MODALIDAD ABIERTA Y A DISTANCIA
Departamento de Ciencias de la Computación y Electrónica Sección Ingeniería del Software y Gestión de Tecnologías de la Información
Seguridad de la Información Evaluación a distancia 4 Créditos
Titulación
Ciclo
IX
Ingeniero en Informática
Profesor principal: Ing. Danilo Rubén Jaramillo Hurtado TUTORÍAS: El profesor asignado publicará en el Entorno Virtual de Aprendizaje (EVA) su número telefónico y horario de tutoría, para contactarlo utilice la opción “Contactar al profesor” Más información puede obtener llamando al Call Center 072588730, línea gratuita 1800 88758875 o al correo electrónico
[email protected]
Abril-Agosto 2014
Asesoría virtual:
www.utpl.edu.ec La Universidad Católica de Loja
Evaluaciones a distancia: Seguridad de la
Información
PRIMERA EVALUACIÓN A DISTANCIA PRIMER BIMESTRE Le recordamos que a partir del presente ciclo académico usted debe enviar de forma obligatoria su evaluación a distancia a través del Entorno Virtual de Aprendizaje (EVA) en las fechas definidas, con carácter de EXCLUSIVAS E IMPOSTERGABLES . OS PRIMER BIMESTRE FECHAS DE ENVÍO
TITULACIONES Licenciado en Ciencias de la Educación, Mención: - Educación Básica - Físico Matemáticas - Químico Biológicas - Lengua y Literatura * Ingeniero en Contabilidad y Auditoría * Ingeniero en Gestión Ambiental * Economista * Licenciado en Psicología * Licenciado en Ciencias de la Educación, Mención: Inglés * Licenciado en Ciencias de la Educación, Mención: Educación Infantil * Abogado * Ingeniero en Administración en Gestión Pública * Licenciado en Ciencias de la Educación, Mención: Ciencias Humanas y Religiosas * Ingeniero en Administración de Empresas Turísticas y Hoteleras * Ingeniero en Administración en Banca y Finanzas * Licenciado en Asistencia Gerencial y Relaciones Públicas * Ingeniero en Informática * Ingeniero en Administración de Empresas * Licenciado en Comunicación Social *
Del jueves 1 al martes 13 de mayo de 2014
Del jueves 1 al miércoles 14 de mayo de 2014
Del jueves 1 al jueves 15 de mayo de 2014
Del jueves 1 al viernes 16 de mayo de 2014
Para el envío de las evaluaciones acceda a: www.utpl.edu.ec.
Estimado estudiante, recuerde la importancia de ingresar e interactuar a través del Entorno Virtual de Aprendizaje (EVA). Las actividades planteadas tienen un valor de 2 puntos, importantes para su calificación.
PRUEBA OBJETIVA (2 puntos)
a.
Verdadero o Falso (conocimiento)
1.
(
)
Se puede considerar a la seguridad como el componente clave en todo tipo de proyectos de sistemas de informacion
La Universidad Católica de Loja
3
Evaluaciones a distancia: Seguridad de la
Información
2.
(
)
La disponibilidad, permite garantizar que los otros objetivos de la seguridad se han cumplido.
3.
(
)
Los compradores de un sistema de información o usuarios finales, no tienen porque considerar los aspectos relacionadas con la seguridad dentro de los mismos.
4.
(
)
La valoracion de riesgos es el proceso consitente en identificar los problemas en el momento que aparezcan los mismos.
5.
(
)
Concientizar a todos los miembros de la organización sobre la seguridad, es el resultado de realizar un analisis de riesgos.
6.
(
)
Un agente de amenaza puede difinirse como el método para explotra una vulnerabilidad del sistema, operación o servicio.
7.
(
)
La estimación de perdidas potenciales se puede considerar como un analisis de riesgo caulitativo.
8.
(
)
Dentro de las amezas a los sistemas de informacion podemos encontrar el codigo malicioso, ésta es una amenza accidental.
9.
(
)
La gestión de verificación de las salvaguardas es un proceso que se encuentra antes de la gestión de la concienciación en seguridad de la información.
10.
(
)
El plan global de asignación de recursos resume los requisitos de recursos de la estrategia de gestión de riesgos planificada.
11.
