Departamento de Ciencias de la Computacin y Electrnica
Seccin Ingeniera del Software y Gestin de Tecnologas de la Informacin
Asesora virtual: www.utpl.edu.ec Profesor principal: Ing. Danilo Rubn Jaramillo Hurtado Seguridad de la Informacin Evaluacin a distancia 4 Crditos TUTORAS: El profesor asignado publicar en el Entorno Virtual de Aprendizaje (EVA) su nmero telefnico y horario de tutora, para contactarlo utilice la opcin Contactar al profesor Ms informacin puede obtener llamando al Call Center 072588730, lnea gratuita 1800 88758875 o al correo electrnico callcenter@utpl.edu.ec Abril-Agosto 2014 Titulacin Ciclo Ingeniero en Informtica IX La Universidad Catlica de Loja MODALIDAD ABIERTA Y A DISTANCIA Evaluaciones a distancia: Seguridad de la Informacin 3 La Universidad Catlica de Loja OS Le recordamos que a partir del presente ciclo acadmico usted debe enviar de forma obligatoria su evaluacin a distancia a travs del Entorno Virtual de Aprendizaje (EVA) en las fechas defnidas, con carcter de EXCLUSIVAS E IMPOSTERGABLES. TITULACIONES PRIMER BIMESTRE FECHAS DE ENVO * Licenciado en Ciencias de la Educacin, Mencin: - Educacin Bsica - Fsico Matemticas - Qumico Biolgicas - Lengua y Literatura * Ingeniero en Contabilidad y Auditora Del jueves 1 al martes 13 de mayo de 2014 * Ingeniero en Gestin Ambiental * Economista * Licenciado en Psicologa * Licenciado en Ciencias de la Educacin, Mencin: Ingls * Licenciado en Ciencias de la Educacin, Mencin: Educacin Infantil Del jueves 1 al mircoles 14 de mayo de 2014 * Abogado * Ingeniero en Administracin en Gestin Pblica * Licenciado en Ciencias de la Educacin, Mencin: Ciencias Humanas y Religiosas * Ingeniero en Administracin de Empresas Tursticas y Hoteleras Del jueves 1 al jueves 15 de mayo de 2014 * Ingeniero en Administracin en Banca y Finanzas * Licenciado en Asistencia Gerencial y Relaciones Pblicas * Ingeniero en Informtica * Ingeniero en Administracin de Empresas * Licenciado en Comunicacin Social Del jueves 1 al viernes 16 de mayo de 2014 Para el envo de las evaluaciones acceda a: www.utpl.edu.ec. PRIMER BIMESTRE PRIMERA EVALUACIN A DISTANCIA Estimado estudiante, recuerde la importancia de ingresar e interactuar a travs del Entorno Virtual de Aprendizaje (EVA). Las actividades planteadas tienen un valor de 2 puntos, importantes para su calificacin. PRUEBA OBJETIVA (2 puntos) a. Verdadero o Falso (conocimiento) 1. ( ) Se puede considerar a la seguridad como el componente clave en todo tipo de proyectos de sistemas de informacion Evaluaciones a distancia: Seguridad de la Informacin MODALIDAD ABIERTA Y A DISTANCIA 4 2. ( ) La disponibilidad, permite garantizar que los otros objetivos de la seguridad se han cumplido. 3. ( ) Los compradores de un sistema de informacin o usuarios finales, no tienen porque considerar los aspectos relacionadas con la seguridad dentro de los mismos. 4. ( ) La valoracion de riesgos es el proceso consitente en identificar los problemas en el momento que aparezcan los mismos. 5. ( ) Concientizar a todos los miembros de la organizacin sobre la seguridad, es el resultado de realizar un analisis de riesgos. 6. ( ) Un agente de amenaza puede difinirse como el mtodo para explotra una vulnerabilidad del sistema, operacin o servicio. 7. ( ) La estimacin de perdidas potenciales se puede considerar como un analisis de riesgo caulitativo. 8. ( ) Dentro de las amezas a los sistemas de informacion podemos encontrar el codigo malicioso, sta es una amenza accidental. 9. ( ) La gestin de verificacin de las salvaguardas es un proceso que se encuentra antes de la gestin de la concienciacin en seguridad de la informacin. 10. ( ) El plan global de asignacin de recursos resume los requisitos de recursos de la estrategia de gestin de riesgos planificada. 