11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Quiz - Escenario 3

Fecha de entrega
13 de sep en 23:55
Puntos
50
Preguntas
10
Disponible
10 de sep en 0:00 - 13 de sep en 23:55
Límite de tiempo
90 minutos

Instrucciones

Historial de intentos

https://poli.instructure.com/courses/48823/quizzes/111072 1/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Intento Hora Puntaje

MÁS RECIENTE Intento 1 35 minutos 42 de 50


Las respuestas correctas estarán disponibles del 13 de sep en 23:55 al 14 de sep en 23:55.

Puntaje para este examen:

42 de 50
Entregado el 11 de sep en 21:41
Este intento tuvo una duración de 35 minutos.

Pregunta 1 6
/ 6 pts

El Modelo Muralla China tiene como obejtivo:

 
Proteger contra los conflictos de inte reses que pueden existir por acceso
no controlado

 
Proteger contra la fuga de información

 
Proteger contra manipulación de cualquier sistema.

Pregunta 2 6
/ 6 pts

El modelo Bell-LaPadula se diferencia del modelo Biba en:

 
El modelo Bell- LaPadula esta orientado a confidencialidad de la
información, mientras que el modelo Biba en integridad

 
El modelo Bell- LaPadula esta orientado a disponibilidad de la
información, mientras que el modelo Biba a confidencialidad

https://poli.instructure.com/courses/48823/quizzes/111072 2/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
No existe ninguna diferencia entre los modelos.

Pregunta 3 6
/ 6 pts

En términos generales, cuando una aplicación utiliza el modelo de Clark-

Wilson tiene que separar los datos que deben estar altamente protegidos o
que son restringidos, conocidos como CDI, de los datos que no requieren
un alto nivel de protección, llamados UDI. Los usuarios no pueden modificar
los CDI directamente, sino por medio de un software. Lo anterior implica:

 
Cuando un sujeto necesita actualizar la información contenida en la base
de datos de su compañía, se le permite siempre y cuando la base de
datos sean de tipo UDI.

 
Cuando un sujeto necesita actualizar la información contenida en la base
de datos de su compañía, debe identificar si los datos son UDI o CDI
para solicitar el permiso de escritura.

 
Cuando un sujeto necesita actualizar la información contenida en la base
de datos de su compañía y es catalogada CDI, no se le permite hacerlo
sin un software que controle estas actividades.

El enunciado indica que un sujeto no puede modificar un CID de

manera directa; por tal motivo, si un sujeto requiere hacerlo
(actualizar) una base de datos de tipo CDI, no lo puede realizar si se
utiliza el modelo Clark Wilson por la restricción que este tiene en
cuanto a quién controla las actividades de modificación para los datos
tipo CDI.

Pregunta 4 6
/ 6 pts
https://poli.instructure.com/courses/48823/quizzes/111072 3/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Los conceptos de Sujeto, objeto y niveles de seguridad indicados en el

modelo Bell-La Padula y Biba significan en respectivo orden:

 
Elemento al cual se quiere acceder, elemento que define el acceso,
normas generales para el acceso.

 
Elemento que realiza el acceso, elemento que define el acceso, normas
para el acceso

 
Elemento que realiza el acceso, elementos a los cuales se quiere
acceder, caracteristicas para determinar el acceso

Pregunta 5 6
/ 6 pts

Los objetivos que propone el modelo Clark Wilson para garantizar el

principio de integridad son:

 
Mantener la coherencia interna y externa, evitar modificaciones de
cualquier tipo

 
Evitar que usuarios no autorizados realicen modificaciones, Evitar que los
usuarios autorizados realicen modificaciones incorrectas, Mantener la
coherencia interna y externa

 
Evitar que usuarios no autorizados realicen modificaciones y mantener la
coherencia interna y externa

https://poli.instructure.com/courses/48823/quizzes/111072 4/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Incorrecto Pregunta 6 0
/ 4 pts

El modelo de negocios de seguridad de la información (BMIS por sus

siglas en inglés Business Model for information Security), es un modelo que
apoya a las empresas, específicamente en tecnología.  Su enfoque, desde
lo estratégico utiliza el pensamiento sistémico para explicar el
funcionamiento de la empresa y la construcción de sus relaciones, con el fin
de gestionar la seguridad de manera eficiente

 
Falso

 
Verdadero

El modelo de negocio apoya a las empresa en el core de negocio, no

se reduce a temas de tecnología 

Pregunta 7 4
/ 4 pts

El modelo OISM-3 tiene los siguientes elementos en su estructura: 

Metas

Orientación por procesos

Niveles de Capacidad

Niveles de Madurez

Según lo anterior este modelo puede considerarse un modelo de madurez

orientado a capacidad que utiliza procesos para alcanzar una meta
definida?