(
)
La autorización es la concesión de derechos por parte de un propietario de un recurso a otro usuario.
12.
(
)
Un objetos de control de acceso puede considerarse a una impresora.
13.
(
)
El no repudio, consiste en evitar que los emisores y receptorees pueden negar el envío o recepción de mensajes.
14.
(
)
A un control de acceso discrecional, se conoce también como control de acceso basado en identidad.
15.
(
)
Un ejemplo, los administradores tienene acceso invalidado en la compartición de ficheros windows, se puede considerar como: un control de acceso monótono.
4
MODALIDAD ABIERTA Y A DISTANCIA
Evaluaciones a distancia: Seguridad de la
Información
b.
Selección múltiple (comprensión)
1.
La encargada de garantizar que la información del sistema no haya sido alterada por usuarios no autorizados es el objetivo de: a. b. c.
2.
Dentro de los niveles básicos de la seguridad, nos referimos a los implicados dentro de los sistemas de gestión de base de datos, nos referimos al nivel: a. b. c.
3.
Información de amenazas Información de vulnerabilidades Información de impactos
La propiedad de que las salvaguardas funciones de forma que satisfagana las necesidades de seguridad del consumidor, habla de la propiedad de: a. b. c.
6.
Sistema Operativo. Hardware. Aplicación.
El impacto a los activos, dentro de los riesgos se encuentra en: a. b. c.
5.
Aplicación Middleware Hardware
Niveles básicos de seguridad: ¿En qué nivel ocurren la mayor parte de los fraudes? a. b. c.
4.
Confiabilidad Integridad Confidencialidad
corrección eficiencia solidez
Las estrategias de políticas de seguridad, se realiza en al fase del proceso de análisis y gestión de riesgos de la SI: a. b. c.
Planificación Análisis de Riesgos Gestión de Riesgos
La Universidad Católica de Loja
5
Evaluaciones a distancia: Seguridad de la
7.
La mayor parte de metodologías de analisis de riesgos cualitativas , utilizan un conjunto de elementos interrelacionados, ¿Cuál de estos elementos no corresponde.? a. b. c.
8.
Reducción de la complejidad Principio del mínimo privilegio Aceptabilidad del usuario
Para evaluar el grado de seguridad de un recurso. ¿cuál protección se relaciona con el siguiente enunciado? Las funciones especificas de seguridad preservan la seguridad de las etiquetas de los objetos sensibles. a. b. c.
6
Controles disuarsorios Controles preventivos Controles correctores.
Una caracteristica de un factor para un buen sistema de control, hace relación a la interfaz de usuario debe ser fácil de utilizar, hace referencia al factor a. b. c.
12.
activos de información activo de equipo físico activo de equipo lógico de aplicaciones
¿Cuáles de los siguientes controles reducen el efecto de un ataque a. b. c.
11.
Aplicación de la valoración de riesgos Análisis de vulnerabilidad Análisis de escenarios
Una amenaza de denegación de servicios, es una amenaza asociacda a un activo, esta amaneza esta relacionada con: a. b. c.
10.
amenazas vulnerabilidades salvagurdas
Existen técnicas alternativas de análisis de riesgos, ¿Cuál de estas permiten la visualización de lo que puede sucederé cuando no se dispone de datos reales.? a. b. c.
9.
Información
Protección discrecional Protección obligatoria Protección verificada
MODALIDAD ABIERTA Y A DISTANCIA
Evaluaciones a distancia: Seguridad de la
13.
¿Cuál de los tipos de control de acceso, es conocido como el contro de acceso basado en reglas: a. b. c.
14.
control de acceso discrecional control de acceso mandatorio control de acceso monótono
Suponga que desea determinar la anomalías o las operaciones normales del tráfico de red de una organización, ¿Cuál sería el mejor modelo a seguir para implantar una seguridad proactiva? a. b. c.
15.
Información
Modelo de redes Bayesianas, mediante análisis estadísticos. Modelo de redes Gregorianas, utilizando un control de riesgos. Modelo de redes criptogámicas, manejando algoritmos simétricos.
En cuál de las siguientes clasificaciones de niveles de seguridad, se hablan de siete niveles de seguridad. a. b. c.