11. ( ) La autorizacin es la concesin de derechos por parte de un propietario de un recurso a otro usuario. 12. ( ) Un objetos de control de acceso puede considerarse a una impresora. 13. ( ) El no repudio, consiste en evitar que los emisores y receptorees pueden negar el envo o recepcin de mensajes. 14. ( ) A un control de acceso discrecional, se conoce tambin como control de acceso basado en identidad. 15. ( ) Un ejemplo, los administradores tienene acceso invalidado en la comparticin de ficheros windows, se puede considerar como: un control de acceso montono. Evaluaciones a distancia: Seguridad de la Informacin 5 La Universidad Catlica de Loja b. Seleccin mltiple (comprensin) 1. La encargada de garantizar que la informacin del sistema no haya sido alterada por usuarios no autorizados es el objetivo de: a. Confiabilidad b. Integridad c. Confidencialidad 2. Dentro de los niveles bsicos de la seguridad, nos referimos a los implicados dentro de los sistemas de gestin de base de datos, nos referimos al nivel: a. Aplicacin b. Middleware c. Hardware 3. Niveles bsicos de seguridad: En qu nivel ocurren la mayor parte de los fraudes? a. Sistema Operativo. b. Hardware. c. Aplicacin. 4. El impacto a los activos, dentro de los riesgos se encuentra en: a. Informacin de amenazas b. Informacin de vulnerabilidades c. Informacin de impactos 5. La propiedad de que las salvaguardas funciones de forma que satisfagana las necesidades de seguridad del consumidor, habla de la propiedad de: a. correccin b. eficiencia c. solidez 6. Las estrategias de polticas de seguridad, se realiza en al fase del proceso de anlisis y gestin de riesgos de la SI: a. Planificacin b. Anlisis de Riesgos c. Gestin de Riesgos Evaluaciones a distancia: Seguridad de la Informacin MODALIDAD ABIERTA Y A DISTANCIA 6 7. La mayor parte de metodologas de analisis de riesgos cualitativas , utilizan un conjunto de elementos interrelacionados, Cul de estos elementos no corresponde.? a. amenazas b. vulnerabilidades c. salvagurdas 8. Existen tcnicas alternativas de anlisis de riesgos, Cul de estas permiten la visualizacin de lo que puede suceder cuando no se dispone de datos reales.? a. Aplicacin de la valoracin de riesgos b. Anlisis de vulnerabilidad c. Anlisis de escenarios 9. Una amenaza de denegacin de servicios, es una amenaza asociacda a un activo, esta amaneza esta relacionada con: a. activos de informacin b. activo de equipo fsico c. activo de equipo lgico de aplicaciones 10. Cules de los siguientes controles reducen el efecto de un ataque a. Controles disuarsorios b. Controles preventivos c. Controles correctores. 11. Una caracteristica de un factor para un buen sistema de control, hace relacin a la interfaz de usuario debe ser fcil de utilizar, hace referencia al factor a. Reduccin de la complejidad b. Principio del mnimo privilegio c. Aceptabilidad del usuario 12. Para evaluar el grado de seguridad de un recurso. cul proteccin se relaciona con el siguiente enunciado? Las funciones especificas de seguridad preservan la seguridad de las etiquetas de los objetos sensibles. a. Proteccin discrecional b. Proteccin obligatoria c. Proteccin verificada Evaluaciones a distancia: Seguridad de la Informacin 7 La Universidad Catlica de Loja 13. Cul de los tipos de control de acceso, es conocido como el contro de acceso basado en reglas: a. control de acceso discrecional b. control de acceso mandatorio c. control de acceso montono 14. Suponga que desea determinar la anomalas o las operaciones normales del trfico de red de una organizacin, Cul sera el mejor modelo a seguir para implantar una seguridad proactiva? a. Modelo de redes Bayesianas, mediante anlisis estadsticos. b. Modelo de redes Gregorianas, utilizando un control de riesgos. c. Modelo de redes criptogmicas, manejando algoritmos simtricos. 