Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.

com/courses/48823/quizzes/111072

Quiz - Escenario 3
Fecha de entrega 13 de sep en 23:55 Puntos 50 Preguntas 10 Disponible 10 de sep en 0:00 - 13 de sep en 23:55
Límite de tiempo 90 minutos

In s t r u c c i o n e s

1 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

2 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

Historial de intentos
Intento Hora Puntaje
MÁS RECIENTE Intento 1 8 minutos 50 de 50

 Las respuestas correctas estarán disponibles del 13 de sep en 23:55 al 14 de sep en 23:55.

Puntaje para este examen: 50 de 50

Entregado el 13 de sep en 17:21
Este intento tuvo una duración de 8 minutos.

Pregunta 1 6 / 6 pts

Los conceptos de Sujeto, objeto y niveles de seguridad indicados en el modelo Bell-La Padula y
Biba significan en respectivo orden:

Elemento al cual se quiere acceder, elemento que define el acceso, normas generales para el acceso.

Elemento que realiza el acceso, elemento que define el acceso, normas para el acceso

3 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

Elemento que realiza el acceso, elementos a los cuales se quiere acceder, caracteristicas para
determinar el acceso

Pregunta 2 6 / 6 pts

En resumen la regla propiedad de estrella del modelo Bell-La Padula expresan que:

Un sujeto en un nivel de seguridad determinado no puede escribir información en un nivel de seguridad

inferior

Un sujeto en un nivel de seguridad determinado puede escribir información en un nivel de seguridad

inferior

Un sujeto en un nivel de seguridad determinado no puede escribir información en un nivel de seguridad

superior

Pregunta 3 6 / 6 pts

El modelo Bell-LaPadula se diferencia del modelo Biba en:

4 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

El modelo Bell- LaPadula esta orientado a confidencialidad de la información, mientras que el modelo
Biba en integridad

El modelo Bell- LaPadula esta orientado a disponibilidad de la información, mientras que el modelo
Biba a confidencialidad

No existe ninguna diferencia entre los modelos.

Pregunta 4 6 / 6 pts

El modelo Bell-LaPadula se caracteriza por estar orientado a preservar la confidencialidad de la

información, utilizando un modelo de máquinas de estado para el flujo de información con reglas
de control de acceso que emplean etiquetas de seguridad en objetos y autorizaciones para los
sujetos. En este sentido, ¿cuál considera que sería el resultado, si un sujeto X con capacidad de
lectura/escritura con nivel “SECRETO” quiere leer datos en el nivel superior y escribir en un nivel

5 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

inferior?

Aplicando la propiedad Simple, el sujeto puede leer datos de un nivel superior, pero no puede escribir
datos en un nivel inferior, puesto que la etiqueta de acceso esta denegada.

Aplicando la propiedad de Estrella fuerte, el sujeto no puede leer ni escribir en ninguno de los niveles,
solo puede interactuar en su propio nivel.

Como se aprecia en la figura, la propiedad estrella fuerte indica que un sujeto que tiene
capacidades de lectura y escritura solo puede realizar esas funciones en el mismo nivel de
seguridad. Nada más alto o nada más bajo. Es la respuesta correcta.

Aplicando la propiedad Estrella, el sujeto puede leer datos de un nivel superior y escribir datos en un
nivel inferior, puesto que la etiqueta de control está permitida en cualquier sentido.

Pregunta 5 6 / 6 pts

En términos generales, cuando una aplicación utiliza el modelo de Clark-Wilson tiene que separar
los datos que deben estar altamente protegidos o que son restringidos, conocidos como CDI, de
los datos que no requieren un alto nivel de protección, llamados UDI. Los usuarios no pueden
modificar los CDI directamente, sino por medio de un software. Lo anterior implica:

6 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

Cuando un sujeto necesita actualizar la información contenida en la base de datos de su compañía y

es catalogada CDI, no se le permite hacerlo sin un software que controle estas actividades.

El enunciado indica que un sujeto no puede modificar un CID de manera directa; por tal motivo,
si un sujeto requiere hacerlo (actualizar) una base de datos de tipo CDI, no lo puede realizar si
se utiliza el modelo Clark Wilson por la restricción que este tiene en cuanto a quién controla las
actividades de modificación para los datos tipo CDI.

Cuando un sujeto necesita actualizar la información contenida en la base de datos de su compañía, se

le permite siempre y cuando la base de datos sean de tipo UDI.

Cuando un sujeto necesita actualizar la información contenida en la base de datos de su compañía,

debe identificar si los datos son UDI o CDI para solicitar el permiso de escritura.