Clasificación según TCSEC Clasificación según ITSEC Clasificación según TICSE
PRUEBA DE ENSAYO (4 puntos)
a.
(0,5 puntos) Consulte en internet u otra fuente bibliográfica sobre herramientas para la seguridad de red siendo de tipo sniffer que existen actualmente y elabore un informe técnico donde se detalle el funcionamiento de una herramientas, en el mismo deben hacer constar las siguientes características: Ø
Ø
Herramienta
Descripción breve de la herramienta.
Ventajas y desventajas.
Limitaciones y potencialidades.
Capturas de pantalla del funcionamiento de la herramienta
Cuadro resumen: (por lo menos 4 herramientas)
Nombre de la herramienta
Tipo de licencia (GLP, Propietario, etc.).
Distribución (Fresare, shareware)
La Universidad Católica de Loja
7
Evaluaciones a distancia: Seguridad de la
Información
Plataforma (Windows, Linux, MAC, etc.)
Lenguaje (Inglés, Español, etc.)
Año de lanzamiento.
Tipo de alertas.
Soporte técnico.
Costo.
b.
(1 punto) . Realice un ensayo donde mencione cada una de las etapas del proceso de análisis y gestión de riesgos de la seguridad de la información. . Ayúdese con fuentes externas, estas deben ser citados de forma correcta, puede utilizar las normas APA.
c.
(0,5 puntos) Realice un ensayo donde detalle claramente a que se refiere el control de acceso. Ayúdese con fuentes externas, estas deben ser citados de forma correcta, puede utilizar las normas APA. ( 2 puntos) ACTIVIDADES EVA
a.
(0,5 puntos) Participación: •
Revisión de documentación, lectura de anuncios, aportes al grupo, comportamiento ético en el Aula Virtual.
•
Participación en el foro que se habilitará la cuarta semana. Se evaluará los aportes así como los comentarios hacia los aportes de sus compañeros.
b.
(0,5 puntos) Actividad específica en el tema 6 del EVA . Mapa conceptual del tema 1.3. Servicio de la Seguridad del texto de base.
c.
(0,5 puntos) Actividad específica en el tema 6 del EVA . Mapa conceptual del tema 1.4. Elementos de Gestión de la Seguridad de los Sistemas de Información.
d.
(0,5 puntos) Actividad sobre los OCW, especificada en el tema 7 del EVA.
Estimado(a) estudiante, una vez resuelta su evaluación a distancia en el documento impreso (borrador), acceda al Entorno Virtual de Aprendizaje (EVA) en www.utpl.edu.ec e ingrese las respuestas respectivas.
SEÑOR ESTUDIANTE: Le recordamos que para presentarse a rendir las evaluaciones presenciales no está permitido el uso de ningún material auxiliar (calculadora, diccionario, libros, Biblia, formularios, códigos, leyes, etc.) Las pruebas presenciales están diseñadas para desarrollarlas sin la utilización de estos materiales.
8
MODALIDAD ABIERTA Y A DISTANCIA
Evaluaciones a distancia: Seguridad de la
Información
SEGUNDA EVALUACIÓN A DISTANCIA SEGUNDO BIMESTRE Le recordamos que a partir del presente ciclo académico usted debe enviar de forma obligatoria su evaluación a distancia a través del Entorno Virtual de Aprendizaje (EVA) en las fechas definidas, con carácter de EXCLUSIVAS E IMPOSTERGABLES. OS
SEGUNDO BIMESTRE FECHAS DE ENVÍO
TITULACIONES Licenciado en Ciencias de la Educación, Mención: - Educación Básica - Físico Matemáticas - Químico Biológicas - Lengua y Literatura * Ingeniero en Contabilidad y Auditoría * Ingeniero en Gestión Ambiental * Economista * Licenciado en Psicología * Licenciado en Ciencias de la Educación, Mención: Inglés * Licenciado en Ciencias de la Educación, Mención: Educación Infantil * Abogado * Ingeniero en Administración en Gestión Pública * Licenciado en Ciencias de la Educación, Mención: Ciencias Humanas y Religiosas * Ingeniero en Administración de Empresas Turísticas y Hoteleras * Ingeniero en Administración en Banca y Finanzas * Licenciado en Asistencia Gerencial y Relaciones Públicas * Ingeniero en Informática * Ingeniero en Administración de Empresas * Licenciado en Comunicación Social *
Del martes 1 al jueves 17 de julio de 2014
Del martes 1 al miércoles 16 de julio 2014
Del martes 1 al martes 15 de julio 2014
Del martes 1 al lunes 14 de julio de 2014
Para el envío de las evaluaciones acceda a: www.utpl.edu.ec.
