Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Un activo se puede definir a cualquier cosa que aporte valor para una organización, ya sea
información, software o hardware, infraestructura, servicios, personal, etc.
a) Amenaza es una causa potencial de algún incidente, que puede generar en riesgo o dañar a
un sistema u organización.
c) Ataque se define como el intento destruir, exponer, alterar, inutilizar, robar o la obtención
de acceso no autorizado del uso de activos dentro de la organización.
d) Riesgo sucede cuando existe una posibilidad de ocurrencia de un evento no deseado, lo que
podría generar la vulnerabilidad en los activos de una organización.
e) Impacto se refiere a las consecuencias, que surgen por ataques de amenazas a los activos,
por ejemplo, el cambio en los niveles de los objetivos organizacionales alcanzados en una empresa.
-Confidencialidad: permite el acceso únicamente a las entidades que tengan los permisos o
privilegios y la autorización para acceder a la información.
Control de seguridad, medio para la gestión de riesgos, incluyendo las políticas, procedimientos,
guías, procedimientos y estructuras organizacionales.
Objetivos de control, describe las metas que se desean alcanzar como resultado de la utilización e
implementación de los controles de seguridad.
1.7. ¿Qué es un Sistema de Gestión? ¿Qué es un SGSI y cuál es su objetivo? Menciona cuál es
la referencia más utilizada en Seguridad de la Información y los Sistemas de Gestión de la
Seguridad de la Información (SGSI).
1.8. ¿Qué es una Mejor Práctica y un Estándar? ¿Son lo mismo? ¿Sí/No? ¿Por qué?
Una mejor practica es un conjunto de acciones, metodologías, herramienta y técnicas que se guían
por principios, objetivos y procedimientos apropiados aconsejables, adecuándose a una
determinada perspectiva normativa para la obtención de resultados positivos.
No son lo mismo ya que un estándar es aplicado como un guía para realizar actividades específicas
siguiendo un orden, en cambio una buena práctica se puede aplicar de maneras diferentes para la
obtención de buenos resultados.
-Operativos:
-Cumplimiento
-establece la base para cumplimiento y mejora de procesos basados en ITIL, COBIT, BS2599,
etc.
-Financieros:
Partes interesadas, son todos aquellos individuos, grupos u organizaciones que tengan algún
beneficio o perjuicio relacionado con los intereses y actividades de la organización. Pueden ser
internas o externas y deben ser considerados como elementos importantes dentro de la planeación
del SGSI.
En las partes interesadas dentro de la organización se encuentran los Directores, Empleados,
Dueños de procesos y Jefes de área, y de manera externa pueden ser Proveedores, Clientes,
Usuarios, Acreedores, Gobiernos y Sociedad.
1.11. ¿Qué es una política y cuál es su objetivo? Menciona cuál es su ciclo de vida.
Una política es un documento que describe los requisitos o reglas específicas que deben cumplirse.
Tiene como objetivo establecer los criterios con los cuales se evalúan los riesgos.
Redacción->Revisión-> Aprobación->Publicación->Actualización->
2. Control de Acceso
2.1. ¿Qué es la Protección Perimetral y cuál es su objetivo?
2.2. ¿Qué es el Control de Acceso y cuál es su objetivo? Menciona cuántos y cuáles son los
elementos requeridos para dar cumplimiento al estándar ISO 27001, respecto a Control de
Acceso.
El control de acceso son las formas de hacer cumplir las políticas de acceso. Consiste en la
Autentificación, Autorización de Acceso y Auditoria. Su objetivo es hacer cumplir los pasos para
proteger a quienes les dan el derecho de acceso a la información.
Entre los elementos requeridos para el cumplimiento del estándar, para el control de acceso están:
-A.9.1 Requerimientos de negocio para control de acceso: que se encarga de limitar el acceso a la
información.
-A.9.2. Gestión de acceso de usuarios: garantiza el acceso autorizado de usuarios y previene accesos
no autorizados a sistemas y servicios.
-A.9.3. Responsabilidades del usuario: hace que los usuarios sean responsables de salvaguardar su
información de autenticación.
2.3. Menciona y describe brevemente los 4 pasos necesarios para llevar a cabo el Control de
Acceso.
Autentificación: verificar si el usuario que quiera acceder a la información es quien dice ser.
Autorización: permite a los usuarios acceder a la información que tiene permisos de visualizar,
copiar o modificar, dependiendo de los privilegios que tenga el usuario.
Auditoria: lleva un registró de que acciones realizan cada de uno de los usuarios, junto el tiempo en
que se realizan o donde se realizan.
El principio de menor privilegio establece que al usuario se le asigne solo los permisos o privilegios
de información y recursos que necesite o utilice para poder realizar sus actividades. Entre sus
aplicaciones esta para ahorrar megas en el servidor, solo asignándole a las páginas que tiene acceso,
así priorizar a los otros usuarios con mayores permisos.
2.5. ¿Qué es el Control de Acceso por Mandato? Describe brevemente al menos 1 ejemplo.
El control de acceso por mandato es el que se realiza de manera explícita y el usuario no tiene
control de las políticas, ya viene establecida por el sistema. Ejemplos: un sistema operativo ya tiene
definido los permisos de los usuarios.
2.6. ¿Qué es el Control Criptográfico y cuál es su objetivo? Menciona cuántos y cuáles son los
elementos requeridos para dar cumplimiento al estándar ISO 27001, respecto a Control
Criptográfico.
Kerberos es un servidor de autentificación que ocupa el cifrado de datos simétrico, para que se
puedan comunicar a través de la autentificación de los usuarios, utiliza el algoritmo DES, para la
criptografía simétrica funciona de manera correcta, pero no es muy seguro.
3. Seguridad Física
3.1. ¿Qué es la Seguridad Física y cuál es su objetivo? Menciona cuántos y cuáles son los
elementos requeridos para dar cumplimiento al estándar ISO 27001, respecto a Seguridad
Física.
-A.11.2. Equipamiento: prevenir perdida, daños, robo o compromiso de los activos y la interrupción
de las operaciones de la organización.
3.2. Describe al menos 2 factores que intervienen en la Seguridad Física y menciona qué
acciones tomaría para proteger un Centro de Cómputo.
-Normas de acceso, se establecen políticas sobre sobre el acceso, y a quien se les da los privilegios
de autorización, con la utilización de sistemas biométricos, guardias de seguridad para negar el
acceso a usuarios no autorizados, y protección a animales que llegue a afectar la información o los
recursos.