exens1.docx

EXAMEN DE EGRESO DEL NIVEL SUPERIOR LICENCIADO EN SEGURIDAD DE TECNOLOGIAS DE INFORMACIÓN PRIMERA SESIÓN El EXENS consta de 120 reactivos, la primera sesión es de la pregunta 1 a la 70 que deberá ser resuelta en un tiempo máximo de 4 horas. Lee las siguientes preguntas y contesta lo que se te pide. En el caso de un incidente humano o provocado, seleccione la lista de activos que se deben proteger en orden de importancia. Equipo de Fabricación, Equipo de Distribución, Equipo de respaldo Equipo Critico en la Cadena de Producción o de Línea de Negocio Documentos de Contabilidad, Documentos de Facturación, Documentos Bancarios. Servidores de Datos, Equipo de Cómputo, Equipo de Comunicación Considerando que estamos elaborando el Programa de Seguridad de una Organización, cual es la definición de Clasificación de Activos. Componentes de la cadena de producción de la organización. Equipo de Cómputo, Muebles, Equipo de Oficina, Papelería. Maquinaría de fabricación, Equipo de Transporte La información almacenada. Dentro de la etapa de cumplimiento en el Plan de Seguridad, establezca la gradación de acciones que se deben de ejecutar. Identificar los activos de la organización, Identificar el giro de la empresa, Definir la cadena de producción, Diseñar el Programa de Seguridad. Crear el comité de Seguridad, Diseñar el Programa de Seguridad, Obtener el aval de la Alta Dirección, Establecer el Programa de Seguridad. Diseñar Políticas de Seguridad, Difundir y Capacitar al Personal de la Organización, Realizar auditorías para medir el cumplimiento, Aplicar medidas de correctivas en los casos que se requiera al faltar a una política. Identificar las causas del no cumplimiento, Evaluar las acciones necesarias para lograr el cumplimiento, Implementar acciones correctivas apropiadas, Revisar las acciones correctivas tomadas para verificar su eficacia y sus debilidades. Determinar la calendarización para ejecutar el Plan de Cumplimiento del Programa de Seguridad dentro del proceso anual de auditorías de la organización. Intervalos planeados, una vez al año como mínimo Enero de cada año Diciembre de cada año Después de cada incidente en caso de que ocurriera Bajo qué criterio se debe realizar la clasificación de activos de las organizaciones. La clasificación se debe realizar en base al costo registrado de cada activo. Los datos son los activos más importantes dentro de las organizaciones. Los equipos de cómputo y comunicación, así como los medios donde se realizan los respaldos. De acuerdo a la importancia que estas tengan para el logro de los objetivos de la organización. Considerando una organización que tiene el giro de Logística la cual hace entregas de paquetería a nivel nacional, cuenta con una flotilla de 10 tractos camiones con caja seca, 20 vehículos de caja cerrada para la media carga y 40 vehículos compactos para carga ligera. Tienen un sistema de logística el cual les indica las rutas más cortas a seguir además de un sistema de geolocalización el cual indica en qué punto está la carga y a que distancia el destino u origen. Además de un sofisticado sistema de telefonía. La empresa cuenta con sistema de respaldos en la nube. Se tiene un taller de mantenimiento y servicio el cual mantiene en óptimas condiciones las unidades, así como un almacén de refacciones en donde esta los principales insumos que requiere el mantenimiento de las unidades. Cuentan también con una estación interna para el despacho de combustible. Identifique la gradación de los activos. Flotilla de Vehículos 2. Taller de Mantenimiento 3. Almacén de Refacciones 4. Sistema de Telefonía 5. Sistema de Geolocalización, 6. Sistema de Logística. Sistema de Geolocalización, 2 Sistemas de Logística, 3 Sistemas de Telefonía, 4 Sistemas de Respaldos, 5. Flotilla de Vehículos, 6. Estación Interna despacho de combustible. Estación Interna despacho de combustible, 2. Flotilla de Vehículos, 3. Sistema de Logística, 4. Sistema de Geolocalización 5. Taller de Mantenimiento 6. Almacén de Refacciones. Flotilla de Vehículos, 2 Sistema de Logística, 3 Sistema de Geolocalización, 4 Estación Interna de despacho de combustible, 5 Taller de Mantenimiento, 6 Almacén de refacciones. Identifique el método más efectivo para que la Alta Dirección autorice el Programa de Seguridad de la organización. Mostrando los resultados de una auditoría interna y las consecuencias que puede ocasionar. Mostrando los resultados de una consultoría externa y las consecuencias que puede ocasionar. Mostrando los resultados de impacto económico e imagen en caso de que suceda algún incidente. Mostrando las mejores prácticas para las organizaciones del mismo tipo que ocurren a nivel mundial. Relacione las etapas con las fases en el desarrollo de las políticas de seguridad. 