No tomas decisiones

Propones soluciones y la dirección decide. No hagas nada, solo recomienda.

Piensa como la alta dirección

Busca la respuesta de alto nivel. Pregúntate: ¿qué haría el CEO o el dueño del negocio?

Tú no aceptas el riesgo

Eso lo hace la alta dirección. Tú recomiendas — eres asesor, no tomador de decisiones.

La dirección decide lo que quiera

Tu trabajo es asegurar que entiendan cuáles son los riesgos.

No supongas información

La mayoría de las preguntas no dan para interpretaciones. Responde lo que te pregunten.

Lee como abogado

Palabra por palabra, despacio, 2 veces.

Identifica palabras clave

Busca: Must, First, Ultimate, More likely, Last — te ayudan a eliminar opciones.

Pregúntate por qué y para qué

Hazlo mínimo 3 veces por cada opción. Confirma o descarta.

Si parece demasiado fácil

Vuélvela a leer — seguramente te saltaste algo importante.

Analiza el lenguaje de fondo

Correlaciona conceptos. Ejemplo: disco duro = datos en reposo.

La seguridad apoya al negocio, no al revés

Nunca puede ser un impedimento. Mueve el negocio.

Prioridad = eficiencia del negocio

Balancea costo, riesgo y usabilidad.

Toda decisión parte de un análisis de riesgos

Decisiones inteligentes basadas en el riesgo, siempre.

No arreglas problemas, arreglas procesos

Ve siempre por la solución a largo plazo.

Piensa en el impacto temporal

¿Cuál es el impacto en 10 minutos, 1 semana, 1 año, 5 años?

Sin límite de presupuesto, ve por la mejor solución

Si no dicen que el costo es preocupación → la más completa. Ej: Hot Site > Cold Site.

Senior Management = CEO, CFO y junta directiva

A menos que te digan otra cosa, asume eso.

Todos son responsables de la seguridad

Pero quien rinde cuentas ante la ley es la alta dirección.

Transferir riesgo ≠ transferir responsabilidad

Se transfiere el costo del impacto. La empresa sigue rindiendo cuentas.

La gestión de riesgo no elimina el riesgo

Lo reduce a niveles aceptables que la dirección está dispuesta a asumir.

La vida humana es la prioridad — la seguridad física es clave por encima de todo.

Si la respuesta es "lo que dice la política" — probablemente es la correcta.

Un control nunca puede costar más que el activo — no pagues $15K de seguro por un carro de $500.

Concientización y entrenamiento — obligatorios, siempre.

Lentitud en un sistema = afectación a disponibilidad — aunque no lo inhabilite por completo.

Defensa a profundidad — un único control no es garantía de nada.

Seguridad desde el inicio — fallar rápido = fallar barato. Más adelante = más caro.

Firma digital — protege integridad y no-repudio. No protege confidencialidad.

Pasarela de pagos, ecommerce, tarjetas — piensa PCI-DSS.

Destruir datos en la nube — cifrado (crypto-shredding).

Si te saturas, para

Tómate 10 minutos de descanso y continúa con la mente fresca.

Código de ética al inicio

Cuando entres al examen aparecerá una pantalla para aceptar el código de ética. No lo leas ni lo pienses mucho. Si te demoras más de 5 minutos sin aceptar, el examen se bloquea y pierdes $750 sin siquiera presentar.