https://poli.instructure.

com/courses/52230/quizzes/120556
https://poli.instructure.com/courses/52230/quizzes/120556
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Pregunta 3 6 / 6 pts

El concepto de información hace referencia a todo aquello que tiene valor

para la organización, independiente de su almacenamiento. Con esta
afirmación podemos identificar que: 

 
El reto para la seguridad de la información es velar que esta se encuentre
fuera de "peligro" dado al valor que tiene.

 
El reto para la seguridad de la información es custodiar todos los
elementos que almacenan aquello que tiene valor para la empresa.

 El reto en seguridad es proveer disponibilidad, integridad y

confidencialidad a los activos de información para evitar que las
amenazas exploten vulnerabilidades. 

Pregunta 4 6 / 6 pts

¿Cuál es la norma internacional relacionada con el desarrollo y

mantenimiento de un Sistema de Gestión de Seguridad de la Información:

  Norma ISO 2700

  Norma ICONTEC 2700

  Norma ISO 7200

Pregunta 5 6 / 6 pts

3/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Es un tipo de evento adverso que se caracteriza por estar diseñado para

la afectación de la seguridad de la información y ser ideado para
comprometer un sistema:

  Vulnerabilidad

  Ataque informático

  Riesgo informático

Pregunta 6 6 / 6 pts

El riesgo es la probabilidad de que una amenaza explote una

vulnerabilidad. En la figura se observa un hombre escalando una
montaña sin ningún tipo de protección, es decir, está en una situación de
riesgo. Indique, a partir de la definición y el enunciado de la imagen, cuál
podría ser un posible riesgo para el hombre.

 
El riesgo a desmayarse durante la actividad física que realiza porque no
está preparado para ello.

  El riesgo de morir por caerse de la montaña.

4/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Puede caerse porque no cuenta con una protección adecuada para

la actividad que realiza. El activo es el hombre, la vulnerabilidad es la
falta de protección, caer es la amenaza y morir es la consecuencia
de caerse por falta de protección, es decir, la explotación de una
vulnerabilidad.

  El riesgo de un calambre y, por tanto, que quede inmovilizado.

Pregunta 7 6 / 6 pts

¿De qué se trata el principio de confidencialidad?

 
Debe garantizar que la información solo sea accedida por personal
autorizado

 
Garantiza que el estudio de riesgos de la información se realice en la
organización

  Detecta los ataques informáticos dentro de una organización

Pregunta 8 5 / 5 pts

El modelo Bell-LaPadula se diferencia del modelo Biba en:

  No existe ninguna diferencia entre los modelos.

 
El modelo Bell- LaPadula esta orientado a disponibilidad de la información,
mientras que el modelo Biba a confidencialidad

5/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
El modelo Bell- LaPadula esta orientado a confidencialidad de la
información, mientras que el modelo Biba en integridad

Pregunta 9 5 / 5 pts

De acuerdo a las aplicaciones del modelo de negocio de seguridad de la

información se puede identificar que las soluciones resultantes al
implementar el modelo formarán un patrón que se refleja tanto en los
elementos como en las interconexiones que propone.

  Verdadero

La forma circular del modelo da una clara visión sobre la manera de

operar del sistema resultado de la implementación, por tanto se
determina el patrón que involucra, actividades y  comportamientos 
que se estabilizan con el tiempo.

  Falso

Pregunta 10 4 / 4 pts

El modelo PHVA, representado en la figura, es utilizado para lograr una

mejora continua en la temática que se aplique el modelo. Por ejemplo, en
temas de calidad, la implementación del modelo implica que, a partir de
unos elementos de entrada, se cumpla el ciclo y la salida brinde mejoras
en temas de calidad.
A partir de esta información y de la figura, indique cual sería la respuesta
correcta si se espera adoptar el modelo para lograr gestionar la seguridad
de una empresa.

6/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Para gestionar la seguridad de la información se requiere establecer el
sistema de gestión de seguridad de la información, implementarlo,
operarlo, hacerle seguimiento y mejorarlo, a partir de los requisitos y
expectativas de los responsables del sistema.

