20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Evaluacion final - Escenario 8

Fecha de entrega 21 de oct en 23:55 Puntos 100 Preguntas 10

Disponible 17 de oct en 0:00 - 21 de oct en 23:55 5 días Límite de tiempo 90 minutos

Instrucciones

https://poli.instructure.com/courses/18352/quizzes/61252 1/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Historial de intentos

Intento Hora Puntaje

MÁS RECIENTE Intento 1 14 minutos 100 de 100

 Las respuestas correctas estarán disponibles del 21 de oct en 23:55 al 22 de oct en 23:55.

Puntaje para este examen: 100 de 100

Entregado el 20 de oct en 20:51
Este intento tuvo una duración de 14 minutos.

https://poli.instructure.com/courses/18352/quizzes/61252 2/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Pregunta 1 10 / 10 pts

En la figura se puede apreciar un listado de activos de información

dividido en datos digitales, tangibles, intangibles y tecnológicos (software
y sistemas operativos). De acuerdo con la imagen, podemos afirmar:

Los activos de información son el corazón para el tema de seguridad de la

información y en consecuencia debemos garantizar su seguridad,
disponibilidad e integridad.

Como bien lo muestra la imagen, la relación entre los activos de

información y la seguridad de esta es considerar la información como
el centro para garantizar su disponibilidad, integridad y
confidencialidad. Esta es la respuesta correcta.

Los activos de información solo pueden ser catalogados en esa escala y

por tanto para otros activos no es necesario garantizar los principios de
seguridad.

Todos los activos de una empresa en términos de seguridad deben ser

catalogados como activos de información, puesto que de una u otra
manera almacenan información.

https://poli.instructure.com/courses/18352/quizzes/61252 3/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Pregunta 2 10 / 10 pts

El modelo PHVA, representado en la figura, es utilizado para lograr una

mejora continua en la temática que se aplique el modelo. Por ejemplo, en
temas de calidad, la implementación del modelo implica que, a partir de
unos elementos de entrada, se cumpla el ciclo y la salida brinde mejoras
en temas de calidad.
A partir de esta información y de la figura, indique cual sería la respuesta
correcta si se espera adoptar el modelo para lograr gestionar la seguridad
de una empresa.

https://poli.instructure.com/courses/18352/quizzes/61252 4/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Para gestionar la seguridad de la información se requiere establecer el

sistema de gestión de seguridad de la información, implementarlo,
operarlo, hacerle seguimiento y mejorarlo, a partir de los requisitos y
expectativas de los responsables del sistema.

Para gestionar la seguridad de la información se requiere establecer el

sistema de gestión de seguridad de la información, implementarlo,
operarlo, hacerle seguimiento y mejorarlo, a partir de los requisitos y
expectativas a nivel de seguridad de la información que hayan definido las
partes interesadas.

La gestión de seguridad de la información requiere plantear un

sistema de gestión de seguridad a partir de las partes interesadas.
Es la respuesta correcta por incluir el planteamiento de un sistema y
las partes interesadas de la empresa, y no solo a los responsables.

Para gestionar la seguridad de la información se requiere seguir los pasos

indicados en la figura, a partir de los requisitos de la empresa en términos
de seguridad.

Pregunta 3 10 / 10 pts

Una empresa que ha implementado un modelo de gestión de seguridad

de la información ha decidido utilizar un método de sensibilización al
estilo “polla mundialista”; es decir, ha organizado unos grupos que
competirán entre sí por el torneo de la seguridad y otros “apostarán” cuál
de estos equipos ganará, considerando las variables requeridas para que
el modelo de sensibilización funcione. Si usted debe definir dichas
variables, indique cuales consideraría.

https://poli.instructure.com/courses/18352/quizzes/61252 5/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Asumiendo que la empresa, al lanzar el plan de sensibilización, ha

indicado el tiempo del torneo, cuenta con la aprobación de la alta dirección
y está en fase de elaboración, las variables para que los equipos apuesten
pueden ser: definición del cronograma, definición de objetivos y
evaluación del plan en cada grupo.

Asumiendo que la empresa, al lanzar el plan de sensibilización, ha

indicado el tiempo del torneo, cuenta con la aprobación de la alta dirección
y está en fase de elaboración, las variables para que los equipos apuesten
pueden ser: trabajo de los grupos alineados con la política de seguridad,
cumplimiento de objetivos del plan en cada grupo, revisión de
cumplimiento de metas en cada grupo y planes de mejora que los equipos
realicen al avanzar el torneo.

Un plan de sensibilización requiere que se mida el cumplimiento de

objetivos, la alineación con la política, las metas alcanzadas y los
planes de mejorar para la sensibilización. Con estas variables se
puede validar si el plan funciona y el equipo que logre los objetivos
es el ganador del torneo.

