11/9/22, 14:10 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Quiz - Escenario 3

Fecha de entrega
13 de sep en 23:55
Puntos
50
Preguntas
10
Disponible
10 de sep en 0:00 - 13 de sep en 23:55
Límite de tiempo
90 minutos

Instrucciones

Historial de intentos

https://poli.instructure.com/courses/48823/quizzes/111072 1/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Intento Hora Puntaje

MÁS RECIENTE Intento 1
27 minutos 50 de 50


Las respuestas correctas estarán disponibles del 13 de sep en 23:55 al 14 de sep en 23:55.

Puntaje para este examen:

50 de 50
Entregado el 11 de sep en 14:10
Este intento tuvo una duración de 27 minutos.

Pregunta 1 6
/ 6 pts

En términos generales, cuando una aplicación utiliza el modelo de Clark-

Wilson tiene que separar los datos que deben estar altamente protegidos
o que son restringidos, conocidos como CDI, de los datos que no
requieren un alto nivel de protección, llamados UDI. Los usuarios no
pueden modificar los CDI directamente, sino por medio de un software.
Lo anterior implica:

 
Cuando un sujeto necesita actualizar la información contenida en la base
de datos de su compañía, debe identificar si los datos son UDI o CDI para
solicitar el permiso de escritura.

 
Cuando un sujeto necesita actualizar la información contenida en la base
de datos de su compañía y es catalogada CDI, no se le permite hacerlo
sin un software que controle estas actividades.

El enunciado indica que un sujeto no puede modificar un CID de

manera directa; por tal motivo, si un sujeto requiere hacerlo
(actualizar) una base de datos de tipo CDI, no lo puede realizar si se
utiliza el modelo Clark Wilson por la restricción que este tiene en
cuanto a quién controla las actividades de modificación para los
datos tipo CDI.

https://poli.instructure.com/courses/48823/quizzes/111072 2/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Cuando un sujeto necesita actualizar la información contenida en la base
de datos de su compañía, se le permite siempre y cuando la base de
datos sean de tipo UDI.

Pregunta 2 6
/ 6 pts

El modelo Bell-LaPadula se diferencia del modelo Biba en:

 
El modelo Bell- LaPadula esta orientado a confidencialidad de la
información, mientras que el modelo Biba en integridad

 
No existe ninguna diferencia entre los modelos.

 
El modelo Bell- LaPadula esta orientado a disponibilidad de la información,
mientras que el modelo Biba a confidencialidad

Pregunta 3 6
/ 6 pts

En resumen la regla propiedad de estrella del modelo Bell-La Padula

expresan que:

 
Un sujeto en un nivel de seguridad determinado no puede escribir
información en un nivel de seguridad inferior

https://poli.instructure.com/courses/48823/quizzes/111072 3/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Un sujeto en un nivel de seguridad determinado no puede escribir
información en un nivel de seguridad superior

 
Un sujeto en un nivel de seguridad determinado puede escribir
información en un nivel de seguridad inferior

Pregunta 4 6
/ 6 pts

El Modelo Muralla China tiene como obejtivo:

 
Proteger contra manipulación de cualquier sistema.

 
Proteger contra los conflictos de inte reses que pueden existir por acceso
no controlado

 
Proteger contra la fuga de información

Pregunta 5 6
/ 6 pts

Los conceptos de Sujeto, objeto y niveles de seguridad indicados en el

modelo Bell-La Padula y Biba significan en respectivo orden:

 
Elemento que realiza el acceso, elemento que define el acceso, normas
para el acceso

https://poli.instructure.com/courses/48823/quizzes/111072 4/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Elemento al cual se quiere acceder, elemento que define el acceso,
normas generales para el acceso.

 
Elemento que realiza el acceso, elementos a los cuales se quiere acceder,
caracteristicas para determinar el acceso

Pregunta 6 4
/ 4 pts

Una empresa de servicios de publicidad quiere implementar un modelo

de seguridad de la información que le permita integrar sus estrategias y
objetivos organizacionales a la gestión de seguridad eficazmente, y no
solo con el análisis del contexto, y que tenga un nivel de exigencia
moderado para el nivel de la empresa. De acuerdo con lo visto, indique
cuál considera el modelo que mejor se adapta a la necesidad de la
empresa:

 
El modelo OISM-3, puesto que es un modelo de madurez y capacidad, en
el cual la estrategia es una de las metas que se deben alcanzar para la
gestión de seguridad con un enfoque gerencial.

 
El modelo de muralla china debido a que se basa en el control de acceso
dinámico de acuerdo con las actividades del usuario.