 
Para gestionar la seguridad de la información se requiere establecer el
sistema de gestión de seguridad de la información, implementarlo,
operarlo, hacerle seguimiento y mejorarlo, a partir de los requisitos y
expectativas a nivel de seguridad de la información que hayan definido las
partes interesadas.

La gestión de seguridad de la información requiere plantear un

sistema de gestión de seguridad a partir de las partes interesadas.
Es la respuesta correcta por incluir el planteamiento de un sistema y
las partes interesadas de la empresa, y no solo a los responsables.

7/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Para gestionar la seguridad de la información se requiere seguir los pasos
indicados en la figura, a partir de los requisitos de la empresa en términos
de seguridad.

Pregunta 11 4 / 4 pts

En una empresa de servicios de nómina se debe realizar el proceso de

emisión de certificado de ingreso y retenciones para los empleados. Uno
de ellos ha revisado los descuentos que se han aplicado y ha identificado
que es menos que lo reportado en sus pagos mensuales. Al verificar en el
sistema, efectivamente los descuentos han sido correctos pero el
certificado ha reportado un valor diferente. Se ha revisado y el problema
se encuentra en el sistema de reportes, no de pagos. De acuerdo con lo
anterior, ¿qué principio de seguridad considera que se está viendo
afectado en el caso?

 
El principio de autenticidad, debido a que la información que se muestra
en el reporte no es la información real del pago.

 
El principio de integridad, debido a que la información ha sido alterada en
el reporte emitido.

El principio de integridad indica que la información no debe ser

alterada. Para el caso ha habido alguna alteración en el sistema de
reportes y por tanto la información indicada no corresponde al pago.
Es la respuesta correcta.

 
El principio de confidencialidad puesto que la información la han revisado
varias personas sin ningún tipo de regulación.

8/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Pregunta 12 4 / 4 pts

Una política de seguridad de la información debe tener:

1. Los propósitos y objetivos de la organización

2. Las estrategias adoptadas para lograr sus objetivos
3. La estructura y los procesos adoptados por la organización.
4. Los propósitos y objetivos asociados con el tema de seguridad
5. Los requisitos de las políticas de mayor nivel relacionadas.

Según lo anterior se puede afirmar que:

 
La política de seguridad de la información dentro de un sistema de gestión
de seguridad de la información es una herramienta estática; esto significa
que pueden cambiar elementos del sistema pero no la política.

 
La política de seguridad de la información es un elemento dinámico, lo
cual implica que cambia indistintamente dentro del sistema de seguridad
de la información cada vez que se modifican los propósitos de la
organización.

 
La política de seguridad de la información es un elemento indispensable
para un sistema de gestión de seguridad de la información, pues contiene
todos los elementos organizacionales, de seguridad y complementos para
la operación del sistema.

Con las indicaciones brindadas en el enunciado, se puede identificar

que la política de seguridad de la información es un elemento
esencial para un sistema de gestión por contener todos los
elementos que le dan un norte a este.

9/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Pregunta 13 4 / 4 pts

El seguimiento y mantenimiento de una política, dependerá de la

definición del plan de sensibilización definido 

  Falso

El seguimiento y mantenimiento de una política, dependerá de la

definición del plan de mejora que se defina para el sistema de
gestión de seguridad de la información.

  Verdadero

Pregunta 14 4 / 4 pts

Una empresa que ha implementado un modelo de gestión de seguridad

de la información ha decidido utilizar un método de sensibilización al
estilo “polla mundialista”; es decir, ha organizado unos grupos que
competirán entre sí por el torneo de la seguridad y otros “apostarán” cuál
de estos equipos ganará, considerando las variables requeridas para que
el modelo de sensibilización funcione. Si usted debe definir dichas
variables, indique cuales consideraría.

