Daniel Ignacio Mijares Cerullo

C.I: 26489501
Universidad Metropolitana
CUESTINONARIO 1

Parte I:

2. ¿Qué se puede resumir con la ecuación: S = (PNP+HP+RR)*CC? Explique el

significado de los distintos términos.

HP: Herramientas y productos de seguridad. Esta se refiere a todos los instrumentos que
nos ayuden a mantener la seguridad, puede ser digitales (antivirus, programas de
autentificación, etc.) o físicos (cámaras, extintores, biométricos , etc.)
RR: Recursos Humanos: Se refiere a los individuos que ejercen la seguridad en el
sistema, así como los pueden ser guardias de seguridad, el CISO y personas que
almacenan información privada y confidencial
CC: Compromiso: Esta es el compromiso de seguir todos los términos anteriores al pie de
la letra por partes de los miembros de la institución. Es el aspecto más importante de la
ecuación ya mientras mayor sea su valor, la seguridad también por la propiedad
multiplicativa.
5. ¿Qué diferencia existe entre confidencialidad, privacidad y secrecía? Ilústrelo con al
menos 2 ejemplos de cada uno.

Confidencialidad es un aspecto de la información que solo ciertos individuos y/o

instituciones pueden acceder, para evitar su divulgación; así como lo es planes de una
compañía o una conferencia de trabajo entre los directivos
Privacidad no se refiere el acceso a personas autorizadas sino a datos personales que un
individuo posee y que el debe decidir a quien puede compartirlo. Ejemplo, un doctor que
le otorga un diagnóstico a su paciente o los contenidos de una carta de amor dirigida a
una persona.
La secrecía es similar, pero no se refiere solo a datos personales, sino datos que de
ninguna forma deben divulgarse. Estos pueden ser personales, institucionales o militares.
Ejemplo: planes de guerra de un ejercito o el voto secreto.
8. ¿Cuál es la diferencia entre autenticación y autorización?

La autenticación se refiere a asegurarse de la identidad de un individuo, de que no se este

haciendo pasar por otra persona. Autorización es los permisos que se le otorga a un
individuo para cierta información. Ambos son usados para la seguridad de la información.
Si hay alguna información a la cual se necesita autorización, se le daría aun más
seguridad si se incluye un proceso de autenticación.
Parte II:

1. ¿Qué es una amenaza? Mencione ejemplos típicos y no tan típicos. Describa la

clasificación STRIDE.

Una amenaza es una situación en la que con las condiciones adecuadas puede
comprometer la seguridad del sistema y con ella su información. Es diferente a riesgo,
ya que riesgo es la posibilidad de que ocurra. Un ejemplo típico es un correo que se
envía al correo de un trabajador con un virus trojano o el spam del correo. Un ejemplo
no tan común son personas que se infiltran en una organización para obtener datos
confidenciales para luego divulgarlos.
La Clasificación STRIDE se refiere a una forma de identificar las diferentes amenazas
que se pueden comprometer la información. Las diferentes clasificaciones son:
Spoofing: Suplantación de identidad para ganar acceso a la información
Tampering: Cualquier amenaza que altera la información y amenaza su integridad.
Más allá de eso, la suplanta de información falsa
Repudation: Cualquier amenaza que provoca la pérdida del control de sus procesos,
que no deje cancelar algún proceso.
Information Disclosure: Amenaza que implica en que la información confidencial sea
consumida o divulgada a individuos no autorizados
Denia of Service: Amenaza que niega el acceso al servicio o no permite su
funcionamiento.
Elevation of Privilege: Amenazas que ocurren cuando un individuo puede cambiar su
nivel de acceso a su conveniencia y no de la compañía, accediendo a información a la
cual esta persona no debería tener acceso. Puede ocurrir por falla del sistema.

2. ¿Por qué las redes sociales representan una amenaza para la privacidad?
¿Específicamente qué preocupaciones plantean?

Estas representan una amenaza a la privacidad porque estas terminan accediendo a

muchísima información privada sin que se le notifique detalladamente al usuario. Con los
metadatos e información detallada, se puede saber las preferencias del usuario, su
localización, correo y teléfono y mucha más información privada que no debe ser
divulgada.
Las preocupaciones que trae no son solo amenazas a la privacidad, sino también facilita
la suplantación de identidad e incluso la deducción de contraseñas y acceder a
información mucho más delicada (como así una cuenta bancaria o seguridad social).
6. ¿Qué son las vulnerabilidades? ¿Es conveniente o no divulgar las vulnerabilidades?

Las vulnerabilidades son los puntos específicos en donde la amenaza puede aprovecharla
para comprometer la seguridad de la información. Esta es la que eleva el riesgo de un
sistema.
Es conveniente mostrar las vulnerabilidades a los individuos que pertenezcan a la
institución a cuál pertenece la información, para que así se pueda educar y entrenar para
prevenir y combatir los riesgos. Y si es necesario, traer expertos que puedan analizar
estas vulnerabilidades, pero con mucha precaución de divulgarla a un individuo con
intenciones maliciosas .

Parte III:

2. Usted es el responsable de seguridad y detecta que un empleado está robando

información confidencial. ¿Cómo debe actuar?

Como responsable de seguridad, primero se debe contactar a las autoridades adecuadas

para reportar y procesar el culpable. Luego hay que estimar el daño causado por la
información robada. Pasar por tres preguntas. ¿Cuánta información se robó? ¿A quién se
divulgo la información? ¿Qué daño causo/causara la información robada? . Después de
establecer las respuestas a esas preguntas, se debe establecer un plan de control de
daños que nos de la situación con mejores resultados.
4. ¿Qué diferencia hay entre medidas de protección efectivas y medidas de protección
eficientes?

La diferencia es que la protección eficiente se refiera a hacer las protecciones de forma

correcta, según dadas unas normas o leyes de seguridad. Pero la efectivas son las que
traen resultados positivos de dichas protecciones, las que realmente funcionaron
rechazando amenazas y reduciendo riesgos. Se pueden aplicar protecciones eficientes,
pero estas no nos aseguran que este bien protegido lo que se quiere proteger. Ejemplo,
una puerta con seguro es una protección eficiente, pero si la ventana esta abierta y se
puede acceder por ahí, esa protección no fue efectiva.

7. ¿Por qué la concienciación y la formación en materia de seguridad son un factor

fundamental para garantizar la seguridad de la información?

Porque esta es la que afecta en gran medida en la seguridad del sistema, es la que afecta
más en la fórmula para una seguridad efectiva. Por ejemplo, si se tiene una puerta de
seguridad con llave para donde se guarda la información y el personal deja la puerta
abierta, se convierte inútil esa puerta con llave.
Una contraseña de acceso a una computadora con accesos a información confidencial,
pero se deja anotada la contraseña al lado de la computadora, claramente es un riesgo a
la confidencialidad del sistema. Se pueden tener las mejores herramientas, las mejores
normas y leyes; los mejores encargados de la seguridad, pero si cada individuo olvida su
compromiso o no esta entrenado para apoyar la seguridad, todo sería en vano.