Anda di halaman 1dari 4

FACULTAD DE POSTGRADO

MAESTRA EN AUDITORA DE TECNOLOGAS DE LA INFORMACIN


MATERIA: Seguridad en Redes, Telecomunicaciones e Internet
ACTIVIDADES SESIN 1 ACTIVIDAD 1.4
Tema: Lectura 1.4

Codificacin: Foro 4

Descripcin: Leer, analizar y contestar cuestionario sobre el Folleto Information Security


Assessment Guideline.
Tipo de Actividad: Foro

Conformacin de Actividad: Individual

Fecha de entrega: Nov. 6, 2015

Detalles de la entrega:

Hora de entrega: hasta las 21h00

Componente de Ponderacin: Tareas,


Trabajos, Talleres.
Valoracin: Sobre 100- aporta al
promedio del componente de
ponderacin.
Calificacin: Correccin, pertinencia,
presentacin y lenguaje.

Enviar cuestionario resuelto de manera


individual a la direccin de correo
rpachecov@uees.edu.ec, hasta la
fecha y hora indicadas.
Utilizar el Encabezado y Pie de Pgina
de este archivo.
Utilizar un lenguaje formal, tcnico y
adecuado.

CUESTIONARIO 1.4
Nombre: Jos Barreto B.
Fecha: Noviembre 6 de 2015

C.C.: 0913054227

1. Indique que se entiende por un proceso de Evaluacin de la Seguridad de la Informacin


(Information Security Assessment).
Evaluacin de la seguridad de la informacin es una actividad cuando las organizaciones a evaluar la
eficacia de los controles de seguridad que se han implementado en sus sistemas de informacin

2. Indique cuales son dos resultados generales de un proceso de Evaluacin de la Seguridad de la


Informacin.
Los resultados son:

La evidencia sobre la efectividad de los controles de seguridad implementados; y la eficacia de la


implementacin.
La informacin sobre las fortalezas y debilidades de los sistemas de informacin de las
organizaciones
Elaborado por Ing. Rubn Pacheco Villamar, M.Sc.
Docente
30-Octubre-2015
Pgina 1

FACULTAD DE POSTGRADO
MAESTRA EN AUDITORA DE TECNOLOGAS DE LA INFORMACIN
MATERIA: Seguridad en Redes, Telecomunicaciones e Internet
ACTIVIDADES SESIN 1 ACTIVIDAD 1.4
3. Indique que fases se identifican en la ejecucin del proceso de Evaluacin de la Seguridad de la
Informacin.
Las 3
1.
2.
3.

fases que identifican el proceso son


Pre-Assessment
During-Assessment
Post-Assessment

4. Indique algunos de los beneficios de la ejecucin del proceso de Evaluacin de la Seguridad de


la Informacin.
Los beneficios de este proceso son los siguientes:
1. Identificar las brechas en seguridad controles, polticas y procesos de la organizacin.
2. Descubre los riesgos de las amenazas de seguridad internas y externas a las
organizaciones y ofrecer recomendaciones detalladas para mitigarlos.
3. Mejorar las organizaciones postura de seguridad global y la productividad basada en las
necesidades de negocio reconocidas.
4. Entender claramente los problemas de seguridad y los requisitos dentro de los sistemas
de informacin de las organizaciones o aplicaciones antes de que sean explotados.
5. Proporcionar extensin segura para aplicaciones especialmente crticas de negocio y
aplicaciones de negocio principal.
6. Aumentar la confianza y la confianza en los sistemas y aplicaciones de las
organizaciones, garantizando la disponibilidad segura de sus sistemas de informacin o
aplicaciones para sus clientes.

5. Indique brevemente las tareas que se realizan en la primera fase del proceso de Evaluacin de
la Seguridad de la Informacin.
Prepara a las organizaciones para las evaluaciones actuales realizadas por los evaluadores
de 3er partido. En esta fase, las organizaciones a desarrollar requisitos para la evaluacin,
planificar y establecer los recursos suficientes, y asegurar que todos los documentos y
registros relacionados con la evaluacin de seguridad de informacin estn en orden

6. Indique brevemente las tareas que se realizan en la segunda fase del proceso de Evaluacin de
la Seguridad de la Informacin.
Una vez que la preparacin para la evaluacin se completa, asesores externo junto con la
organizacin llevar a cabo evaluaciones de seguridad de la informacin segn lo
acordado en el mbito de aplicacin del plan de evaluacin de la seguridad laboral y la
informacin. En esta fase, las organizaciones evalan las amenazas y vulnerabilidades
dentro de los activos de los sistemas de informacin y organizaciones para validar si todos
los controles de seguridad implementados son ya sea adecuada, completamente segura o
han conocido a un nivel aceptable de riesgo.
Elaborado por Ing. Rubn Pacheco Villamar, M.Sc.
Docente
30-Octubre-2015
Pgina 2

