aigi22, 11:42 Quiz - Escenario 3 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] Fecha de entrega 13.de sep en 23:55 Puntos 50 Preguntas 10 Disponible 10 de sep en 0:00- 13 de sep en 23:55 Instrucciones Limite de tiempo 90 minutos Apreciado estudiante, presenta tus exémenes come SERGIO EL ELEFANTE, quien con honestided, usa su sabiduria para mejorar cada dia. Lee detenidamente las siguientes indicaciones y minimiza inconvenientes: 1, Tienes un incento para desarrollr tu evaluacién, 2. Cuando estés respordiendo. la @valuacién, evita abrir paginas diferentes’ tu examen, Esto’ puede ceasignar el cierre del mismo y ba pérdida de un intento, 3, Asoggirate de tener buena conexién a internet, cierra cualquier programa ue pueda consumirelancho de Banda Ynovutiices internet movil 4, Debes empezar a, responder el examen por, menos dos horas antes dal ciere, es decir, méximo a los 9:55, p.m. Si legada las i:55 p.m, no bos Envisdo, ef mismo se cerrars y no podra ser calficaco, 5. El tiempo maximo que tienes pora resoker cado evaliacion es de" 90 minutos jConfiamos en que sigas, paso a paso, en el camino hacia la excelencia académica! 6. Situ examen incluye preguntas con Tespuestas abiertgs, estas no serdn calficadas automsticamente, ya que Fequieren la revision del tutor. 7. Si presentas incorvenientes con a presehtacion del examen, puedes rear un caso expicands fa sitvacion y adjuntando siempre imagenes de efeenca, con fecha y hows pa cue Soporte Tecnolégico pueda Brndare una respuesta lo antes posible. 8. Podrés verificar la solucién de 6) ecamen Unicamente durante las 24 horas siguientes al cere 9. Te recomendamos evitar el uso de tcléfors inteligentes tablets para lo precentacin “de tus actwKades evaluativas, 10. Al terminar de responder el gzamen debes dar clig en'el botén Enwar todoy termina’ de otra forma ‘elexamen permanecerd abierto. Des tu palabra de que realizaris esta actividad asumiendo de corazén nuestro PACTO DE HONOR? %»y Historial de intentos MAS RECIENTE Intento Hora Intento 1. 6 minutos Puntaje 44 de 50 hitpsipollintructure.comicourses!48823/quizzes!111072 19taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] © Las respuestas correctas estardn disponibles del 13 de sep en 23:55 al 14 de sep en 23:56. Puntaje para este examen: 44 de 50 Entregado el 12 de sep en 11:42 Este intento tuvo una duracién de 6 minutos. Pregunta 1 6/6 pts Los conceptos de Sujeto, objeto y niveles de seguridad indicados en el modelo Bell-La Padula y Biba significan en respectivo orden: Elemento al cual se quiere acceder, elemento que define el acceso, normas generales para el acceso. Elemento que realiza el acceso, elemento que define el acceso, normas para el acceso Elemento que realiza el acceso, elementos a los cuales se quiere acceder, caracteristicas para determinar el acceso Pregunta 2 6/6 pts El Modelo Muralla China tiene como obejtivo: Proteger contra los conflictos de inte reses que pueden existir por acceso no controlado Proteger contra manipulacién de cualquier sistema. Proteger contra la fuga de informacion hitpsipollintructure.comicourses!48823/quizzes!111072taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] Pregunta 3 6/6 pts Los objetivos que propone el modelo Clark Wilson para garantizar el principio de integridad son: Evitar que usuarios no autorizados realicen modificaciones y mantener la coherencia intema y externa Mantener la coherencia interna y externa, evitar modificaciones de cualquier tipo Evitar que usuarios no autorizados realicen modificaciones, Evitar que los usuarios autorizados realicen modificaciones incorrectas, Mantener la coherencia interna y externa Pregunta 4 6/6 pts Lectura Escritura Lectura/Esertura Top Secret Top Secret Top Secret Seereto Propiedad Propiedad de Propiedad * ‘Seguridad Simple estrella® EstrellaFuerte Cconfidencial cconfidencial cconfidencial El modelo Bell-LaPadula se caracteriza por estar orientado a preservar la confidencialidad de la