhorar a eficiência do aprendizado. Apresse-se e colete-o para aprender juntos!
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 16 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Extração e corrosão de mim. O conteúdo principal inclui: Corrosão de metais, Extração de metais e a série de reatividade.
- Cambridge IGCS Chemistry Coursebook 2023 Capítulo 15 Resumo dos pontos de conhecimento
Este é um mapa mental sobre Reatividade de metais. O conteúdo principal inclui: Reações de deslocamento de metais, A série de reatividade de metais.
- Recomendado para você
- Descrição
Mapa mental de gerenciamento de projetos PMP (Capítulo 3, Gerenciamento do escopo do projeto)
- 11
Gerenciamento de projetos PMP (Capítulo 2, Gerenciamento Integrado de Projetos) Mapa Mental
- 11
Notas de estudo CISSP-2 (Conceitos de segurança de pessoal e gerenciamento de riscos)
1-Resumo dos pontos de conhecimento
Políticas e Procedimentos de Segurança de Pessoal
Os elementos mais vulneráveis, com formação adequada, podem tornar-se ativos de segurança críticos e parceiros valiosos nos esforços de segurança
Descrição do trabalho e responsabilidades
As descrições de cargos devem considerar questões de segurança
Defina as funções que precisam ser atribuídas aos funcionários e as funções sejam consistentes com privilégios e tarefas
A lista de responsabilidades é a forma de atribuir direitos de acesso, permissões e privilégios
Não recrutamento, ciclo de vida completo
Triagem e recrutamento de candidatos
Integração: acordos e estratégias de trabalho
O princípio do menor privilégio e direitos de acesso
Acordo de confidencialidade do NDA
As responsabilidades profissionais do funcionário mudam, acessam novos ativos, assinam NDAs adicionais
Supervisão de funcionários
As tarefas e privilégios de trabalho serão alterados e muitos privilégios aumentarão os riscos organizacionais
licença compulsória
Outros funcionários usam suas contas para desempenhar suas funções profissionais, detectar abuso, fraude ou negligência e verificar tarefas e privilégios profissionais
A segregação de funções, a rotação de funções, a formação cruzada e o afastamento forçado podem reduzir o risco de conluio
UBA: Análise do Comportamento do Usuário UEBA: Análise do Comportamento de Usuários e Entidades Pode melhorar as políticas, procedimentos, treinamento e programas de supervisão de segurança relacionados à segurança do pessoal
Processo de Separação, Transferência e Rescisão
Os procedimentos de desligamento também podem ser usados quando os funcionários se mudam para um departamento, instalação ou local físico diferente
Transferência de pessoal pode ser considerada demissão/recontratação
Os fatores para decidir qual programa usar incluem:
Se deve manter a mesma conta de usuário
se devem ajustar suas permissões
As novas responsabilidades do trabalho são semelhantes às do cargo anterior?
Você precisa de uma nova conta com um histórico limpo?
O novo cargo exige uma auditoria?
Contratos e controles de fornecedores, consultores e empreiteiros
Usar um Acordo de Nível de Serviço (SLA) é uma forma de garantir que os níveis de serviço sejam fornecidos
SLAs e controles de fornecedores, consultores e contratados são uma parte importante para mitigar cartas e evitar riscos
A terceirização é uma resposta que transfere ou atribui riscos
Funções do sistema de gerenciamento de fornecedores VMS:
Pedido conveniente
distribuição de pedidos
Solicitar treinamento
Faturamento unificado
Requisitos da política de conformidade
Benefícios da conformidade
alta qualidade
consistência
eficiência
economizar custos
DANOS POR VIOLAÇÃO DE CONFORMIDADE
lucro
Quota de mercado
Aprovação
reputação
A aplicação da conformidade refere-se à imposição de sanções ou consequências pelo não cumprimento de políticas, treinamento, melhores práticas, regulamentos
Executivo de Fiscalização de Conformidade
CISO ou CEO
Gerentes e supervisores de funcionários
Auditores e reguladores terceirizados
Requisitos da Política de Privacidade
definição de privacidade
Proteja proativamente contra acesso não autorizado a informações de identificação pessoal, informações de identificação pessoal (PII)
Impedir o acesso não autorizado a informações pessoais ou confidenciais
Para evitar ser observado, monitorado ou inspecionado sem consentimento ou conhecimento
Setor de TI lida com privacidade
Compreender e aplicar conceitos de gerenciamento de risco
Visão geral
Os resultados da primeira gestão de riscos são a base para a formulação de estratégias de segurança
Os eventos subsequentes de gerenciamento de riscos são usados para melhorar e manter a infraestrutura de segurança da organização.
