Capítulo 1

1. A, C y D. Exigir la autenticación multifactor también es una buena idea, pero es un ejemplo del principio de defensa en profundidad, no de privilegio menor.

2. A y D. Los controles estrictos de cortafuegos pueden ayudar, pero no demuestran la defensa en profundidad a menos que se combinen con otro control. Los límites de confianza también son importantes, y pueden utilizarse para definir controles, pero no son un control de defensa en profundidad.

3. A, B, C y D. Los actores de amenazas pueden querer hacer todas estas cosas, aunque históricamente ganar dinero es, con mucho, el mayor motivador. Además, algunos actores de amenazas pueden estar motivados simplemente por el reto de irrumpir o mejorar su reputación en los círculos de piratas informáticos.

4. A. Dependiendo del modelo de prestación de servicios, la seguridad de la red y la seguridad operativa pueden ser responsabilidad del proveedor de la nube, o no serlo. La seguridad de acceso a los datos -elegir quién tiene acceso a los datos- es casi siempre responsabilidad del consumidor.

5. A y B. La mayoría de los sistemas de evaluación de riesgos utilizan alguna forma de evaluación de la probabilidad y el impacto para determinar el nivel de riesgo global. Transferir un riesgo no determina su gravedad, pero puede ser una forma de afrontarlo. La gravedad del riesgo tampoco se ve directamente afectada ...