informacién, utiizando un modelo de maquinas de estado para el flujo de informacién con reglas de control de acceso que emplean etiquetas de seguridad en objetos y autorizaciones para los sujetos. En este sentido, cul considera que hitpsipollintructure.comicourses!48823/quizzes!111072taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] seria el resultado, si un sujeto X con capacidad de lectura/escritura con nivel “SECRETO” quiere leer datos en el nivel superior y escribir en un nivel inferior? Aplicando la propiedad de Estrella fuerte, el sujeto no puede leer ni esoribir en ninguno de los niveles, solo puede interactuar en su propio nivel Como se aprecia en la figura, la propiedad estrella fuerte indica que un sujeto que tiene capacidades de lectura y escritura solo puede realizar esas funciones en el mismo nivel de seguridad. Nada més alto 0 nada mas bajo, Es la respuesta correcta. Aplicando la propiedad Estrella, el sujeto puede leer datos de un nivel superior y escribir datos en un nivel inferior, puesto que la etiqueta de control esté permitida en cualquier sentido. Aplicando la propiedad Simple, el sujeto puede leer datos de un nivel superior, pero no puede escribir datos en un nivel inferior, puesto que la etiqueta de acceso esta denegada Pregunta 5 07/6 pts En términos generales, cuando una aplicacién utiliza el modelo de Clark-Wilson tiene que separar los datos que deben estar altamente protegidos 0 que son restringidos, conocidos como CDI, de los datos que no requieren un alto nivel de proteccién, llamados UDI. Los usuarios no pueden modificar los CDI directamente, sino por medio de un software. Lo anterior implica: Cuando un sujeto necesita actualizar la informacién contenida en la base de datos de su compafia, se le permite siempre y cuando la base de datos sean de tipo UDI hitpsipollintructure.comicourses!48823/quizzes!111072taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] EI modelo implica separar el tipo de datos y a partir de alli definir los permisos de modificacién, No necesariamente unos datos de tipo UDI, que no requieren un alto nivel de proteccién, se les permitiré escritura de cualquier sujeto Cuando un sujeto necesita actualizar la informacién contenida en la base de datos de su compajia, debe identificar silos datos son UDI 0 CDI para solicitar el permiso de escritura. Cuando un sujeto necesita actualizar la informacién contenida en la base de datos de su compafia y es catalogada CDI, no se le permite hacerlo sin un software que controle estas actividades. Pregunta 6 414pts Una empresa de servicios de publicidad quiere implementar un modelo de seguridad de la informacion que le permita integrar sus estrategias y objetivos organizacionales a la gestién de seguridad eficazmente, y no solo con el analisis de! contexto, y que tenga un nivel de exigencia moderado para el nivel de la empresa. De acuerdo con lo visto, indique cual considera el modelo que mejor se adapta a la necesidad de la empresa: EI modelo OISM-3, puesto que es un modelo de madurez y capacidad, en el cual la estrategia es una de las metas que se deben alcanzar para la gestién de seguridad con un enfoque gerencial. EI modelo de muralla china debido a que se basa en el control de acceso dinamico de acuerdo con las actividades del usuario. hitpsipllintructure.comicourses!4882/quzes/111072taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] EI modelo de negocios de seguridad de la informacién puesto que Disefio y Estrategia son la cabeza de este, lo cual expresa la importancia de los objetivos de la organizacién como parte del modelo. EI modelo de negocios de seguridad efectivamente tiene como cabeza la estrategia y los objetivos de la empresa para su adopcién. Pregunta 7 4/4pts El modelo O-ISM3 sugiere, en términos de seguridad, implementarlo siguiendo la siguiente estructura (para el tema operativo): Objetivos de Negocio © Incidentes Objetivos de Seguridad e Incidentes Procesos y Métricas