Estimado estudiante, recuerde la importancia de ingresar e interactuar a través del Entorno Virtual de Aprendizaje (EVA). Las actividades planteadas tienen un valor de 2 puntos, importantes para su calificación.
PRUEBA OBJETIVA (2 puntos) a.
Verdadero o Falso
1.
(
)
La fase de identificación del ataque es la fase inicial del tratamiento de intrusiones.
2.
(
)
La utilización de cortafuegos y wrappers se realiza en la fase de erradicación del ataque
La Universidad Católica de Loja
9
Evaluaciones a distancia: Seguridad de la
Información
3.
(
)
Los ataques de DoS se pueden considerar similares a los de buffer overflow.
4.
(
)
El proceso de crear, mantener y mejorar de forma contínua un SGSI sigue el modelo PDCA.
5.
(
)
Un SGSI es parte del sistema global basado en el enfoque de los riesgos del negocio.
6.
(
)
Una métrica debe permitir que los resultados medidos en un momento dado tengan un impacto en los resultados futuros.
7.
(
)
Las métricas que se basan en valoraciones realizadas por personas son métricas subjetivas.
8.
(
)
La perdida de la reputación de la organización se puede considerar como un riesgo de no utilizar la seguridad.
9.
(
)
La gestión de la seguridad de la información necesita medidas de seguridad técnicas de procedimientos, físicas, lógicas, de personal y de gestión.
10.
(
)
Una métrica de ser alcanzable, es decir no ambigua.
11.
(
)
Las métricas que se basan en aspectos solidos y precisos y en modelos matemáticos son métricas subjetivas.
12.
(
)
El objetivo de un modelo de madurez de capacidades para la seguridad es separar las características básicas del procesos de ingeniería de seguridad de sus características de gestión.
13.
(
)
En el nivel 2 de los niveles de madurez de un plan de seguridad, hablamos de que se desarrollan políticas de seguridad.
14.
(
)
El objetivo principal de la reanudación de los negocios en enfoca principalmente en el fallo de las aplicaciones por causas internas.
15.
(
)
El objetivo de los modelos de ataque es detectarlos y transmitir la información acerca de los atacantes.
10
MODALIDAD ABIERTA Y A DISTANCIA
Evaluaciones a distancia: Seguridad de la
b.
SELECCIÓN MÚLTIPLE
1.
¿ ISO-27001 es una norma que está: a. b. c.
2.
Cuantitativas Cualitativas Estáticas
¿ COBIT es una norma que está: a. b. c.
6.
Medible Repetible alcanzable
Las métricas objetivas, se pueden considerar también como métricas a. b. c.
5.
Plan Do Check
Las características para la construcción de una buena métrica consta de nueve puntos, cuando nos referimos que debe ser útil para hacer seguimientos e identificar tendencias, hablamos entonces de que la métrica debe ser: a. b. c.
4.
Orientada a los procesos Orientada a los controles Orientadas al producto
El PDCA, consiste de 4 pasos, el establecimiento de objetivos y los procesos se realiza en:? a. b. c.
3.
Información
Orientada a los procesos Orientada a los controles Orientadas al producto
Cuando hablamos por ejemplo el número de ingenieros certificados en temas de seguridad que tiene una organización estamos hablando de métricas: a. b. c.
cuantitativas y cualitativas estáticas y dinámicas absolutas y relativas
La Universidad Católica de Loja
11
Evaluaciones a distancia: Seguridad de la
7.
COBIT 5.0, es considerado como uno de los elementos de un SGSI: a. b. c.
8.
1,2,3,4,5 1,3,2,5,4 1,2,3,5,4
Dentro de la clasificación de los objetivos de madurez de un plan de seguridad, ¿Cuál de los siguientes son del tipo procesos.? a. b. c.