 
Asumiendo que la empresa, al lanzar el plan de sensibilización, ha
indicado el tiempo del torneo, cuenta con la aprobación de la alta dirección
y está en fase de elaboración, las variables para que los equipos
apuesten, pueden ser: cumplimiento de objetivos definidos, desempeño de
cada rol y responsable, planes de mejora y las herramientas que utilice
cada uno de los grupos.

10/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Asumiendo que la empresa, al lanzar el plan de sensibilización, ha
indicado el tiempo del torneo, cuenta con la aprobación de la alta dirección
y está en fase de elaboración, las variables para que los equipos apuesten
pueden ser: trabajo de los grupos alineados con la política de seguridad,
cumplimiento de objetivos del plan en cada grupo, revisión de
cumplimiento de metas en cada grupo y planes de mejora que los equipos
realicen al avanzar el torneo.

Un plan de sensibilización requiere que se mida el cumplimiento de

objetivos, la alineación con la política, las metas alcanzadas y los
planes de mejorar para la sensibilización. Con estas variables se
puede validar si el plan funciona y el equipo que logre los objetivos
es el ganador del torneo.

 
Asumiendo que la empresa, al lanzar el plan de sensibilización, ha
indicado el tiempo del torneo, cuenta con la aprobación de la alta dirección
y está en fase de elaboración, las variables para que los equipos apuesten
pueden ser: definición del cronograma, definición de objetivos y
evaluación del plan en cada grupo.

Pregunta 15 3 / 3 pts

La vigilancia digital es la supervisión de la actividad informática, de los

datos almacenados en un disco duro o de la transferencia a través de
redes informáticas Algunas de las formas de vigilancia digital son para
proteger y otras son para robar información y venderla. Si una persona
está navegando vía Internet, realizando una búsqueda, por ejemplo, de
un viaje a San Andrés y al día siguiente al abrir su navegador cuenta con
ofertas para ese destino, ¿podría considerase que se ha hecho uso de la
vigilancia digital para inducir una compra?

 
No, puesto que el usuario se está viendo beneficiado con la alerta y se le
está facilitando la vida sin necesidad de protegerlo o perjudicarlo.

11/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
Sí, puesto que se ha supervisado la actividad del usuario y rápidamente
se ha buscado información para que él adquiera el producto que busca.
Hay compañías que pagan porque este tipo de buscadores realicen dichas
acciones.

Es la respuesta correcta, puesto que claramente se ha superviso la

actividad del usuario. Actualmente, este tipo de situación es muy
común.

 
Sí, dado que se ha utilizado información que puede ser confidencial y el
usuario puede verse afectado negativamente.

Pregunta 16 3 / 3 pts

“Protección de activos de información, a través del tratamiento de

amenazas que ponen en riesgo la información que es procesada,
almacenada y transportada por los sistemas de información que se
encuentran interconectados”. Esta es una definición válida para
ciberdelincuencia.

  Falso

  Verdadero

Pregunta 17 3 / 3 pts

De acuerdo con el Consejo Nacional de Política Económica y Social,

CONPES, en su documento de definición de la estrategia de
ciberseguridad para Colombia ha indicado que:

El creciente uso del entorno digital en Colombia para desarrollar

12/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

actividades económicas y sociales acarrea incertidumbres y riesgos

inherentes de seguridad digital que deben ser gestionados
permanentemente. No hacerlo, puede resultar en la materialización de
amenazas o ataques cibernéticos, generando efectos no deseados de
tipo económico o social para el país, y afectando la integridad de los
ciudadanos en este entorno. (Departamento Nacional de Planeación,
2016).

Podemos afirmar que la ciberseguridad y la ciberdefensa a nivel de país

implican:

 
La ciberseguridad es una rama de la seguridad de la información que
garantiza estabilidad económica para el país, pues utiliza como
herramienta la ciberdefensa para prevenir ataques cibernéticos.

 
La ciberseguridad a nivel de país conlleva a la protección de la
información que se transporta, procesa y almacena en medios digitales
interconectados. Cualquier ataque a dicha información afecta a los
ciudadanos. La ciberdefensa debe gestionar permanentemente los riesgos
asociados a ciberataques por el entorno digital que un país utiliza para
desarrollar actividades económicas y sociales.