1-L, 2-M, 3-K, 4-J 1-M, 2-L, 3-J, 4-K 1-J, 2-K, 3-L, 4-M 1-K, 2-M, 3-J, 4-K Identifique a que sección de la pertenecen los siguientes apartados: Continuidad del negocio Comunicaciones y Gestión de Operaciones Gestión de Incidentes Gestión de Activos Distinguir cuales son los acciones para la elaboración del Análisis de Riesgos. 1 Determinación de Riesgos, 2 Identificación de Amenazas, 3 Análisis de Impacto, 4 Creación de Políticas, 5 Difusión de Políticas, 6 Auditoría, 7 Cumplimiento, 8 Capacitación y Concientización 1 Caracterización del sistema, 2 Identificación de Amenazas , 3 Identificación de Vulnerabilidades, 4 Análisis de Control, 5 Determinación de Probabilidad, 6 Análisis de Impacto, 7 Determinación de Riesgos, 8 Recomendaciones de control, 9 Documentación de Resultados. 1 Determinar objetivo de la organización, 2 identificación de Vulnerabilidades, 3 Analisis de Impacto, 4 Crear el Plan de Continuidad de Negocios, 5 Crear Plan de Recuperación de Incidentes, 6 Reporte de Resultados, 7 Adecuación de las contingencias al Programa de Seguridad 1 Crear Comité de Seguridad, 2 Crear Políticas, 3 Identificación de Amenazas, 4 Analisis de Controles, 5 Difusión de Políticas, 6 Capacitación y Concientización, 7 Recomendaciones de Control, 8 Documentación de Resultados, 9 Retroalimentación a la Alta Dirección. Identificar cual es la entrada de información para la Identificación de Vulnerabilidades Reportes de riesgos de evaluaciones anteriores, Comentarios de Auditorias, Requisitos de Seguridad, Resultados de Pruebas de Seguridad Límites del sistema, Funciones del sistema, Sistema y Datos criticidad, Sistema y Sensibilidad de datos La motivación de amenazas de código, Capacidad de Amenazas, Naturaleza de las vulnerabilidades, Controles Actuales Análisis de impacto Misión, Evaluación de la criticidad de activos, Criticidad de datos, La sensibilidad de datos Distinguir cuales controles se pueden considerar en el Análisis de Riesgos. 1 Autenticación, Autorización, 2 Acceso de las fuerzas de control, 3 No Rechazo, 4 Protección de Comunicaciones en un sistema distribuido, 5 Transacción de Privacidad. 1 Determinación de Riesgos, 2 Identificación de Amenazas, 3 Análisis de Impacto, 4 Creación de Políticas, 5 Difusión de Políticas, 6 Auditoría, 7 Cumplimiento, 8 Capacitación y Concientización 1 Autenticación, 2 Identificación, 3 No Repudio, 4 Registro de bitácora. 1 Crear políticas de seguridad, 2 Crear programa de seguridad, 3 Difusión y capacitación, 4 Cumplimiento y concientización. Define la Autenticación en el Análisis de Riesgos. El control de la autorización permite la especificación y la gestión posterior de las acciones permitidas para un sistema dado (por ejemplo, el propietario de la información o al administrador de la base determina quién puede actualizar un archivo compartido visitada por un grupo de usuarios). La rendición de cuentas del sistema depende de la capacidad de garantizar que los remitentes no pueden negar el envío de información y que los receptores no puede negarse a recibirlo. No rechazo se extiende tanto a la prevención y detección. Se ha colocado en la categoría de prevención en esta guía debido a que los mecanismos implementados evitar el repudio de éxito de una acción (por ejemplo, el certificado digital que contiene la clave privada del propietario es conocida sólo por el propietario). Como resultado, este control se aplica típicamente en el punto de transmisión o recepción. El control de autenticación proporciona los medios para verificar la identidad de un sujeto para asegurar que una identidad reivindicada es válida. Mecanismos de autenticación incluyen contraseñas, números de identificación personal o PIN, y la tecnología de autenticación emergente que proporciona autenticación fuerte (por ejemplo, símbolo, tarjeta inteligente, el certificado digital, Kerberos). Integridad de los datos y la confidencialidad son aplicadas por los controles de acceso. Cuando el sujeto que solicita el acceso ha sido autorizado para acceder