Pregunta 6 4 / 4 pts

El modelo de negocios de seguridad de la información (BMIS por sus siglas en inglés Business
Model for information Security), es un modelo que apoya a las empresas, específicamente en
tecnología. Su enfoque, desde lo estratégico utiliza el pensamiento sistémico para explicar el
funcionamiento de la empresa y la construcción de sus relaciones, con el fin de gestionar la
seguridad de manera eficiente

Verdadero

Falso

7 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

El modelo de negocios de seguridad de la información (BMIS por sus siglas en inglés Business
Model for information Security), es un modelo que apoya a las empresas, específicamente en el
core de su negocio, en lo referente a seguridad de la información. Su enfoque, desde lo
estratégico utiliza el pensamiento sistémico para explicar el funcionamiento de la empresa y la
construcción de sus relaciones, con el fin de gestionar la seguridad de manera eficiente

Pregunta 7 4 / 4 pts

El modelo OISM-3 tiene los siguientes elementos en su estructura:

Metas
Orientación por procesos
Niveles de Capacidad
Niveles de Madurez

Según lo anterior este modelo puede considerarse un modelo de madurez orientado a capacidad
que utiliza procesos para alcanzar una meta definida?

Verdadero

Falso

8 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

Pregunta 8 4 / 4 pts

Una empresa de servicios de publicidad quiere implementar un modelo de seguridad de la

información que le permita integrar sus estrategias y objetivos organizacionales a la gestión de
seguridad eficazmente, y no solo con el análisis del contexto, y que tenga un nivel de exigencia
moderado para el nivel de la empresa. De acuerdo con lo visto, indique cuál considera el modelo
que mejor se adapta a la necesidad de la empresa:

El modelo de negocios de seguridad de la información puesto que Diseño y Estrategia son la cabeza
de este, lo cual expresa la importancia de los objetivos de la organización como parte del modelo.

El modelo de negocios de seguridad efectivamente tiene como cabeza la estrategia y los

objetivos de la empresa para su adopción.

El modelo de muralla china debido a que se basa en el control de acceso dinámico de acuerdo con las
actividades del usuario.

El modelo OISM-3, puesto que es un modelo de madurez y capacidad, en el cual la estrategia es una
de las metas que se deben alcanzar para la gestión de seguridad con un enfoque gerencial.

Pregunta 9 4 / 4 pts

9 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

En la figura que representa el modelo de negocio de seguridad de la información se evidencia la

relación Cultura como la interacción entre las personas y la estrategia. Esto implica que una mala
interacción es una mala cultura organizacional?

Verdadero

Falso

Para el modelo de negocio de seguridad de la información el diseño de la estrategia, es

determinado por la cultura (personas), su forma de gobierno (procesos) y su arquitectura
empresarial (uso de la tecnología). El material principal para el diseño de la estrategia son sus
recursos humanos, técnicos, operativos, Know how, entre otros

Pregunta 10 4 / 4 pts

El modelo O-ISM3 sugiere, en términos de seguridad, implementarlo siguiendo la siguiente

estructura (para el tema operativo):

10 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

Si una empresa quiere implementar el modelo y uno de sus objetivos a nivel de seguridad es
garantizar que solo personal autorizado cuente con acceso a la aplicación financiera siempre y en
todo lugar, ¿qué procesos y métricas ISM3 se pueden proponer?

Se deben implementar los procesos operativos indicados en la imagen, puesto que son la sugerencia
del modelo para lo referente a seguridad. A nivel estratégico y táctico, se debe revisar la guía e
identificar los procesos orientados a cumplir el objetivo de seguridad planteado.

Los procesos y métricas ISM3, para el objetivo planteado, a nivel operacional deben estar orientados a
control de acceso, prioridad y calidad. No es necesaria la implementación de todos los procesos,
puesto que esto depende del objetivo. A nivel estratégico y táctico, se debe revisar la guía y confrontar
con el objetivo. Todos los procesos genéricos deben ser implementados.

11 de 12 13/09/2022, 17:21
Quiz - Escenario 3: PRIMER BLOQUE-TEORICO - PRACTICO - VIRTUAL/TEORÍA DE ... https://poli.instructure.com/courses/48823/quizzes/111072

Para implementar el modelo se debe considerar qué nivel de madurez se quiere alcanzar y, con base
en ello y el objetivo de seguridad, indicar qué procesos genéricos, operativos y tácticos utilizar. Si la
empresa quiere implementar procesos y métricas a nivel operativo y para seguridad, debe validar si la
propuesta de la imagen se adapta al modelo de madurez que quiere alcanzar y debe desarrollar los
procesos que le permitan cumplir el objetivo planteado.

El modelo O-ISM3 es un modelo de madurez; esto implica que la empresa debe escalar en los
niveles de madurez para su implementación. Si no se tiene claro el nivel de madurez que se
quiere alcanzar, la implantación del modelo no resulta práctica. El nivel de madurez que se
quiere alcanzar es el punto de partida para la implementación:

Puntaje del examen: 50 de 50

12 de 12 13/09/2022, 17:21