La ciberseguridad es la protección de activos de información que se

almacena, procesa y transporta en medios digitales interconectados.
A nivel país son muchos los recursos que emplean este esquema
para desarrollar las actividades económicas y sociales, como se
enuncia. La ciberdefnesa se utiliza como mecanismo para prevenir la
materialización de los riesgos asociados a dichos medios digitales.
En el enunciado se indica que una manera de evitar la
materialización de riesgos puede ser la gestión permanente de
riesgos inherentes a la seguridad digital.

 
La ciberseguridad a nivel de país implica la protección del entorno digital
que utiliza para el desarrollo de sus actividades sociales y económicas. La
ciberdefensa ayuda a que el país evite los ataques informáticos.

13/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

Pregunta 18 3 / 3 pts

Si un país quiere implementar un plan para el manejo de la

ciberseguridad, una recomendación sería:

 
Revisar cuáles son las necesidades, expectativas y requisitos exigidos por
el país en términos digitales y, con base en esto, construir una política de
ciberseguridad nacional.

 
Seguir el ejemplo de otros países, adoptando sus planes y políticas a nivel
de ciberseguridad cuando estas han sido probadas con un alto grado de
éxito.

 
Adoptar un modelo de ciberseguridad que le permita trazar un camino
para el manejo de los riesgos cibernéticos a partir de sus necesidades y
acorde con sus capacidades.

Adoptar un modelo de ciberseguridad es una respuesta válida

debido a que eso implica revisar las necesidades, expectativas y
requisitos del país. Adicionalmente, los modelos hoy en día son
pensados para utilizarse en diversas circunstancias.

Pregunta 19 4 / 4 pts

La vigilancia digital es la supervisión de la actividad informática, los datos

almacenados en un disco duro o la transferencia a través de redes
informáticas. La vigilancia digital generalmente se realiza de manera
autorizada y puede ser realizada por cualquier persona, gobierno,
corporaciones e incluso personas.

  Verdadero

14/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

  Falso

Pregunta 20 Aún no calificado / 4 pts

La visibilidad y la automatización son áreas clave de la innovación en

ciberseguridad. Un ejemplo de interés en este aspecto puede ser la
automatización de gestión de riesgo a partir de la información que se
recopile en la empresa referente al manejo de activos, vulnerabilidades y
amenazas. 

Su respuesta:

La automatización de la gestión de riesgos en ciber-seguridad mediante

la recopilación y análisis automatizados de información sobre activos,
vulnerabilidades y amenazas puede mejorar la visibilidad y permitir una
respuesta más rápida y efectiva a las amenazas de seguridad

Pregunta 21 4 / 4 pts

Una aplicacion de modelos tradicionales en el mundo moderno sería:

 
El modelo Bell-Lapadula puede ser utilizado en bases de datos (Poli-
instanciación) y el modelo de Muralla China en aplicaciones comerciales
donde exista conflicto de intereses

15/16
8/5/23, 11:00 Evaluacion final - Escenario 8: PRIMER BLOQUE-TEORICO-PRACTICO - VIRTUAL/TEORÍA DE LA SEGURIDAD-[GRUPO B01]

 
El modelo Bell- Lapadula solo se pude ser aplicado en ambiente militar y
Clark Wilson en ambientes comerciales unicamente.

  Los modelos tradicionales no tienen ninguna aplicación hoy en día

Pregunta 22 4 / 4 pts

Entender el elemento humano de la seguridad, complementa el uso de

las nuevas tendencias para la protección de una organización que
requiere estar a la vanguardia de la tecnología, cumplir sus objetivos
estratégicos y mantener sus activos protegidos para lograr el
cumplimiento de sus metas.   Es una afirmación correcta para los
desafíos en la actualidad.

  Falso

  Verdadero

Puntaje del examen: 96 de 100

https://poli.instructure.com/courses/52230/quizzes/120556 16/16