a determinados procesos, es necesario para hacer cumplir la política de seguridad definida (por ejemplo, MAC o DAC). Son los roles del personal responsable del apoyar y participar en el proceso de gestión de riesgos Gerentes de TI, Personal de Seguridad de IT, Personal de Desarrollo, Personal de Infraestructura y Soporte Técnico. Alta dirección, Jefe de Información, Gerentes Administrativos y Operativos, Gerentes de IT, Personal de Seguridad de IT, Capacitadores. Alta dirección, Gerencia Administrativa y Operativos, Gerencia de Legal Todo el Personal participa. Es el rol del Jefe de Seguridad en Informática (CIO) Son responsable de asegurar que los controles adecuados están en su lugar para hacer frente a la integridad, confidencialidad y disponibilidad de los sistemas informáticos y los datos que poseen. Son responsables de los cambios en sus sistemas de TI. Por lo tanto, por lo general tienen que aprobar y firmar en cambios en sus sistemas de TI (por ejemplo, el sistema de mejora, los principales cambios en el software y hardware) Responsables de operaciones y proceso de adquisición de TI, deben tomar un papel activo en el riesgo y proceso de gestión. Son los individuos con la autoridad y la responsabilidad de tomar las decisiones trade-off esenciales al cumplimiento de la misión. Permite la consecución de adecuada la seguridad de los sistemas informáticos. Es responsable de TI de la planificación, presupuestario y desempeño incluyendo sus componentes de seguridad de la información. Las decisiones tomadas en estas áreas deben estar basadas en una gestión eficaz del programa de riesgos. Son responsables de los programas de seguridad de sus organizaciones, incluyendo la gestión de riesgos. Por lo tanto, desempeñan un papel destacado en la introducción de una metodología estructurada apropiada para ayudar Identificar, evaluar y minimizar los riesgos de los sistemas informáticos que apoyan sus misiones de las organizaciones. Es el rol de los Capacitadores y Concientizadores del Programa de Seguridad. Son responsable de asegurar que los controles adecuados están en su lugar para hacer frente a la integridad, confidencialidad y disponibilidad de los sistemas informáticos y los datos que poseen. Son responsables de los cambios en sus sistemas de TI. Por lo tanto, por lo general tienen que aprobar y firmar en cambios en sus sistemas de TI (por ejemplo, el sistema de mejora, los principales cambios en el software y hardware). Es responsable de TI de la planificación, presupuestario y desempeño incluyendo sus componentes de seguridad de la información. Las decisiones tomadas en estas áreas deben estar basadas en una gestión eficaz del programa de riesgos. Son responsables de entender el proceso de gestión de riesgos para que puedan desarrollar materiales de formación adecuados e incorporar la evaluación de riesgos en los programas de formación para educar a los usuarios finales. Son responsables de los programas de seguridad de sus organizaciones, incluyendo la gestión de riesgos. Por lo tanto, desempeñan un papel destacado en la introducción de una metodología estructurada apropiada para ayudar Identificar, evaluar y minimizar los riesgos de los sistemas informáticos que apoyan sus misiones de las organizaciones. Enumere los 3 procesos de la gestión de riesgos. 1 Análisis de Riesgos, 2 Evaluación de Riesgos, 3 Mitigación de Riesgos. 1 Análisis de Riesgos, 2 Valorización del Riesgo, 3 Costo de Mitigación. 1 Evaluación de riesgos, 2 Mitigación de riesgos, 3 Evaluación y valoración. 1 Evaluación y Valoración, 2 Mitigación de riesgos, 3 Evaluación de riesgos. Distinguir cuales son objetivos de control que pertenecen al dominio de Cumplimiento. Responsabilidades y procedimientos, Notificación de los eventos de seguridad de la información, Notificación de puntos débiles de la seguridad, Valoración de eventos de seguridad de la información y toma de decisiones. Documentación de procedimientos de operación, Gestión de cambios, Gestión de capacidades, Separación de entornos de desarrollo, prueba y producción. Identificación de la legislación aplicable, Derechos de propiedad intelectual (DPI), Protección de los registros de la organización., Protección de datos y privacidad de la información personal., Regulación de los controles criptográficos. Perímetro de seguridad física, Controles físicos de entrada, Seguridad de oficinas, despachos