15. En cul de las siguientes clasificaciones de niveles de seguridad, se hablan de siete niveles de seguridad. a. Clasificacin segn TCSEC b. Clasificacin segn ITSEC c. Clasificacin segn TICSE PRUEBA DE ENSAYO (4 puntos) a. (0,5 puntos) Consulte en internet u otra fuente bibliogrfica sobre herramientas para la seguridad de red siendo de tipo sniffer que existen actualmente y elabore un informe tcnico donde se detalle el funcionamiento de una herramientas, en el mismo deben hacer constar las siguientes caractersticas: Herramienta Descripcin breve de la herramienta. Ventajas y desventajas. Limitaciones y potencialidades. Capturas de pantalla del funcionamiento de la herramienta Cuadro resumen: (por lo menos 4 herramientas) Nombre de la herramienta Tipo de licencia (GLP, Propietario, etc.). Distribucin (Fresare, shareware) Evaluaciones a distancia: Seguridad de la Informacin MODALIDAD ABIERTA Y A DISTANCIA 8 Plataforma (Windows, Linux, MAC, etc.) Lenguaje (Ingls, Espaol, etc.) Ao de lanzamiento. Tipo de alertas. Soporte tcnico. Costo. b. (1 punto) . Realice un ensayo donde mencione cada una de las etapas del proceso de anlisis y gestin de riesgos de la seguridad de la informacin. . Aydese con fuentes externas, estas deben ser citados de forma correcta, puede utilizar las normas APA. c. (0,5 puntos) Realice un ensayo donde detalle claramente a que se refiere el control de acceso. Aydese con fuentes externas, estas deben ser citados de forma correcta, puede utilizar las normas APA. ( 2 puntos) ACTIVIDADES EVA a. (0,5 puntos) Participacin: Revisin de documentacin, lectura de anuncios, aportes al grupo, comportamiento tico en el Aula Virtual. Participacin en el foro que se habilitar la cuarta semana. Se evaluar los aportes as como los comentarios hacia los aportes de sus compaeros. b. (0,5 puntos) Actividad especfica en el tema 6 del EVA . Mapa conceptual del tema 1.3. Servicio de la Seguridad del texto de base. c. (0,5 puntos) Actividad especfica en el tema 6 del EVA . Mapa conceptual del tema 1.4. Elementos de Gestin de la Seguridad de los Sistemas de Informacin. d. (0,5 puntos) Actividad sobre los OCW, especificada en el tema 7 del EVA. Estimado(a) estudiante, una vez resuelta su evaluacin a distancia en el documento impreso (borrador), acceda al Entorno Virtual de Aprendizaje (EVA) en www.utpl.edu.ec e ingrese las respuestas respectivas. SEOR ESTUDIANTE: Le recordamos que para presentarse a rendir las evaluaciones presenciales no est permitido el uso de ningn material auxiliar (calculadora, diccionario, libros, Biblia, formularios, cdigos, leyes, etc.) Las pruebas presenciales estn diseadas para desarrollarlas sin la utilizacin de estos materiales. Evaluaciones a distancia: Seguridad de la Informacin 9 La Universidad Catlica de Loja OS Le recordamos que a partir del presente ciclo acadmico usted debe enviar de forma obligatoria su evaluacin a distancia a travs del Entorno Virtual de Aprendizaje (EVA) en las fechas defnidas, con carcter de EXCLUSIVAS E IMPOSTERGABLES. TITULACIONES SEGUNDO BIMESTRE FECHAS DE ENVO * Licenciado en Ciencias de la Educacin, Mencin: - Educacin Bsica - Fsico Matemticas - Qumico Biolgicas - Lengua y Literatura * Ingeniero en Contabilidad y Auditora Del martes 1 al jueves 17 de julio de 2014 * Ingeniero en Gestin Ambiental * Economista * Licenciado en Psicologa * Licenciado en Ciencias de la Educacin, Mencin: Ingls * Licenciado en Ciencias de la Educacin, Mencin: Educacin Infantil Del martes 1 al mircoles 16 de julio 2014 * Abogado * Ingeniero en Administracin en Gestin Pblica * Licenciado en Ciencias de la Educacin, Mencin: Ciencias Humanas y Religiosas * Ingeniero en Administracin de Empresas Tursticas y Hoteleras Del martes 1 al martes 15 de julio 2014 * Ingeniero en Administracin en Banca y Finanzas * Licenciado en Asistencia Gerencial y Relaciones Pblicas * Ingeniero en Informtica * Ingeniero en Administracin de Empresas * Licenciado en Comunicacin Social Del martes 1 al lunes 14 de julio de 2014 Para el envo de las evaluaciones acceda a: www.utpl.edu.ec. SEGUNDO BIMESTRE SEGUNDA EVALUACIN A DISTANCIA Estimado estudiante, recuerde la importancia de ingresar e interactuar a travs del Entorno Virtual de Aprendizaje (EVA). Las actividades planteadas tienen un valor de 2 puntos, importantes para su calificacin. PRUEBA OBJETIVA (2 puntos) a. Verdadero o Falso 1. ( ) La fase de identificacin del ataque es la fase inicial del tratamiento de intrusiones. 2. ( ) La utilizacin de cortafuegos y wrappers se realiza en la fase de erradicacin del ataque Evaluaciones a distancia: Seguridad de la Informacin MODALIDAD ABIERTA Y A DISTANCIA 10 3. ( ) Los ataques de DoS se pueden considerar similares a los de buffer overflow. 4. ( ) El proceso de crear, mantener y mejorar de forma contnua un SGSI sigue el modelo PDCA. 5. ( ) Un SGSI es parte del sistema global basado en el enfoque de los riesgos del negocio. 6. ( ) Una mtrica debe permitir que los resultados medidos en un momento dado tengan un impacto en los resultados futuros. 7. ( ) Las mtricas que se basan en valoraciones realizadas por personas son mtricas subjetivas. 8. ( ) La perdida de la reputacin de la organizacin se puede considerar como un riesgo de no utilizar la seguridad. 9. ( ) La gestin de la seguridad de la informacin necesita medidas de seguridad tcnicas de procedimientos, fsicas, lgicas, de personal y de gestin. 10. ( ) Una mtrica de ser alcanzable, es decir no ambigua. 11. ( ) Las mtricas que se basan en aspectos solidos y precisos y en modelos matemticos son mtricas subjetivas. 12. ( ) El objetivo de un modelo de madurez de capacidades para la seguridad es separar las caractersticas bsicas del procesos de ingeniera de seguridad de sus caractersticas de gestin. 13. ( ) En el nivel 2 de los niveles de madurez de un plan de seguridad, hablamos de que se desarrollan polticas de seguridad. 14. ( ) El objetivo principal de la reanudacin de los negocios en enfoca principalmente en el fallo de las aplicaciones por causas internas. 15. ( ) El objetivo de los modelos de ataque es detectarlos y transmitir la informacin acerca de los atacantes. Evaluaciones a distancia: Seguridad de la Informacin 11 La Universidad Catlica de Loja b. SELECCIN MLTIPLE 1. ISO-27001 es una norma que est: a. Orientada a los procesos b. Orientada a los controles c. Orientadas al producto 2. El PDCA, consiste de 4 pasos, el establecimiento de objetivos y los procesos se realiza en:? a. Plan b. Do c. Check 3. Las caractersticas para la construccin de una buena mtrica consta de nueve puntos, cuando nos referimos que debe ser til para hacer seguimientos e identificar tendencias, hablamos entonces de que la mtrica debe ser: a. Medible b. Repetible c. alcanzable 4. Las mtricas objetivas, se pueden considerar tambin como mtricas a. Cuantitativas b. Cualitativas c. Estticas 5. COBIT es una norma que est: a. Orientada a los procesos b. Orientada a los controles c. Orientadas al producto 6. Cuando hablamos por ejemplo el nmero de ingenieros certificados en temas de seguridad que tiene una organizacin estamos hablando de mtricas: a. cuantitativas y cualitativas b. estticas y dinmicas c. absolutas y relativas Evaluaciones a distancia: Seguridad de la Informacin MODALIDAD ABIERTA Y A DISTANCIA 12 7. COBIT 5.0, es considerado como uno de los elementos de un SGSI: a. sistema de gestin basado en estndares b. normas, anlisis de riesgos c. controles de seguridad 8. Dentro de las mtricas de seguridad segn al tipo que van dirigido, aquellas que tiene relacin con entes a los que se tiene que comunicar sobre la