12
Beneficios de implementar la seguridad Riesgos de no utilizar la seguridad Costo de la seguridad
Coloque en orden: 1-Desarrollo de políticas e seguridad; 2-implementación de estos procedimientos; 3- desarrollo de procedimientos detallados; 4Integración de políticas; 5-Verificación del cumplimiento; a. b. c.
11.
Métricas para ejecutivos Métricas para técnicos Métricas para entidades externas
Al momento de determinar la importancia de la seguridad, considera la actualización de los sistemas con los últimos parches, esto se considera en: a. b. c.
10.
sistema de gestión basado en estándares normas, análisis de riesgos controles de seguridad
Dentro de las métricas de seguridad según al tipo que van dirigido, aquellas que tiene relación con entes a los que se tiene que comunicar sobre la seguridad, son: a. b. c.
9.
Información
incorporación de procesos a largo de toda la organización perfeccionamiento continuo del procesos capacidad para predecir, medir y controlar los costes, la planificación y la calidad
MODALIDAD ABIERTA Y A DISTANCIA
Evaluaciones a distancia: Seguridad de la
12.
El cifrado de datos transmitidos, se encuentra en una de las siguiente áreas de defensa: a. b. c.
13.
Business to Businnes Businnes to Customer Customer to Customer
El plan de procesamiento alternativo se debe realizar en la fase de: a. b. c.
15.
Área para evitar las vulnerabilidades Área de reducción de vulnerabilidad Área de reducción del nivel critico
Si hablamos de continuidad de negocios en internet, hablamos de aplicaciones entre dos entes,¿Cuándo se habla de empresas que realizan subastas, se habla de: a. b. c.
14.
Información
recuperación ante desastres reanudación de los negocios planificación de la contingencia
Para crear un plan de recuperación, en que orden las etapas se debe realizar: 1-Presupuesto; 2- Definición de Riesgos; 3-Gestión de Compras; 4-Definición del impacto; 5-Análisis a. b. c.
1,2,3,4,5 1,3,2,4,5 1,2,4,5,3
PRUEBA DE ENSAYO (4 puntos)
a.
(0,5 puntos) Realizar un e nsayo sobre Métricas de Seguridad de la Información. En lo posible ejemplifique sobre cada una. Ayúdese con fuentes externas, estas deben ser citados de forma correcta, puede utilizar las normas APA. Revise los conceptos que se encuentran en el texto básico y realice consultas en otros medios.
La Universidad Católica de Loja
13
Evaluaciones a distancia: Seguridad de la
b.
Información
(0.5 puntos) resolver problema 4.1 punto numero 4 (el robo de las credenciales de usuario…… ) del texto base Estrategias de trabajo: •
c.
Revise los conceptos que se encuentran en el texto básico y realice consultas en otros medios.
(1 puntos) Realice un cuadro resumen de los estándares para controles de seguridad de un SGSI. Debe buscar en internet los estándares actuales, estos pueden ser ISO-27000, Cobit 5.0, BS, etc.
Adjuntar: Archivo .pdf teniendo en cuenta que el nombre del archivo debería estar de la siguiente manera: NombreApellido_plan.pdf, ( 2 puntos) ACTIVIDADES EVA
a.
(0,5 puntos) Revisión de documentación, lectura de anuncios, aportes al grupo, comportamiento ético en el Aula Virtual
b.
(0,5 puntos) participación en el foro que se habilitará la 14 semana. Se evaluará los aportes así como los comentarios hacia los aportes de los compañeros.
c.
(0,5 puntos) Actividad específica en el tema 14 del EVA (plantillas de planes)
d.
(0,5 puntos) Actividad sobre los OCW, especificada en el tema 14 del EVA
Estimado(a) estudiante, una vez resuelta su evaluación a distancia en el documento impreso (borrador), acceda al Entorno Virtual de Aprendizaje (EVA) en www.utpl.edu.ec e ingrese las respuestas respectivas.
SEÑOR ESTUDIANTE: Le recordamos que para presentarse a rendir las evaluaciones presenciales no está permitido el uso de ningún material auxiliar (calculadora, diccionario, libros, Biblia, formularios, códigos, leyes, etc.) Las pruebas presenciales están diseñadas para desarrollarlas sin la utilización de estos materiales.
14
MODALIDAD ABIERTA Y A DISTANCIA