Componentes de gestão de risco:
Avaliação de Risco (Análise)
Avalie a probabilidade de ocorrência
Perdas causadas após o lançamento real
Avalie os custos de diversas medidas de controle de risco
Os resultados dos três itens acima classificam as prioridades de risco.
resposta ao risco
Use análise de custo/benefício
Avaliar controles de risco, salvaguardas e controles de segurança
Implantar medidas correspondentes selecionadas na infraestrutura de TI e descrevê-las no documento de política de segurança
Consciência de risco
Termos e conceitos de risco
Avaliação de ativos
Identifique ameaças e vulnerabilidades
Avaliação/análise de risco
Análise quantitativa
Calcule as perdas de ativos usando o valor monetário real com base em cálculos matemáticos
Análise qualitativa
Representar perdas de ativos em termos subjetivos e intangíveis, levando em consideração opiniões, sentimentos, intuição, preferências, pensamentos e reações viscerais
Técnicas qualitativas de análise de risco
Cenas
Tecnologia Delphi
Feedback anônimo e processo de resposta, sem discriminação com base na origem da ideia
Análise quantitativa de risco
etapa
fator de exposição FE
Também conhecida como perda potencial, expressa em porcentagem, usar dados internos, realizar análises estatísticas, consultar o público, assinar livros/registros de risco, trabalhar com consultores, usar software de gerenciamento de risco
expectativa de perda única SLE
SLE = Valor Ativo (AV) * Fator de Exposição (EF)
Taxa anual de ocorrência ARO
Perda Anual Esperada ALE
ALE=Expectativa de Primeira Perda (SLE)*Taxa de Ocorrência Anual (ARO)=AV*EF*ARO
resposta ao risco
Mitigação de Risco (Redução)
Implementar salvaguardas, controles de segurança e contramedidas de segurança para reduzir ou eliminar vulnerabilidades ou prevenir ameaças
transferência de risco
Compre segurança cibernética, seguros, terceirização
dissuasão de risco
Implementar auditorias, câmeras de segurança, banners de alerta, usar pessoal de segurança
Aversão a risco
Selecione alternativa
aceitação de risco
aceitar a perda
rejeição de risco
Negar ou ignorar o risco
Risco total = ameaça * vulnerabilidade * valor do ativo Risco total - lacuna de controle = risco residual
A gestão de riscos não é um evento único
Custos e benefícios dos controles de segurança
O valor da medida protetiva para a empresa = ALE antes da implementação da medida protetiva - ALE após a implementação da medida protetiva - Custo anual da medida protetiva ACS
ALE1-ALE2-ACS
As melhores medidas de segurança, as mais económicas
Selecionar e implementar contramedidas de segurança
Classificação
Controles administrativos
Inclui: políticas, procedimentos, práticas de contratação, verificações de antecedentes, classificação e rotulagem de dados, conscientização e treinamento de segurança, relatórios e revisão, supervisão de trabalho, controles e testes de pessoal
Controles lógicos/técnicos
Inclui: autenticação, criptografia, interfaces restritas, listas de controle de acesso, protocolos, firewalls, roteadores, sistemas de detecção de intrusão e níveis de limite
medidas de controle físico
sub tópico
Tipos de controle aplicáveis
controle preventivo
IPS
Controle de dissuasão
Políticas, treinamento de conscientização de segurança, fechaduras, cercas, sinalização de segurança, guardas de segurança, foyers de controle de acesso e câmeras de segurança
controle de detecção
IDs
Controle de remuneração
controle corretivo
restaurar o controle
Controle de instrução
Avaliação de controle de segurança
Avalie mecanismos individuais da infraestrutura de segurança em relação às linhas de base ou expectativas de confiabilidade
Pode ser usado como complemento para testes de penetração ou avaliação de vulnerabilidades
Também disponível como uma avaliação de segurança completa
Monitoramento e Medição
Relatórios e documentação de riscos
Conteúdo do registro de risco
Riscos identificados
Avalie a gravidade desses riscos e priorize-os
Desenvolva respostas para reduzir ou eliminar riscos
Acompanhe o progresso da mitigação de riscos
continue melhorando
Avaliação do Modelo de Maturidade de Risco (RMM) Plano ERM de Gerenciamento de Risco Corporativo
Nível de RMM
nivel inicial
Nível preparatório
nível de definição
Estrutura de risco comum ou padronizada
Nível integrado
As operações de gerenciamento de risco são integradas aos processos de negócios
Nível de otimização
Metas
risco legado
EOL
EOSL
quadro de risco
Estrutura de gestão de risco RMF
Padrões obrigatórios para agências federais
Existem seis estágios cíclicos no RMF
Prepare-se a partir de uma perspectiva organizacional e de sistema, estabelecendo o contexto e as prioridades para gerenciar riscos de segurança e privacidade Executar RMF
Classificação Classifica os sistemas e as informações que eles processam, armazenam e transmitem com base na análise do impacto da perda.
