8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

Evaluacion final - Escenario 8

Fecha de entrega
10 de mayo en 23:55
Puntos
100
Preguntas
10
Disponible
7 de mayo en 0:00 - 10 de mayo en 23:55
4 días
Límite de tiempo
90 minutos

Instrucciones

Historial de intentos

Intento Hora Puntaje

MÁS RECIENTE Intento 1
10 minutos 100 de 100

https://poli.instructure.com/courses/44720/quizzes/96131 1/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]


Las respuestas correctas ya no están disponibles.

Puntaje para este examen:

100 de 100
Entregado el 8 de mayo en 17:07
Este intento tuvo una duración de 10 minutos.

Pregunta 1 10
/ 10 pts

El modelo PHVA, representado en la figura, es utilizado para lograr

una mejora continua en la temática que se aplique el modelo. Por
ejemplo, en temas de calidad, la implementación del modelo implica
que, a partir de unos elementos de entrada, se cumpla el ciclo y la
salida brinde mejoras en temas de calidad.

A partir de esta información y de la figura, indique cual sería la

respuesta correcta si se espera adoptar el modelo para lograr
gestionar la seguridad de una empresa.

https://poli.instructure.com/courses/44720/quizzes/96131 2/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

 
Para gestionar la seguridad de la información se requiere establecer el
sistema de gestión de seguridad de la información, implementarlo,
operarlo, hacerle seguimiento y mejorarlo, a partir de los requisitos y
expectativas a nivel de seguridad de la información que hayan definido
las partes interesadas.

La gestión de seguridad de la información requiere plantear un

sistema de gestión de seguridad a partir de las partes
interesadas. Es la respuesta correcta por incluir el planteamiento
de un sistema y las partes interesadas de la empresa, y no solo a
los responsables.

 
Para gestionar la seguridad de la información se requiere seguir los
pasos indicados en la figura, a partir de los requisitos de la empresa en
términos de seguridad.

 
Para gestionar la seguridad de la información se requiere establecer el
sistema de gestión de seguridad de la información, implementarlo,
operarlo, hacerle seguimiento y mejorarlo, a partir de los requisitos y
expectativas de los responsables del sistema.

Pregunta 2 10
/ 10 pts

En la figura se puede apreciar un listado de activos de información

dividido en datos digitales, tangibles, intangibles y tecnológicos
(software y sistemas operativos). De acuerdo con la imagen, podemos
afirmar:

https://poli.instructure.com/courses/44720/quizzes/96131 3/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

 
Los activos de información solo pueden ser catalogados en esa escala
y por tanto para otros activos no es necesario garantizar los principios
de seguridad.

 
Los activos de información son el corazón para el tema de seguridad
de la información y en consecuencia debemos garantizar su seguridad,
disponibilidad e integridad.

Como bien lo muestra la imagen, la relación entre los activos de

información y la seguridad de esta es considerar la información
como el centro para garantizar su disponibilidad, integridad y
confidencialidad. Esta es la respuesta correcta.

 
Todos los activos de una empresa en términos de seguridad deben ser
catalogados como activos de información, puesto que de una u otra
manera almacenan información.

Pregunta 3 10
/ 10 pts

Una empresa del sector de tecnología ha decidido no adquirir una

herramienta de inteligencia artificial capaz de aprender 3 veces más
rápido que un ser humano una tarea operativa, lo que le daría ventaja
competitiva. Inicialmente fue aprobada por el comité de seguridad por

https://poli.instructure.com/courses/44720/quizzes/96131 4/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

contar con protocolos de seguridad que no permiten visualizar el

proceso algorítmico que se realiza al interior, lo que hace imposible
que desde el exterior se acceda a la misma; sin embargo, no fue
aprobada por el comité de innovación de la empresa. Una posible
razón para la no adquisición de la herramienta, en términos de
seguridad de la información con innovación puede ser:

 
Para la empresa, la herramienta resulta ser una caja negra, cuya
operación es desconocida; así, en caso de ser vulnerada, no se sabría
cómo reprogramarla.

 
La herramienta parece ser segura, pero en términos de innovación en
seguridad solo se requiere visibilidad para tomar decisiones, elemento
que es impedido por la misma herramienta.

 
La herramienta impide la innovación en seguridad, pues no se puede
acceder al proceso algorítmico que realiza.

La innovación en seguridad requiere que se entienda la operación

de la solución y más si es compleja, como la inteligencia artificial.
En consecuencia, se requiere el acceso al proceso algorítmico

Pregunta 4 10
/ 10 pts

La definición de seguridad de la información se encuentra influenciada

por diferentes entidades mundialmente reconocidas, las cuales
concuerdan en que el término implica mantener libre de riesgo aquello
que tiene valor para una empresa, sin importar el medio en el cual se
transmite, origina o recibe. A partir de esta referencia, podemos afirmar
que:

https://poli.instructure.com/courses/44720/quizzes/96131 5/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

 
La seguridad de la información implica proteger todo aquello que tiene
valor para una empresa. Dicha protección implica mantener libre de
riesgo la información, independientemente de cómo esta se origine,
almacene, se reciba o trasmita.