y recursos, Protección contra las amenazas externas y ambientales. Define el control técnico de la Protección a los Sistemas en el Análisis de Riesgos. Detrás de las capacidades funcionales diferentes de seguridad de un sistema es una base de confianza en la implementación técnica. Esto representa la calidad de la aplicación desde la perspectiva tanto de los procesos de diseño utilizados y de la manera en que se llevó a cabo la aplicación. Las protecciones del sistema son protección residual de información (también conocido como la reutilización de objetos), menor privilegio (o "necesidad de saber"), la separación de procesos, la modularidad, capas, y la reducción al mínimo de lo que debe ser de confianza. El control de la autorización permite la especificación y la gestión posterior de las acciones permitidas para un sistema dado (por ejemplo, el propietario de la información o al administrador de la base determina quién puede actualizar un archivo compartido visitada por un grupo de usuarios). La rendición de cuentas del sistema depende de la capacidad de garantizar que los remitentes no pueden negar el envío de información y que los receptores no puede negarse a recibirlo. No rechazo se extiende tanto a la prevención y detección. Se ha colocado en la categoría de prevención en esta guía debido a que los mecanismos implementados evitar el repudio de éxito de una acción (por ejemplo, el certificado digital que contiene la clave privada del propietario es conocida sólo por el propietario). Como resultado, este control se aplica típicamente en el punto de transmisión o recepción. Integridad de los datos y la confidencialidad son aplicadas por los controles de acceso. Cuando el sujeto que solicita el acceso ha sido autorizado para acceder a determinados procesos, es necesario para hacer cumplir la política de seguridad definida (por ejemplo, MAC o DAC). VULNERABILIDAD NARRATIVA DE IMPACTO El equipo remoto de SMB tiene deshabilitado el inicio de sesión. Capacidad de poder ejecutar código malicioso en el servidor que permita robar datos o causar algún otro daño El equipo remoto está ejecutando un sistema operativo Windows al es posible iniciar sesión como usuario invitado usando una cuenta de invitado aleatoria. Permite ejecutar código arbitrario en el equipo a través del cliente DNS de Windows Una falla en la forma en como el cliente DNS de Windows instalado procesa consultas del LLMNR (Link-Local Multicast Name Resolution) Un atacante puede ganar acceso al servidor sin iniciar sesión y de esta forma obtener información o causar algún otro daño. El servidor web permite acceder a sus documentos bajo el directorio /jmx-console sin necesidad de autenticarse Un usuario no autorizado entra al equipo y puede robar información, dañar su integridad. Tener acceso al sistema con ciertos privilegios Relacionar cada Narrativa de Impacto con la Vulnerabilidad. 1-M, 2-L, 3-J, 4-K 1-J, 2-K, 3-L, 4-M 1-K, 2-M, 3-J, 4-K 1-L, 2-M, 3-K, 4-J Identifique la opción que indica cuales son las posibles formas de afrontar un riesgo en una empresa. 1. Analizarlo, 2. Calcularlo, 3. Solucionarlo, 4. Documentarlo 1. Planearlo, 2. Solucionarlo, 3. Verificarlo, 4. Checarlo 1. Canalizarlo, 2. Revisarlo, 3. Archivarlo, 4. Eliminarlo 1. Aceptarlo, 2. Transferirlo, 3. Mitigarlos, 3. Evitarlo Identificar cual es el resultado que se está calculando con la expresión Probabilidad de Amenaza x Magnitud de Daño Partida Costo Riesgo Implementación Una organización que se dedica al comercio en línea a sufrido un ataque de negación de servicio y su funcionamiento es intermitente, identifique el valor de a probabilidad de amenaza y la magnitud de daño en una escala del 1 al 4. Probabilidad de Amenaza=1, Magnitud de daño=4 Probabilidad de Amenaza=4, Magnitud de daño=1 Probabilidad de Amenaza=1, Magnitud de daño=1 Probabilidad de Amenaza=4, Magnitud de daño=4 Es quién debe identificar y ordenar los controles de seguridad de información para abordar específicamente el acceso de proveedores a la información de la organización en una política. El departamento de seguridad El departamento de informática La organización Los proveedores Los siguientes términos deben ser considerados para su inclusión en los acuerdos con el fin de satisfacer los requisitos de seguridad de la información, EXCEPTO: Los requisitos legales y reglamentarios, incluida la protección de datos, los