Asumiendo que la empresa, al lanzar el plan de sensibilización, ha

indicado el tiempo del torneo, cuenta con la aprobación de la alta dirección
y está en fase de elaboración, las variables para que los equipos
apuesten, pueden ser: cumplimiento de objetivos definidos, desempeño de
cada rol y responsable, planes de mejora y las herramientas que utilice
cada uno de los grupos.

Pregunta 4 10 / 10 pts

El riesgo es la probabilidad de que una amenaza explote una

vulnerabilidad. En la figura se observa un hombre escalando una
montaña sin ningún tipo de protección, es decir, está en una situación de
riesgo. Indique, a partir de la definición y el enunciado de la imagen, cuál
podría ser un posible riesgo para el hombre.

https://poli.instructure.com/courses/18352/quizzes/61252 6/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

El riesgo de morir por caerse de la montaña.

Puede caerse porque no cuenta con una protección adecuada para

la actividad que realiza. El activo es el hombre, la vulnerabilidad es la
falta de protección, caer es la amenaza y morir es la consecuencia
de caerse por falta de protección, es decir, la explotación de una
vulnerabilidad.

El riesgo de un calambre y, por tanto, que quede inmovilizado.

El riesgo a desmayarse durante la actividad física que realiza porque no

está preparado para ello.

Pregunta 5 10 / 10 pts

Si un país quiere implementar un plan para el manejo de la

ciberseguridad, una recomendación sería:

Revisar cuáles son las necesidades, expectativas y requisitos exigidos por

el país en términos digitales y, con base en esto, construir una política de
ciberseguridad nacional.

https://poli.instructure.com/courses/18352/quizzes/61252 7/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

Adoptar un modelo de ciberseguridad que le permita trazar un camino

para el manejo de los riesgos cibernéticos a partir de sus necesidades y
acorde con sus capacidades.

Adoptar un modelo de ciberseguridad es una respuesta válida

debido a que eso implica revisar las necesidades, expectativas y
requisitos del país. Adicionalmente, los modelos hoy en día son
pensados para utilizarse en diversas circunstancias.

Seguir el ejemplo de otros países, adoptando sus planes y políticas a nivel

de ciberseguridad cuando estas han sido probadas con un alto grado de
éxito.

Pregunta 6 10 / 10 pts

Una política de seguridad de la información debe tener:

1. Los propósitos y objetivos de la organización

2. Las estrategias adoptadas para lograr sus objetivos
3. La estructura y los procesos adoptados por la organización.
4. Los propósitos y objetivos asociados con el tema de seguridad
5. Los requisitos de las políticas de mayor nivel relacionadas.

Según lo anterior se puede afirmar que:

La política de seguridad de la información es un elemento dinámico, lo

cual implica que cambia indistintamente dentro del sistema de seguridad
de la información cada vez que se modifican los propósitos de la
organización.

https://poli.instructure.com/courses/18352/quizzes/61252 8/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

La política de seguridad de la información dentro de un sistema de gestión

de seguridad de la información es una herramienta estática; esto significa
que pueden cambiar elementos del sistema pero no la política.

La política de seguridad de la información es un elemento indispensable

para un sistema de gestión de seguridad de la información, pues contiene
todos los elementos organizacionales, de seguridad y complementos para
la operación del sistema.

Con las indicaciones brindadas en el enunciado, se puede identificar

que la política de seguridad de la información es un elemento
esencial para un sistema de gestión por contener todos los
elementos que le dan un norte a este.

Pregunta 7 10 / 10 pts

La definición de seguridad de la información se encuentra influenciada

por diferentes entidades mundialmente reconocidas, las cuales
concuerdan en que el término implica mantener libre de riesgo aquello
que tiene valor para una empresa, sin importar el medio en el cual se
transmite, origina o recibe. A partir de esta referencia, podemos afirmar
que:

La seguridad de la información implica proteger todo aquello que tiene

valor para una empresa. Dicha protección implica mantener libre de riesgo
la información, independientemente de cómo esta se origine, almacene,
se reciba o trasmita.

La seguridad implica proteger y proteger significa mantener libre de

riesgo. Informacion es aquello que tiene valor; por tanto la seguridad
de la información implica mantener libre de riesgo aquello que tiene
valor.

https://poli.instructure.com/courses/18352/quizzes/61252 9/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

La seguridad de la información implica la identificación de todo aquello

que tiene valor para una empresa y gestionar los riesgos que puedan
presentarse en los elementos de valor.

El riesgo afecta todo aquello que tiene valor para la empresa y por
consiguiente la seguridad de la información debe enfocarse en la gestión
de riesgos para los activos de información.