ISM3 Si una empresa quiere implementar el modelo y uno de sus objetivos a nivel de seguridad es garantizar que solo personal autorizado cuente con acceso a la aplicacién financiera siempre y en todo lugar, .qué procesos y métricas ISM3 se pueden proponer? Los procesos y métricas ISM3, para el objetivo planteado, a nivel operacional deben estar orientados a control de acceso, prioridad y calidad. No es necesaria la implementacién de todos los procesos, puesto que esto depende del objetivo. A nivel estratégico y tactico, se debe revisar la guia y confrontar con el objetivo. Todos los procesos genéricos deben ser implementados. hitpsipllintructure.comicourses!4882/quzes/111072taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] Para implementar el modelo se debe considerar qué nivel de madurez se quiere alcanzar y, con base en ello y el objetivo de seguridad, indicar qué procesos genéricos, operativos y tactics utilizar. Si la empresa quiere implementar procesos y métricas a nivel operativo y para seguridad, debe validar si la propuesta de la imagen se adapta al modelo de madurez que quiere alcanzar y debe desarrollar los procesos que le permitan cumplir el objetivo planteado. EI modelo O-ISM3 es un modelo de madurez; esto implica que la ‘empresa debe escalar en los niveles de madurez para su implementacién. Sino se tiene claro el nivel de madurez que se quiere alcanzar, la implantacién de! modelo no resulta practica. El nivel de madurez que se quiere alcanzar es el punto de partida para la implementacién Se deben implementar los procesos operativos indicados en la imagen, puesto que son la sugerencia del modelo para lo referente a seguridad. A nivel estratégico y tactico, se debe revisar la guia e identificar los procesos orientados a cumplir el objetivo de seguridad planteado. Pregunta 8 414 pts El modelo de negocios de seguridad de la informacién (BMIS por sus siglas en inglés Business Model for information Security), es un modelo que apoya a las empresas, especificamente en tecnologia. Su enfoque, desde lo estratégico utiliza el pensamiento sistémico para explicar el funcionamiento de la empresa y la construccién de sus relaciones, con el fin de gestionar la seguridad de manera eficiente Verdadero Falso hitpsipollintructure.comicourses!48823/quizzes!111072 79taigi22, 11:42 (Quiz -Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORIA DE LA SEGURIDAD-(GRUPO B01] EI modelo de negocios de seguridad de la informacién (BMIS por ‘sus siglas en inglés Business Model for information Security), es un modelo que apoya a las empresas, especificamente en el core de su negocio, en lo referente a seguridad de la informacién. Su enfoque, desde lo estratégico utiliza el pensamiento sistémico para explicar el funcionamiento de la empresa y la construccién de sus relaciones, con el fin de gestionar la seguridad de manera eficiente Pregunta 9 414pts El modelo OISM-3 tiene los siguientes elementos en su estructura: Metas. Orientacién por procesos Niveles de Capacidad Niveles de Madurez Seguin lo anterior este modelo puede considerarse un modelo de madurez orientado a capacidad que utiliza procesos para aleanzar una meta definida? Verdadero Falso Pregunta 10 414pts De acuerdo a las aplicaciones de! modelo de negocio de seguridad de la informacion se puede identificar que las soluciones resultantes al implementar el modelo formarén un patrén que se refleja tanto en los elementos como en las interconexiones que propone. hitpsipllintructure.comicourses!4882/quzes/111072apa, 14:42 (Quie- escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUALITEORIA DE LA SEGURIDAD-(GRUPO B01] Verdadero La forma circular del modelo da una clara visién sobre la manera de operar del sistema resultado de la implementacién, por tanto se determina el patrén que involucra, actividades y comportamientos que se estabilizan con el tiempo. Falso Puntaje del examen: 44 de 50 hitpsipollintructure.comicourses!48823/quizzes!111072