Seguridad de la Información

Prof. Vincenzo Mendillo

JULIA CAMACHO, C.I. 16.464.183
Fecha: 18 de Julio de 2016
Cuestionario 4: GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Primera parte
(2) Explique el modelo PDCA: Plan – Do – Check – Act
El modelo consiste en cuatro etapas que deben llevarse a cabo con el fin de
implantar un sistema de gestión de gestión para la seguridad de la información
(SGSI), la primera de ellas es: Planificar, donde se definen las políticas de
seguridad, se realiza un análisis de riesgos y se seleccionan los controles; la
segunda es: Hacer, en la cual se realizan la implantación del SGSI y la operación
del mismo; la tercera es: Verificar, que consiste en realizar un seguimiento y
revisión de los controles y medidas implantadas y la cuarta es: Actuar, donde se
llevan a cabo las medidas correctivas y preventivas al sistema. La realización
cíclica de dichas etapas garantiza el mejoramiento del sistema.

Planificar

Actuar Hacer

Verificar

(3) ¿Qué se entiende por gestión de riesgos y cuáles son los beneficios que
acarrea? ¿Cómo se puede clasificar el riesgo?
Se entiende por gestión de riesgos a la evaluación de los mismos, para lo cual, se
debe estimar las pérdidas que la empresa tendría en caso de que ocurra un
evento que afecte los activos de la información, según dicha evaluación, la
empresa decidirá si asume el riesgo o toma las medidas correctivas. Los riesgos
se pueden clasificar en: Estratégico, Financiero, de Cumplimiento, Operativo y
tecnológico.
(9) ¿Qué son las políticas de seguridad y por qué son importantes? Explique la
diferencia entre políticas, normas y procedimentos de seguridad, citando
ejemplos.
Las políticas de seguridad son las instrucciones establecidas por los gerentes, en
cuanto a lo que se está o no permitido hacer en el área de seguridad de la
información. Son de gran importancia ya que definen las medidas a tomar para
proteger la seguridad del sistema.
La diferencia entre políticas, normas y procedimientos de seguridad, está en el
hecho de que las políticas explican el por qué se deben proteger los activos de
información, mientras que las normas explican los qué se debe hacer para
proteger dichos activos y los procedimientos explican el cómo se van a proteger
los activos.

Segunda parte
(2) ¿Qué es el Orange Book, cuáles son los niveles que especifica y cuáles son
sus limitaciones?
Es un estándar de seguridad, orientado a la seguridad de los productos y equipos,
donde se aplican ciertos criterios para la evaluación de un producto o equipo y se
definen varios niveles de seguridad para proteger de un ataque a los activos.
Presenta varios niveles (D; C1, C2; B1, B2, B3; A1) que van desde el de menor al
de mayor seguridad.
Dicho estándar presenta limitaciones en cuanto al excesivo costo y duración, a la
excesiva orientación a S.O y en el enfásis en confidencialidad y no el resto.

(3) ¿En qué se distinguen ISO 27001 e ISO 27002?

Se distinguen en el hecho de que el ISO 27001, contiene los requisitos del
sistema de gestión de seguridad en cambio el ISO 27002, solo son
recomendaciones sobre el uso de los controles de seguridad.

(5) ¿Qué se entiende por certificación de un sistema de seguridad?

Se entiende por certificación de un sistema de seguridad a la evaluación y
aprobación por parte de una empresa ajena, del sistema de gestión de seguridad.