EXAMEN PARCIAL

(Perodo 2013-01)

Curso: POLITICAS DE SEGURIDAD Bloque: 3P-6Q Fecha: 06/05/2013 Duracin: 90 Profesor: WILSON CAARI Nombre del alumno:

N O T A

INSTRUCCIONES: La evaluacin es estrictamente personal y toda solucin debe ser escrita con tinta. Para recibir toda la puntuacin, la respuesta debe estar debidamente sustentada. Caso contrario la puntuacin quedar a criterio del profesor. En la calificacin se considerar el original (no borrador), el orden, la limpieza y la claridad de las soluciones. SIN MATERIALES / PROHIBIDO CELULARES / PROHIBIDO PRSTAMO DE UTILES Y CALCULADORA.

1. En el siguiente grafico complete los cajones vacos en el orden correcto, con los siguientes trminos: poltica (policy), estndar (standard) y lineamientos (guidelines) (3puntos):

2. Si diferentes grupos de usuarios con diferentes niveles de acceso de seguridad requieren acceder a la misma informacin, cul de las siguientes medidas de gestin debera tomar? (1 punto.) a. Requerir la aprobacin especfica por escrito cada vez que un individuo necesita acceder a la informacin. b. Crear rplicas de los datos que cada grupo de usuario vaya a utilizar. c. Aumentar los controles de seguridad sobre la informacin. d. Modificar la etiqueta de clasificacin de la informacin segn convenga. e. Reducir el nivel de seguridad sobre la informacin con el fin de garantizar la accesibilidad y facilidad de uso de la informacin.

3. Los requisitos de cumplimiento para el acta SOX se pueden agrupar en cuatro grandes secciones. Cul de los siguientes NO corresponde a estos requisitos? (1 punto.) a. Certificacin, Divulgacin y Controles internos b. Comisin de Auditora o de Gobierno Corporativo c. Memoria documentaria y archivos d. Reporte de Estados Financieros e. Informe Ejecutivo y de Conducta 4. Usted est llevando a cabo un anlisis de todos los servidores activos en la Red y detecta que varios servidores estn escuchando trfico por el puerto 80. Qu accin tomara con estos servidores? (1 punto.) a. Identificar los servidores DHCP no autorizados y desactivarlos. b. Identificar los servidores HTTP no autorizados y desactivarlos. c. Identificar los servidores VPN no autorizados y desactivarlos. d. Identificar los servidores LDAP no autorizados y desactivarlos. e. Identificar los servidores DNS no autorizados y desactivarlos. 5. Cundo sera aceptable no tomar una accin o decisin sobre un riesgo identificado? (1 punto.) a. Cuando la contramedida necesaria es compleja. b. Cuando se tenga la opinin certificada de un experto. c. Cuando el coste de la contramedida sea mayor que el valor de los activos y la prdida potencial. d. Nunca, la seguridad debe garantizarse a todo costo. e. Cuando las cuestiones polticas prevean este tipo de riesgo especfico. 6. Segn la norma tcnica peruana, cul es la segunda fuente de informacin para establecer sus requisitos de seguridad? (1 punto) a. La valoracin de los riesgos de su organizacin. b. El marco legal a la que se obliga su organizacin, sus socios comerciales, contratistas y proveedores. c. El conocimiento acumulado por los principales tcnicos de su organizacin. d. El archivo documentario histrico de su organizacin. e. La informacin de gastos en inversin en TI de los ltimos aos de su organizacin. 7. Para garantizar que la poltica de contraseas en una organizacin sea eficaz, debe proporcionar dos elementos claves: debe ser difcil de adivinar y ... (1 punto.) a. Ser cifrada en todo momento b. Ser controlada por la administracin de seguridad c. Contener una serie de caracteres d. Debe ser cambiada peridicamente e. Ser asignada a cada usuario de la organizacin 8. Cul de los siguientes no es un propsito del anlisis de riesgos? (1 punto.) a. Identificar los riesgos. b. La delegacin de la responsabilidad c. Definicin del equilibrio entre el impacto de un riesgo y el costo de las contramedidas necesarias. d. Cuantificacin del impacto de las amenazas potenciales. e. Brindar informacin preventiva sobre las posibles amenazas para los sistemas de una organizacin.

9. Sobre las siguientes sentencias indique si son verdaderas o falsas (5 puntos): (V) V (F)

La seguridad de la informacin puede ser un habilitador positivo para los negocios y puede integrarse con los objetivos de la organizacin. Un oficial ejecutivo en jefe (CEO) se encarga de dirigir la implementacin del proyecto de seguridad de informacin de la organizacin. Cuando se navega en Internet es recomendable utilizar un filtro de contenido, debido al elevado nivel de riesgo de sufrir un ataque de spyware. HIPPA Incluye disposiciones para proteger la informacin financiera personal de los consumidores en manos de las entidades financieras. Las pruebas de caja blanca tienen una mayor probabilidad de causar dao crtico a los sistemas.

10. CASO DE ESTUDIO (5 puntos): Pharma Ltd, es una empresa manufacturera, que celebr recientemente su Asamblea General Anual. El presidente de la compaa anunci que su organizacin lanzar en breve su sitio web, www.pharma_lab.com. El portal ha sido concebido en casa y ha contratado a una agencia de publicidad para su construccin y puesta en marcha. La compaa ha decidido comprar: un servidor de produccin de alto rendimiento para acoger el portal, un servidor de gama baja para pruebas del contenido antes de implementarlo en el servidor de produccin, una nuevo servidor de seguridad para seguridad perimetral, y 15 estaciones de trabajo. Segn los datos proporcionados elabore, dos tablas que muestren lo siguiente: lista de la informacin y clasificacin. lista de bienes y su clasificacin.

Solucin: Clasificacin de la informacin

N 1

Informacin Inauguracin del portal de la compaa con nombre de dominio www.pharma_lab.com El portal es concebido por la misma compaa.

Tipo Publico

Razones Pharma Ltd. Informa al pblico de sus planes de expansin durante su evento anual. Pharma Ltd. no contrata a un tercero y los datos tcnicos del portal no se da a conocer al pblico. El presidente no quiere dar a conocer la naturaleza de las negociaciones.

Interno

Las negociaciones se hacen con una agencia de publicidad

Confidencial

Clasificacin de los bienes o activos N 1 Activo Servidor de produccin de alto rendimiento Servidor de desarrollo de bajo rendimiento Clasificacin Alta Razones Un servidor de produccin comprometido significar que el sitio quede inaccesible. Un servidor comprometido podra retrasar las pruebas del contenido actualizado para ser cargado, pero no detendra las operaciones de la compaa. El website puede ser hackeado Una estacin comprometida no tendra un impacto serio porque hay 15 estaciones disponibles.

Medio

3 4

Cortafuegos Estaciones de trabajo

Alta Bajo