 
Falso

https://poli.instructure.com/courses/48823/quizzes/111072 5/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Verdadero

Pregunta 8 4
/ 4 pts

El modelo O-ISM3 sugiere, en términos de seguridad, implementarlo

siguiendo la siguiente estructura (para el tema operativo):

Si una empresa quiere implementar el modelo y uno de sus objetivos a nivel

de seguridad es garantizar que solo personal autorizado cuente con acceso
a la aplicación financiera siempre y en todo lugar, ¿qué procesos y
métricas ISM3 se pueden proponer?

 
Los procesos y métricas ISM3, para el objetivo planteado, a nivel
operacional deben estar orientados a control de acceso, prioridad y
calidad. No es necesaria la implementación de todos los procesos,
puesto que esto depende del objetivo. A nivel estratégico y táctico, se
debe revisar la guía y confrontar con el objetivo. Todos los procesos
genéricos deben ser implementados.

https://poli.instructure.com/courses/48823/quizzes/111072 6/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Para implementar el modelo se debe considerar qué nivel de madurez se
quiere alcanzar y, con base en ello y el objetivo de seguridad, indicar qué
procesos genéricos, operativos y tácticos utilizar. Si la empresa quiere
implementar procesos y métricas a nivel operativo y para seguridad,
debe validar si la propuesta de la imagen se adapta al modelo de
madurez que quiere alcanzar y debe desarrollar los procesos que le
permitan cumplir el objetivo planteado.

El modelo O-ISM3 es un modelo de madurez; esto implica que la

empresa debe escalar en los niveles de madurez para su
implementación. Si no se tiene claro el nivel de madurez que se
quiere alcanzar, la implantación del modelo no resulta práctica. El
nivel de madurez que se quiere alcanzar es el punto de partida para
la implementación:

 
Se deben implementar los procesos operativos indicados en la imagen,
puesto que son la sugerencia del modelo para lo referente a seguridad.
A nivel estratégico y táctico, se debe revisar la guía e identificar los
procesos orientados a cumplir el objetivo de seguridad planteado.

Pregunta 9 4
/ 4 pts

Una empresa de servicios de publicidad quiere implementar un modelo de

seguridad de la información que le permita integrar sus estrategias y
objetivos organizacionales a la gestión de seguridad eficazmente, y no solo
con el análisis del contexto, y que tenga un nivel de exigencia moderado
para el nivel de la empresa. De acuerdo con lo visto, indique cuál considera
el modelo que mejor se adapta a la necesidad de la empresa:

 
El modelo OISM-3, puesto que es un modelo de madurez y capacidad, en
el cual la estrategia es una de las metas que se deben alcanzar para la
gestión de seguridad con un enfoque gerencial.

https://poli.instructure.com/courses/48823/quizzes/111072 7/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
El modelo de muralla china debido a que se basa en el control de acceso
dinámico de acuerdo con las actividades del usuario.

 
El modelo de negocios de seguridad de la información puesto que
Diseño y Estrategia son la cabeza de este, lo cual expresa la importancia
de los objetivos de la organización como parte del modelo.

El modelo de negocios de seguridad efectivamente tiene como

cabeza la estrategia y los objetivos de la empresa para su adopción.

Incorrecto Pregunta 10 0
/ 4 pts

En la figura  que representa el modelo de negocio de seguridad de la

información se evidencia la relación Cultura como la interacción entre las
personas y la estrategia. Esto implica que una mala interacción es una
mala cultura organizacional? 

 
Falso

 
Verdadero

En términos de seguridad de la información no damos una calificación

a la cultura, por lo cual no se puede hablar de buena o mala. La
cultura afecta la implementación de controles y por tanto desde lo
estratégico debemos alinear las políticas para que sean adoptadas
por las personas 

Puntaje del examen:

42 de 50

https://poli.instructure.com/courses/48823/quizzes/111072 8/9
11/9/22, 21:41 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

https://poli.instructure.com/courses/48823/quizzes/111072 9/9