Seleção Selecione um conjunto inicial de amarrações para o sistema e adapte os controles conforme necessário para reduzir o risco a uma água seca aceitável com base na avaliação de risco.
Implementar Implementar o controle e descrever como ele será utilizado no sistema e em seu ambiente operacional.
Avaliação Avalie os controles para determinar se os controles são implementados corretamente, operam conforme esperado e produzem resultados esperados que atendem aos requisitos de segurança e privacidade.
Autorização Autoriza sistemas ou controles comuns com base na determinação de que os riscos para as operações e ativos da organização, indivíduos, outras organizações e países são aceitáveis.
O monitoramento inclui avaliar a eficácia do controle, registrar alterações em sistemas e ambientes operacionais, realizar avaliações de risco e análises de impacto e relatar o status de segurança e privacidade dos sistemas
Estrutura de segurança cibernética do CSF
Projetado para infraestrutura e organizações comerciais
Engenharia social
A maneira mais eficaz de se defender contra ataques de engenharia social
Educação do usuário
treinamento de conscientização
princípio
autoridade
intimidação
consenso
escassez
familiar
confiar
urgência
obtendo informações
preposição
Phishing
Phishing lança
baleia de phishing
Phishing por SMS
Phishing de voz
Spam
espiada no ombro
Fraude de fatura
travessura
Falsificação e disfarce
Utilização não autorizada e carona
Pesquisa de lixo
fraude de identidade
Nome de domínio impresso incorretamente
influenciar o movimento
guerra híbrida
mídia social
Estabelecer e manter programas de conscientização, educação e treinamento em segurança
consciência de segurança
Pré-requisitos para treinamento de segurança
treinamento
educar
Melhorar
Mude o foco dos objetivos, às vezes no indivíduo, às vezes no cliente, às vezes na organização
Mude a ordem e o foco dos assuntos. Uma vez é engenharia social, da próxima vez é segurança de equipamentos e da próxima vez é outra coisa.
Vários métodos de apresentação
Através da dramatização, deixe os participantes interpretarem atacantes e defensores, permitindo que diferentes pessoas forneçam ideias para lidar com o ataque e a defesa.