La seguridad implica proteger y proteger significa mantener libre

de riesgo. Informacion es aquello que tiene valor; por tanto la
seguridad de la información implica mantener libre de riesgo
aquello que tiene valor.

 
La seguridad de la información implica la identificación de todo aquello
que tiene valor para una empresa y gestionar los riesgos que puedan
presentarse en los elementos de valor.

 
El riesgo afecta todo aquello que tiene valor para la empresa y por
consiguiente la seguridad de la información debe enfocarse en la
gestión de riesgos para los activos de información.

Pregunta 5 10
/ 10 pts

Una empresa que ha implementado un modelo de gestión de

seguridad de la información ha decidido utilizar un método de
sensibilización al estilo “polla mundialista”; es decir, ha organizado
unos grupos que competirán entre sí por el torneo de la seguridad y
otros “apostarán” cuál de estos equipos ganará, considerando las
variables requeridas para que el modelo de sensibilización funcione. Si
usted debe definir dichas variables, indique cuales consideraría.

 
Asumiendo que la empresa, al lanzar el plan de sensibilización, ha
indicado el tiempo del torneo, cuenta con la aprobación de la alta
dirección y está en fase de elaboración, las variables para que los
equipos apuesten pueden ser: definición del cronograma, definición de
objetivos y evaluación del plan en cada grupo.

https://poli.instructure.com/courses/44720/quizzes/96131 6/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

 
Asumiendo que la empresa, al lanzar el plan de sensibilización, ha
indicado el tiempo del torneo, cuenta con la aprobación de la alta
dirección y está en fase de elaboración, las variables para que los
equipos apuesten, pueden ser: cumplimiento de objetivos definidos,
desempeño de cada rol y responsable, planes de mejora y las
herramientas que utilice cada uno de los grupos.

 
Asumiendo que la empresa, al lanzar el plan de sensibilización, ha
indicado el tiempo del torneo, cuenta con la aprobación de la alta
dirección y está en fase de elaboración, las variables para que los
equipos apuesten pueden ser: trabajo de los grupos alineados con la
política de seguridad, cumplimiento de objetivos del plan en cada
grupo, revisión de cumplimiento de metas en cada grupo y planes de
mejora que los equipos realicen al avanzar el torneo.

Un plan de sensibilización requiere que se mida el cumplimiento

de objetivos, la alineación con la política, las metas alcanzadas y
los planes de mejorar para la sensibilización. Con estas variables
se puede validar si el plan funciona y el equipo que logre los
objetivos es el ganador del torneo.

Pregunta 6 10
/ 10 pts

De acuerdo con el Consejo Nacional de Política Económica y Social,

CONPES, en su documento de definición de la estrategia de
ciberseguridad para Colombia ha indicado que:

El creciente uso del entorno digital en Colombia para desarrollar

actividades económicas y sociales acarrea incertidumbres y riesgos
inherentes de seguridad digital que deben ser gestionados
permanentemente. No hacerlo, puede resultar en la materialización de
amenazas o ataques cibernéticos, generando efectos no deseados de
tipo económico o social para el país, y afectando la integridad de los
ciudadanos en este entorno. (Departamento Nacional de Planeación,
2016).

https://poli.instructure.com/courses/44720/quizzes/96131 7/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

Podemos afirmar que la ciberseguridad y la ciberdefensa a nivel de

país implican:

 
La ciberseguridad a nivel de país implica la protección del entorno
digital que utiliza para el desarrollo de sus actividades sociales y
económicas. La ciberdefensa ayuda a que el país evite los ataques
informáticos.

 
La ciberseguridad es una rama de la seguridad de la información que
garantiza estabilidad económica para el país, pues utiliza como
herramienta la ciberdefensa para prevenir ataques cibernéticos.

 
La ciberseguridad a nivel de país conlleva a la protección de la
información que se transporta, procesa y almacena en medios digitales
interconectados. Cualquier ataque a dicha información afecta a los
ciudadanos. La ciberdefensa debe gestionar permanentemente los
riesgos asociados a ciberataques por el entorno digital que un país
utiliza para desarrollar actividades económicas y sociales.

La ciberseguridad es la protección de activos de información que

se almacena, procesa y transporta en medios digitales
interconectados. A nivel país son muchos los recursos que
emplean este esquema para desarrollar las actividades
económicas y sociales, como se enuncia. La ciberdefnesa se
utiliza como mecanismo para prevenir la materialización de los
riesgos asociados a dichos medios digitales. En el enunciado se
indica que una manera de evitar la materialización de riesgos
puede ser la gestión permanente de riesgos inherentes a la
seguridad digital.

Pregunta 7 10
/ 10 pts

Si un país quiere implementar un plan para el manejo de la

ciberseguridad, una recomendación sería:

https://poli.instructure.com/courses/44720/quizzes/96131 8/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

 
Adoptar un modelo de ciberseguridad que le permita trazar un camino
para el manejo de los riesgos cibernéticos a partir de sus necesidades
y acorde con sus capacidades.