derechos de propiedad intelectual y derechos de autor, así como una descripción de cómo se garantizará que se cumplan La definición de los tipos de acceso a la información que se les permitirá diferentes tipos de proveedores, y el seguimiento y control del acceso Descripción de la información que debe facilitarse o accedido y métodos de suministro o el acceso a la información La clasificación de la información de acuerdo con el esquema de clasificación de la organización; si es necesario también el mapeo entre propio esquema de clasificación de la organización y el sistema de clasificación del proveedor Son cambios en la prestación de servicios por parte de los proveedores, EXCEPTO: El mantenimiento y la mejora de las políticas Visibilidad de las actividades de seguridad Procedimientos y controles de seguridad de la información existentes Considerar la criticidad de la información empresarial, los sistemas y los procesos involucrados Deben ser identificados mediante diversos métodos, tales como derivar los requisitos de cumplimiento de las políticas y regulaciones, modelado de amenazas, críticas incidentes, o el uso de umbrales de vulnerabilidad. Requisitos de implementación Requisitos para proveedores Requisitos de seguridad de la información Requisitos de los sistemas de información Deben definirse por ejemplo en cuanto a su funcionalidad, lo que dará la seguridad de que se cumplen los requisitos de seguridad identificados. Los productos deben ser evaluados en relación con estos criterios antes de la adquisición. Requisitos de implementación Criterios para la aceptación de productos Requisitos para proveedores Criterios de los sistemas de información Beben utilizarse tanto para los nuevos desarrollos y en código escenarios de reutilización en las normas aplicadas al desarrollo no pueden ser conocidos o no eran consistentes con las mejores prácticas actuales Desarrollo seguro Técnicas de programación seguros Reglas para el desarrollo de software El alcance de los controles Deben ser consideradas y en su caso el mandato para su uso. Los desarrolladores deben ser entrenados en su uso y las pruebas y el código de revisión debe verificar su uso. Normas de codificación segura Desarrollo seguro Técnicas de programación seguros El alcance de los controles CLASIFICACION DE DATO TIPO DE DATO Dato sensible Datos de localización Dato general Datos de facturación Dato personal Expediente médico Dato particular Cuestionario anónimo En relación al caso descrito y de acuerdo a la LFDPDPPP identifique los tipos de datos que se mencionan. En un consultorio pediátrico la operación diaria cuando ingresa un nuevo paciente es la siguiente, la recepcionista solicita al padre o tutor los datos generales que son nombre, domicilio, teléfono, RFC. Posteriormente pasan con una enfermera que da de alta el expediente y recolecta información sobre el paciente como vacunas aplicadas, enfermedades anteriores, reacción a medicamentos. El medico hace una valuación del paciente y procede a registrar los síntomas, la enfermedad, el medicamento suministrado. Al final, se pasa a caja para realizar el pago, el cual puede ser en efectivo o tarjeta de crédito o débito. 1-L, 2-K, 3-J 1-K, 2-J, 3-M 1-M, 2-L, 3-K 1-J, 2-M, 3-L PUESTO PERMISO Director general Acceso Totoal Capturista Acceso Restringido Administrador del Sistema Sin Acceso Administrador de la Base de Datos Solo Lectura Relacione los puestos con los permisos. 1-L, 2-J, 3-M, 4-L 1-J , 2-M, 3-L, 4-K 1-K, 2-L, 3-K, 4-M 1-K, 2-K, 3-J, 4-K Identifique el protocolo de control de accesos que se utiliza en relación a la actividad mencionada. El guardia que custodia la entrada a las oficinas generales de una compañía. Autorización Contabilización (Accountability) No repudio Autenticación Identifique el protocolo de control de accesos que se utiliza en relación a la actividad mencionada. Una tarjeta habiente recuerda su nombre de usuario pero no recuerda su contraseña. Autenticación Autorización Contabilización (Accountability) No Repudio Identifique el protocolo de control de accesos que se utiliza en relación a la actividad mencionada. El personal de análisis forense se apoya en el estudio de las bitácoras registradas para conocer la actividad reciente dentro de los sistemas de información. Autorización Contabilización (Accountability). Autenticación. No Repudio

Document Details

Related

Full Transcript