Desenvolver e incentivar líderes de segurança
A gamificação aprimora e melhora o treinamento
incentivo e punição
Aumentar a participação dos funcionários em treinamentos
aumentar a compreensão
Outras melhorias: exercícios de captura de bandeira, simulação de phishing, treinamento baseado em computador (CBT) e treinamento baseado em funções
avaliação de eficácia
Adote novos métodos e técnicas
regular
Pontos-chave do 2º exame
1. Compreenda que as pessoas são um elemento crítico de segurança
2. Entenda a importância da descrição do cargo
3. Compreenda as implicações de segurança da contratação de novos funcionários
4. Entenda a integração e o desligamento
5. Compreenda o princípio do menor privilégio
6. Compreenda a necessidade de acordos de não divulgação (NDA)
7. Entenda a supervisão dos funcionários
8. Compreenda a necessidade da licença compulsória
9. Entenda UBA e UEBA
10. Entenda as transferências de pessoal
11. Explique estratégias de rescisão apropriadas
12. Compreender os controles de fornecedores, consultores e contratados
13. Compreenda a conformidade com as políticas
14. Entenda como a privacidade se enquadra no cenário de segurança de TI
15. Capacidade de definir a gestão geral de riscos
16. Compreender a análise de risco e elementos relacionados
17. Saiba avaliar ameaças
18. Compreenda a análise qualitativa de risco
19. Compreender a tecnologia Delphi
20. Compreenda a análise quantitativa de risco
21. Conceito de Fator de Exposição Jess (FE)
22. Compreender o significado e o método de cálculo da expectativa de perda única (SLE)
23. Compreendendo a taxa anual de ocorrência (ARO)
24. Entenda o significado e cálculo da Expectativa Anual de Perda (ALE)
25. Entenda a fórmula de avaliação das medidas de proteção
26. Entenda como lidar com os riscos
27. Explique o risco total, o risco de participação e as lacunas de controle
28. Compreenda os tipos de controle
29. Compreenda os tipos de controle
30. Compreenda a Avaliação de Controle de Segurança (SCA)
31. Compreenda a segurança, saúde e medição
32. Compreenda os relatórios de risco
33. Compreenda a necessidade de melhoria contínua
34. Compreenda o modelo de maturidade de risco
35. Entenda os riscos legados, riscos de segurança
36. Compreenda a estrutura de risco
37. Compreenda a engenharia social
38. Compreender como implementar formação, formação e educação de sensibilização para a segurança
39. Conheça os líderes de segurança
40. Entenda a gamificação
41. Compreenda a necessidade de revisões regulares de conteúdo e avaliações de eficácia
Exercícios importantes
1. Ativo – qualquer coisa usada em um processo ou tarefa de negócios Ameaça - qualquer evento potencial que possa ter efeitos adversos ou consequências não intencionais em uma organização ou em um ativo específico Vulnerabilidade - Uma fraqueza num ativo, ou a fraqueza ou ausência de medidas de proteção Exposto – Vulnerável à perda de ativos devido a uma ameaça, com a possibilidade de que a vulnerabilidade possa ou seja explorada Risco - a probabilidade ou probabilidade de que uma ameaça explore uma vulnerabilidade para causar danos a um ativo e a gravidade dos danos que podem ser causados
2. As reuniões de segurança concentram-se na definição do valor dos ativos, no desenvolvimento de uma lista de ameaças, na previsão do nível específico de danos que uma violação causaria e na determinação do número de vezes que uma ameaça poderia perturbar a empresa por ano. O que é isso: Uma avaliação qualitativa de risco Tecnologia B Delphi C aversão ao risco D Avaliação Quantitativa de Risco
Resposta correta: D
3. Quais das seguintes opções são definições de risco válidas: A Uma avaliação de probabilidade, verossimilhança ou acaso B Qualquer coisa que elimine uma vulnerabilidade ou proteja contra uma ou mais ameaças específicas Risco C = ameaça * vulnerabilidade D cada instância exposta E A existência de vulnerabilidades na presença de ameaças relevantes
Resposta correta: DCC
4. A empresa instala uma nova aplicação web em um servidor web público. Os hackers exploraram o novo código e obtiveram acesso aos arquivos de dados hospedados no sistema. ilustrar: Um risco inerente Matriz de risco B C Avaliação qualitativa D risco residual
Resposta correta: UMA Riscos que existem antes de qualquer trabalho de gerenciamento de riscos ser executado
5. A organização está procurando um novo parceiro de negócios que tenha definido vários requisitos de segurança organizacional que devem ser atendidos antes de assinar um SLA e um Acordo de Parceiro de Negócios (BPA). Um exige que as organizações demonstrem os níveis de implementação de um modelo de maturidade de risco. Especificamente, é necessário adoptar um quadro de risco comum ou padronizado. Este nível pertence a: Um nível preparatório Nível integrado B Nível de definição C Nível de otimização D