 
El modelo de negocios de seguridad de la información puesto que Diseño
y Estrategia son la cabeza de este, lo cual expresa la importancia de los
objetivos de la organización como parte del modelo.

El modelo de negocios de seguridad efectivamente tiene como

cabeza la estrategia y los objetivos de la empresa para su adopción.

https://poli.instructure.com/courses/48823/quizzes/111072 5/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Pregunta 7 4
/ 4 pts

De acuerdo a las aplicaciones del modelo de negocio de seguridad de la

información se puede identificar que las soluciones resultantes al
implementar el modelo formarán un patrón que se refleja tanto en los
elementos como en las interconexiones que propone.

 
Verdadero

La forma circular del modelo da una clara visión sobre la manera de

operar del sistema resultado de la implementación, por tanto se
determina el patrón que involucra, actividades y  comportamientos 
que se estabilizan con el tiempo.

 
Falso

Pregunta 8 4
/ 4 pts

El modelo O-ISM3 sugiere, en términos de seguridad, implementarlo

siguiendo la siguiente estructura (para el tema operativo):

https://poli.instructure.com/courses/48823/quizzes/111072 6/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Si una empresa quiere implementar el modelo y uno de sus objetivos a

nivel de seguridad es garantizar que solo personal autorizado cuente con
acceso a la aplicación financiera siempre y en todo lugar, ¿qué procesos
y métricas ISM3 se pueden proponer?

 
Para implementar el modelo se debe considerar qué nivel de madurez se
quiere alcanzar y, con base en ello y el objetivo de seguridad, indicar qué
procesos genéricos, operativos y tácticos utilizar. Si la empresa quiere
implementar procesos y métricas a nivel operativo y para seguridad, debe
validar si la propuesta de la imagen se adapta al modelo de madurez que
quiere alcanzar y debe desarrollar los procesos que le permitan cumplir el
objetivo planteado.

El modelo O-ISM3 es un modelo de madurez; esto implica que la

empresa debe escalar en los niveles de madurez para su
implementación. Si no se tiene claro el nivel de madurez que se
quiere alcanzar, la implantación del modelo no resulta práctica. El
nivel de madurez que se quiere alcanzar es el punto de partida para
la implementación:

 
Se deben implementar los procesos operativos indicados en la imagen,
puesto que son la sugerencia del modelo para lo referente a seguridad. A
nivel estratégico y táctico, se debe revisar la guía e identificar los procesos
orientados a cumplir el objetivo de seguridad planteado.

 
Los procesos y métricas ISM3, para el objetivo planteado, a nivel
operacional deben estar orientados a control de acceso, prioridad y
calidad. No es necesaria la implementación de todos los procesos, puesto
que esto depende del objetivo. A nivel estratégico y táctico, se debe
revisar la guía y confrontar con el objetivo. Todos los procesos genéricos
deben ser implementados.

Pregunta 9 4
/ 4 pts

https://poli.instructure.com/courses/48823/quizzes/111072 7/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

El modelo de negocios de seguridad de la información (BMIS por sus

siglas en inglés Business Model for information Security), es un modelo
que apoya a las empresas, específicamente en tecnología.  Su enfoque,
desde lo estratégico utiliza el pensamiento sistémico para explicar el
funcionamiento de la empresa y la construcción de sus relaciones, con el
fin de gestionar la seguridad de manera eficiente

 
Verdadero

 
Falso

El modelo de negocios de seguridad de la información (BMIS por sus

siglas en inglés Business Model for information Security), es un
modelo que apoya a las empresas, específicamente en el core de su
negocio, en lo referente a seguridad de la información. Su enfoque,
desde lo estratégico utiliza el pensamiento sistémico para explicar el
funcionamiento de la empresa y la construcción de sus relaciones,
con el fin de gestionar la seguridad de manera eficiente

Pregunta 10 4
/ 4 pts

En la figura  que representa el modelo de negocio de seguridad de la

información se evidencia la relación Cultura como la interacción entre las
personas y la estrategia. Esto implica que una mala interacción es una
mala cultura organizacional? 

 
Verdadero

 
Falso

https://poli.instructure.com/courses/48823/quizzes/111072 8/9
11/9/22, 14:11 Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Para el modelo de negocio de seguridad de la información el diseño

de la estrategia, es determinado por la cultura (personas), su forma
de gobierno (procesos) y su arquitectura empresarial (uso de la
tecnología). El material principal para el diseño de la estrategia son
sus recursos humanos, técnicos, operativos, Know how, entre otros

Puntaje del examen:

50 de 50

https://poli.instructure.com/courses/48823/quizzes/111072 9/9