FACULTAD DE POSTGRADO
MAESTRA EN AUDITORA DE TECNOLOGAS DE LA INFORMACIN
MATERIA: Seguridad en Redes, Telecomunicaciones e Internet
ACTIVIDADES SESIN 1 ACTIVIDAD 1.4
7. Indique brevemente las tareas que se realizan en la tercera fase del proceso de Evaluacin de
la Seguridad de la Informacin.
Esta es la ltima fase de la evaluacin de seguridad de la informacin. En esta fase, las
organizaciones reciben informes de evaluacin sobre la base de las evaluaciones
realizadas. Ellos deben desarrollar un plan de accin remediable y actualizar sus requisitos
de seguridad.

8. Indique cual es la funcin e importancia de la firma del Acuerdo de Confidencialidad (NDA) en


el proceso de Evaluacin de la Seguridad de la Informacin.
Cada organizacin debe elaborar un acuerdo de no divulgacin (NDA) para los asesores de
tercera parte. Deben asegurarse de que el evaluador tercera parte firme el acuerdo de
confidencialidad antes de realizar la evaluacin para asegurar que el evaluador de tercera
parte no revela ninguna informacin pertinente a las actividades de evaluacin.
El NDA debe ser firmado con el evaluador de tercera parte, as como con los empleados
que estn involucrados en la evaluacin.

9. De ejemplos de polticas y procedimientos de seguridad que deben ser desarrollados, revisados


y actualizados peridicamente y que dan soporte al proceso de Evaluacin de la Seguridad de
la Informacin.

(1) Evaluacin de Riesgos


La evaluacin de riesgos es un proceso de identificar, cuantificar y priorizar los riesgos contra los
criterios establecidos para la aceptacin del riesgo y objetivos relevantes para la organizacin. La
evaluacin de los riesgos de seguridad de informacin debe tener un alcance definido clara con el
fin de ser eficaz y debe incluir las relaciones con la evaluacin de riesgos en otras reas (si los hay).
La evaluacin de riesgos debe realizarse peridicamente o cuando hay algn cambio en relacin
con una de las organizaciones de sistemas de informacin.
(2) Polticas y procedimientos
Las polticas y procedimientos relacionados con la seguridad de la informacin deben ser
desarrollados, aprobados y comunicados a todos los empleados. Estas polticas y procedimientos
deben ser revisados peridicamente para garantizar su pertinencia y eficacia.
(3) Auditoras Internas
Las auditoras internas, a veces llamado auditoras de primera parte, es un proceso sistemtico,
independiente y documentado (por lo general) llevada a cabo por las propias organizaciones. Esto
se hace en la bsqueda para obtener evidencia de auditora y evaluarlas de manera objetiva con el
fin de determinar el grado en que se cumple un criterio de auditora.
10. Explique las cinco capas del modelo de Defensa en Profundidad utilizado en la presenta gua.
Seguridad de la red
Elaborado por Ing. Rubn Pacheco Villamar, M.Sc.
Docente
30-Octubre-2015
Pgina 3

FACULTAD DE POSTGRADO
MAESTRA EN AUDITORA DE TECNOLOGAS DE LA INFORMACIN
MATERIA: Seguridad en Redes, Telecomunicaciones e Internet
ACTIVIDADES SESIN 1 ACTIVIDAD 1.4
Asegurar una capa de red de las organizaciones debe hacerse asegurando la arquitectura
y el diseo de la red, asegurando la autenticacin de red y control de acceso y asegurar
todos los dispositivos de red.
Seguridad de Comunicacin
Asegurar una capa organizaciones comunicacin debe hacerse mediante una proteccin
lmite (Internet-LAN-WAN-DMZ), proporcionando a distancia, radio mdem y proteccin
mvil, y proporcionando proteccin de cdigo malicioso.
Seguridad del servidor de Sistema
Asegurar un sistema de organizaciones / servidor debe ser realizado por asegurar todos los
sistemas operativos, la configuracin de la identificacin y autenticacin, configurar y
revisar los controles de acceso, y la proteccin de los registros de auditora del sistema /
servidor.
Seguridad de las aplicaciones
Proteccin de aplicaciones de una organizacin debe hacerse mediante la configuracin de
la identificacin y autenticacin, configuracin y revisin de control de acceso, lo que
garantiza seguridad de la informacin durante el ciclo de vida de desarrollo de software
(SDLC), asegurando configuraciones y cdigos fuente de la aplicacin.
La seguridad de base de datos
Asegurar un dato organizaciones debe hacerse mediante la configuracin de la
identificacin y autenticacin, configurar y revisar los controles de acceso, y garantizar
configuraciones de la base de datos.

Elaborado por Ing. Rubn Pacheco Villamar, M.Sc.


Docente
30-Octubre-2015
Pgina 4