Resposta correta: C Nível inicial - Caos Nível preparatório – tentativa inicial, pode variar por departamento Nível de definição - estrutura de risco comum e padrão Nível de integração – as operações de gestão de risco são integradas aos processos de negócios e o risco é considerado um elemento nas decisões estratégicas de negócios Nível de otimização - a gestão de riscos concentra-se em atingir metas em vez de apenas responder a ameaças, no sucesso do negócio em vez de evitar acidentes, e pode aprender com a experiência e incorporá-la no processo de gestão de riscos
6. A Estrutura de Gestão de Riscos (RMF) fornece especificações para a gestão de riscos de segurança e privacidade, incluindo classificação de segurança da informação, seleção, implementação e avaliação de controles, autorização de sistemas e controles gerais e uma sequência de sete etapas ou estágios. Qual fase do RMF se concentra em determinar se os controles gerais ou do sistema são razoáveis com base nos riscos para as operações e ativos da organização, indivíduos e suas áreas? A.Classificação B. Autorização C.Avaliação D. Monitoramento
Resposta correta:B O estágio RME (0) é a autorização de sistemas ou controles comuns com base na determinação de que os riscos para as operações e ativos da organização, indivíduos, outras organizações e países são aceitáveis (ou razoáveis). As etapas do RMF incluem: (1) preparação, (2) classificação, (3) seleção, (4) implementação, (5) avaliação, (6) investimento e (7) monitoramento. (A) é o estágio RMF (2), que se refere à classificação dos sistemas e das informações processadas, armazenadas e transmitidas pelo sistema com base na análise do impacto da perda. (C) é o estágio RMF (5), que avalia os controles para determinar se eles estão implementados corretamente, operando conforme esperado e produzindo resultados esperados que atendam aos requisitos de segurança e privacidade. ①D) é o estágio RMF (⑦), que monitora continuamente o sistema e os controles relacionados, incluindo a avaliação da eficácia do controle, registrando alterações no sistema e no ambiente operacional, conduzindo avaliações de risco e análises de impacto e relatando o status de segurança e privacidade do sistema.
7. Qual das seguintes opções pode ser classificada como ataque de engenharia social? (Selecione todas as linhas juntas.) Um usuário faz login em sua estação de trabalho e compra um refrigerante na máquina de venda automática na escada. Enquanto esse usuário está fora de sua estação de trabalho, outra pessoa se senta em sua mesa e copia todos os arquivos da pasta local para o compartilhamento de rede. B Você recebe um e-mail avisando que uma nova doença perigosa está se espalhando pela Internet. Esta mensagem aconselha você a encontrar um arquivo específico em seu disco rígido e excluí-lo, pois indica a presença de um vírus. O Site C afirma fornecer acesso temporário gratuito aos seus produtos e serviços, mas exige que você altere a configuração do seu navegador da Web e/ou firewall antes de poder baixar o software de acesso. O secretário D recebeu uma ligação de um interlocutor alegando ser um cliente que teria que se encontrar com o CEO mais tarde. O chamador deseja o número de celular pessoal do CEO para que possa ligar para ele.
Resposta correta: BCD A atividade descrita na opção A é apenas aproveitar a oportunidade da vítima ir embora. É um ataque de acesso oportunista e não é um ataque de engenharia social porque não há interação com a vítima. As atividades descritas nas opções B (pegadinha), C (phishing, pegadinha, ataque watering hole) e D (phishing de voz) fazem parte de um ataque de engenharia social.
8. Normalmente, __ é o membro da equipe que decide (ou recebe) a responsabilidade de aplicar e integrar conceitos de segurança na equipe nas atividades laborais. __Muitas vezes, o pessoal não relacionado à segurança tem a tarefa de inspirar outras pessoas a apoiar e adotar mais práticas de segurança e Responsabilidades de conduta. A. Diretor de Segurança da Informação B. Líder de segurança C. Medidor de carro de segurança D. Custodiante
Resposta correta:B A resposta correta é líder de segurança. Um líder de segurança é geralmente um membro de uma equipe que decide (ou é incentivado) a aplicar e integrar conceitos de segurança nas atividades de trabalho da equipe. Um líder de segurança é geralmente uma pessoa não relacionada à segurança que inspira outros a apoiar e adotar mais práticas de segurança. e responsabilidades comportamentais. Nenhuma das outras opções está correta. O CISO ou Diretor de Segurança define e implementa segurança em toda a organização. O Auditor de Segurança gerencia registros de segurança e analisa trilhas de auditoria em busca de sinais de violações. em um contêiner de TI que forneça segurança adequada de acordo com a distribuição especificada pelo proprietário.