Pregunta 8 10 / 10 pts

De acuerdo con el Consejo Nacional de Política Económica y Social,

CONPES, en su documento de definición de la estrategia de
ciberseguridad para Colombia ha indicado que:

El creciente uso del entorno digital en Colombia para desarrollar

actividades económicas y sociales acarrea incertidumbres y riesgos
inherentes de seguridad digital que deben ser gestionados
permanentemente. No hacerlo, puede resultar en la materialización de
amenazas o ataques cibernéticos, generando efectos no deseados de
tipo económico o social para el país, y afectando la integridad de los
ciudadanos en este entorno. (Departamento Nacional de Planeación,
2016).

Podemos afirmar que la ciberseguridad y la ciberdefensa a nivel de país

implican:

La ciberseguridad a nivel de país implica la protección del entorno digital

que utiliza para el desarrollo de sus actividades sociales y económicas. La
ciberdefensa ayuda a que el país evite los ataques informáticos.

https://poli.instructure.com/courses/18352/quizzes/61252 10/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

La ciberseguridad a nivel de país conlleva a la protección de la

información que se transporta, procesa y almacena en medios digitales
interconectados. Cualquier ataque a dicha información afecta a los
ciudadanos. La ciberdefensa debe gestionar permanentemente los riesgos
asociados a ciberataques por el entorno digital que un país utiliza para
desarrollar actividades económicas y sociales.

La ciberseguridad es la protección de activos de información que se

almacena, procesa y transporta en medios digitales interconectados.
A nivel país son muchos los recursos que emplean este esquema
para desarrollar las actividades económicas y sociales, como se
enuncia. La ciberdefnesa se utiliza como mecanismo para prevenir la
materialización de los riesgos asociados a dichos medios digitales.
En el enunciado se indica que una manera de evitar la
materialización de riesgos puede ser la gestión permanente de
riesgos inherentes a la seguridad digital.

La ciberseguridad es una rama de la seguridad de la información que

garantiza estabilidad económica para el país, pues utiliza como
herramienta la ciberdefensa para prevenir ataques cibernéticos.

Pregunta 9 10 / 10 pts

Una empresa de servicios de publicidad quiere implementar un modelo

de seguridad de la información que le permita integrar sus estrategias y
objetivos organizacionales a la gestión de seguridad eficazmente, y no
solo con el análisis del contexto, y que tenga un nivel de exigencia
moderado para el nivel de la empresa. De acuerdo con lo visto, indique
cuál considera el modelo que mejor se adapta a la necesidad de la
empresa:

https://poli.instructure.com/courses/18352/quizzes/61252 11/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

El modelo de negocios de seguridad de la información puesto que Diseño

y Estrategia son la cabeza de este, lo cual expresa la importancia de los
objetivos de la organización como parte del modelo.

El modelo de negocios de seguridad efectivamente tiene como

cabeza la estrategia y los objetivos de la empresa para su adopción.

El modelo OISM-3, puesto que es un modelo de madurez y capacidad, en

el cual la estrategia es una de las metas que se deben alcanzar para la
gestión de seguridad con un enfoque gerencial.

El modelo de muralla china debido a que se basa en el control de acceso

dinámico de acuerdo con las actividades del usuario.

Pregunta 10 10 / 10 pts

Una empresa del sector de tecnología ha decidido no adquirir una

herramienta de inteligencia artificial capaz de aprender 3 veces más
rápido que un ser humano una tarea operativa, lo que le daría ventaja
competitiva. Inicialmente fue aprobada por el comité de seguridad por
contar con protocolos de seguridad que no permiten visualizar el proceso
algorítmico que se realiza al interior, lo que hace imposible que desde el
exterior se acceda a la misma; sin embargo, no fue aprobada por el
comité de innovación de la empresa. Una posible razón para la no
adquisición de la herramienta, en términos de seguridad de la información
con innovación puede ser:

La herramienta impide la innovación en seguridad, pues no se puede

acceder al proceso algorítmico que realiza.

https://poli.instructure.com/courses/18352/quizzes/61252 12/13
20/10/2020 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO/TEORIA DE LA SEGURIDAD (OG)-[GRUPO1]

La innovación en seguridad requiere que se entienda la operación de

la solución y más si es compleja, como la inteligencia artificial. En
consecuencia, se requiere el acceso al proceso algorítmico

Para la empresa, la herramienta resulta ser una caja negra, cuya

operación es desconocida; así, en caso de ser vulnerada, no se sabría
cómo reprogramarla.

La herramienta parece ser segura, pero en términos de innovación en

seguridad solo se requiere visibilidad para tomar decisiones, elemento que
es impedido por la misma herramienta.

Puntaje del examen: 100 de 100

https://poli.instructure.com/courses/18352/quizzes/61252 13/13