Adoptar un modelo de ciberseguridad es una respuesta válida

debido a que eso implica revisar las necesidades, expectativas y
requisitos del país. Adicionalmente, los modelos hoy en día son
pensados para utilizarse en diversas circunstancias.

 
Revisar cuáles son las necesidades, expectativas y requisitos exigidos
por el país en términos digitales y, con base en esto, construir una
política de ciberseguridad nacional.

 
Seguir el ejemplo de otros países, adoptando sus planes y políticas a
nivel de ciberseguridad cuando estas han sido probadas con un alto
grado de éxito.

Pregunta 8 10
/ 10 pts

Una empresa de servicios de publicidad quiere implementar un modelo

de seguridad de la información que le permita integrar sus estrategias
y objetivos organizacionales a la gestión de seguridad eficazmente, y
no solo con el análisis del contexto, y que tenga un nivel de exigencia
moderado para el nivel de la empresa. De acuerdo con lo visto, indique
cuál considera el modelo que mejor se adapta a la necesidad de la
empresa:

 
El modelo de negocios de seguridad de la información puesto que
Diseño y Estrategia son la cabeza de este, lo cual expresa la
importancia de los objetivos de la organización como parte del modelo.

https://poli.instructure.com/courses/44720/quizzes/96131 9/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

El modelo de negocios de seguridad efectivamente tiene como

cabeza la estrategia y los objetivos de la empresa para su
adopción.

 
El modelo de muralla china debido a que se basa en el control de
acceso dinámico de acuerdo con las actividades del usuario.

 
El modelo OISM-3, puesto que es un modelo de madurez y capacidad,
en el cual la estrategia es una de las metas que se deben alcanzar
para la gestión de seguridad con un enfoque gerencial.

Pregunta 9 10
/ 10 pts

El modelo O-ISM3 sugiere, en términos de seguridad, implementarlo

siguiendo la siguiente estructura (para el tema operativo):

Si una empresa quiere implementar el modelo y uno de sus objetivos a

nivel de seguridad es garantizar que solo personal autorizado cuente
con acceso a la aplicación financiera siempre y en todo lugar, ¿qué
procesos y métricas ISM3 se pueden proponer?

https://poli.instructure.com/courses/44720/quizzes/96131 10/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

 
Los procesos y métricas ISM3, para el objetivo planteado, a nivel
operacional deben estar orientados a control de acceso, prioridad y
calidad. No es necesaria la implementación de todos los procesos,
puesto que esto depende del objetivo. A nivel estratégico y táctico, se
debe revisar la guía y confrontar con el objetivo. Todos los procesos
genéricos deben ser implementados.

 
Para implementar el modelo se debe considerar qué nivel de madurez
se quiere alcanzar y, con base en ello y el objetivo de seguridad, indicar
qué procesos genéricos, operativos y tácticos utilizar. Si la empresa
quiere implementar procesos y métricas a nivel operativo y para
seguridad, debe validar si la propuesta de la imagen se adapta al
modelo de madurez que quiere alcanzar y debe desarrollar los
procesos que le permitan cumplir el objetivo planteado.

El modelo O-ISM3 es un modelo de madurez; esto implica que la

empresa debe escalar en los niveles de madurez para su
implementación. Si no se tiene claro el nivel de madurez que se
quiere alcanzar, la implantación del modelo no resulta práctica. El
nivel de madurez que se quiere alcanzar es el punto de partida
para la implementación:

 
Se deben implementar los procesos operativos indicados en la imagen,
puesto que son la sugerencia del modelo para lo referente a seguridad.
A nivel estratégico y táctico, se debe revisar la guía e identificar los
procesos orientados a cumplir el objetivo de seguridad planteado.

Pregunta 10 10
/ 10 pts

Una política de seguridad de la información debe tener:

1. Los propósitos y objetivos de la organización

2. Las estrategias adoptadas para lograr sus objetivos

3. La estructura y los procesos adoptados por la organización.

4. Los propósitos y objetivos asociados con el tema de seguridad

5. Los requisitos de las políticas de mayor nivel relacionadas.

https://poli.instructure.com/courses/44720/quizzes/96131 11/12
8/5/22, 17:07 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B02]

Según lo anterior se puede afirmar que:

 
La política de seguridad de la información es un elemento dinámico, lo
cual implica que cambia indistintamente dentro del sistema de
seguridad de la información cada vez que se modifican los propósitos
de la organización.

 
La política de seguridad de la información dentro de un sistema de
gestión de seguridad de la información es una herramienta estática;
esto significa que pueden cambiar elementos del sistema pero no la
política.

 
La política de seguridad de la información es un elemento
indispensable para un sistema de gestión de seguridad de la
información, pues contiene todos los elementos organizacionales, de
seguridad y complementos para la operación del sistema.

Con las indicaciones brindadas en el enunciado, se puede

identificar que la política de seguridad de la información es un
elemento esencial para un sistema de gestión por contener todos
los elementos que le dan un norte a este.

Puntaje del examen:

100 de 100

https://poli.instructure.com/courses/44720/quizzes/96131 12/12