seguridad, son: a. Mtricas para ejecutivos b. Mtricas para tcnicos c. Mtricas para entidades externas 9. Al momento de determinar la importancia de la seguridad, considera la actualizacin de los sistemas con los ltimos parches, esto se considera en: a. Beneficios de implementar la seguridad b. Riesgos de no utilizar la seguridad c. Costo de la seguridad 10. Coloque en orden: 1-Desarrollo de polticas e seguridad; 2-implementacin de estos procedimientos; 3- desarrollo de procedimientos detallados; 4Integracin de polticas; 5-Verificacin del cumplimiento; a. 1,2,3,4,5 b. 1,3,2,5,4 c. 1,2,3,5,4 11. Dentro de la clasificacin de los objetivos de madurez de un plan de seguridad, Cul de los siguientes son del tipo procesos.? a. incorporacin de procesos a largo de toda la organizacin b. perfeccionamiento continuo del procesos c. capacidad para predecir, medir y controlar los costes, la planificacin y la calidad Evaluaciones a distancia: Seguridad de la Informacin 13 La Universidad Catlica de Loja 12. El cifrado de datos transmitidos, se encuentra en una de las siguiente reas de defensa: a. rea para evitar las vulnerabilidades b. rea de reduccin de vulnerabilidad c. rea de reduccin del nivel critico 13. Si hablamos de continuidad de negocios en internet, hablamos de aplicaciones entre dos entes,Cundo se habla de empresas que realizan subastas, se habla de: a. Business to Businnes b. Businnes to Customer c. Customer to Customer 14. El plan de procesamiento alternativo se debe realizar en la fase de: a. recuperacin ante desastres b. reanudacin de los negocios c. planificacin de la contingencia 15. Para crear un plan de recuperacin, en que orden las etapas se debe realizar: 1-Presupuesto; 2- Definicin de Riesgos; 3-Gestin de Compras; 4-Definicin del impacto; 5-Anlisis a. 1,2,3,4,5 b. 1,3,2,4,5 c. 1,2,4,5,3 PRUEBA DE ENSAYO (4 puntos) a. (0,5 puntos) Realizar un e nsayo sobre Mtricas de Seguridad de la Informacin. En lo posible ejemplifique sobre cada una. Aydese con fuentes externas, estas deben ser citados de forma correcta, puede utilizar las normas APA. Revise los conceptos que se encuentran en el texto bsico y realice consultas en otros medios. Evaluaciones a distancia: Seguridad de la Informacin MODALIDAD ABIERTA Y A DISTANCIA 14 b. (0.5 puntos) resolver problema 4.1 punto numero 4 (el robo de las credenciales de usuario ) del texto base Estrategias de trabajo: Revise los conceptos que se encuentran en el texto bsico y realice consultas en otros medios. c. (1 puntos) Realice un cuadro resumen de los estndares para controles de seguridad de un SGSI. Debe buscar en internet los estndares actuales, estos pueden ser ISO-27000, Cobit 5.0, BS, etc. Adjuntar: Archivo .pdf teniendo en cuenta que el nombre del archivo debera estar de la siguiente manera: NombreApellido_plan.pdf, ( 2 puntos) ACTIVIDADES EVA a. (0,5 puntos) Revisin de documentacin, lectura de anuncios, aportes al grupo, comportamiento tico en el Aula Virtual b. (0,5 puntos) participacin en el foro que se habilitar la 14 semana. Se evaluar los aportes as como los comentarios hacia los aportes de los compaeros. c. (0,5 puntos) Actividad especfica en el tema 14 del EVA (plantillas de planes) d. (0,5 puntos) Actividad sobre los OCW, especificada en el tema 14 del EVA Estimado(a) estudiante, una vez resuelta su evaluacin a distancia en el documento impreso (borrador), acceda al Entorno Virtual de Aprendizaje (EVA) en www.utpl.edu.ec e ingrese las respuestas respectivas. SEOR ESTUDIANTE: Le recordamos que para presentarse a rendir las evaluaciones presenciales no est permitido el uso de ningn material auxiliar (calculadora, diccionario, libros, Biblia, formularios, cdigos, leyes, etc.) Las pruebas presenciales estn diseadas para desarrollarlas sin la utilizacin de estos materiales.