• Author / Uploaded
• Mary Monica Ccuno Quispe

• Categories
• Wifi
• Planificación
• Internet
• Apoyo
• Software

Citation preview

24. Investiga qué es un test de intrusión. El test de intrusión es un método de auditoría mediante el cual se intenta acceder a los sistemas, para comprobar el nivel de resistencia a la intrusión no deseada. Es un complemento fundamental para la auditoría perimetral. 25. Tu jefe te dice que ha detectado que el rendimiento de los trabajadores ha bajado considerablemente desde que la empresa tiene acceso a internet. Te pide que le propongas una solución. - Un tiempo determinado al acceso a internet - Calificación de áreas, tal forma que áreas específicas tendrían acceso a internet. - bloquea parcial o completamente el acceso a las redes sociales.

26. En tu empresa acaban de crear unas claves de seguridad para los empleados. Dichas claves se envían por correo electrónico. ¿Esto es desconocimiento de las prácticas de seguridad? - si

27. El hecho de preparar un plan de contingencias, ¿implica un reconocimiento de la ineficiencia en la gestión de la empresa? -No 28. ¿Cuál es la orientación principal de un plan de contingencia? La orientación principal de un plan de contingencia es la continuidad de las operaciones de la empresa, no sólo de sus sistemas de información. 29. Investiga: diferencias entre redes cableadas y redes inalámbricas WIFI. Redes Cableadas Estas redes envían la información a través de un medio exclusivo: El Cable. La información es enviada como señales eléctricas. Normalmente la información que se envía por un cable no puede ser observada por extraños. En general los cables no sufren la influencia del clima y no generan variaciones en la transmisión de la información Redes WIFI Las redes WIFI, a diferencia de las redes cableadas, envían la información por un medio compartido: El aire. La información se envía como energía de Radio Frecuencia. Es muy importante comprender que la información que "viaja" por el aire puede ser vista ("husmeada") por cualquiera. El aire, a diferencia del cable, es muy influenciado por el clima y esto genera inestabilidad y variaciones en las condiciones de transmisión. 30. ¿En qué se basa la recuperación de la información? La recuperación de información se basa en el principio de obtener documentos relevantes ante la necesidad de un usuario de obtener cierta información. 31. Tu jefe te pide que le hagas una buena política de copias de seguridad para que sea seguida por todos los trabajadores de la empresa. ¿Qué deberá contemplar? Tan importante es tener una buena política de copias de seguridad como el almacenamiento y acceso a dichas copias cuando la situación lo requiera, y la automatización de este tipo de

procesos serán claves para descartar el factor humano como parte vulnerable del proceso de creación y gestión de copias de seguridad. 32. Trabajas en una empresa donde además de la oficina central, hay una red de oficinas por varias ciudades. Se elabora un plan de contingencias exclusivamente para la oficina central, ¿es esto correcto? -Si 33. En tu empresa se desarrolla un plan de contingencias que entre otras muchas situaciones, cubre las siguientes: un corte en la corriente eléctrica, el sol pasando a través de un cristal en pleno agosto, derramar una bebida en el teclado o sobre el monitor, olvidarse el portátil en un taxi, el robo del ordenador. ¿Crees que cubrir estos puntos es acertado? -si, El plan de contingencias contiene medidas preventivas, paliativas y de recuperación de desastres. El personal no solamente debe estar informado del plan de contingencias sino preparado para actuar ante un peligro o un desastre. 34. ¿Una misma política de seguridad puede servir a todo tipo de empresas?

No todas las políticas de seguridad son iguales. El contenido depende de la realidad y de las necesidades de la organización para la que se elabora. 35. ¿De qué modo debe ser redactada la política de seguridad de una organización? la política de seguridad de una organización Deben ser redactadas en un lenguaje sencillo y entendible, libre de tecnicismos y términos ambiguos que impidan una comprensión clara de las mismas, claro está sin sacrificar su precisión. 36. Define con tus propias palabras qué es un plan de contingencias. -

Un plan de contingencia es un tipo de plan preventivo, predictivo y reactivo. Un Plan de Contingencias es el instrumento donde se diseña la estrategia.

37. Investiga en internet sobre empresas especializadas en auditorías de sistemas de información (sugerencias: Hipasec, Audisis). Escoge una de estas empresas y contesta las siguientes preguntas: a) ¿En qué fases realiza la auditoría? b) ¿Qué tipos de auditoría realiza? c) ¿Ofrece revisiones periódicas del sistema? 38. Investiga en internet para encontrar el software de auditoría: CaseWare, WizSoft, Ecora, ACL, AUDAP u otros. Escoge uno o varios y haz una lista de las operaciones que realiza para llevar a cabo la auditoría. AUDIRISK sirve para apoyar el desarrollo de los siguientes actividades de la Auditoria: 1. Elaborar el Plan Anual de la Auditoria. 2. Por cada trabajo de auditoria, ofrece funcionalidades para realizar las siguientes actividades: Planeación (preauditoria), evaluación de riesgos inherentes, evaluación del control interno

existente, pruebas de cumplimiento, pruebas sustantivas, informe con los resultados de la auditoria y seguimiento a las recomendaciones de la auditoria. 3. Auditoria a los procesos del modelo de operación de la empresa (estratégicos, misionales y de apoyo). 4. Auditoría a la Seguridad de los Sistemas de Información (aplicaciones de computador). 5. Auditoría a la Seguridad en las actividades y procesos del Área de Sistemas, por parte de la Auditoria Interna (para verificar y evaluar el uso de las mejores prácticas de seguridad recomendadas por ISO 27001, código de buenas prácticas de seguridad de la información, COBIT e ITIL). 6. Efectuar seguimiento y evaluación a la Gestión de la Auditoria. 7. Cargue y Seguimiento del plan de mejoramiento institucional que generan los programas de Gestión de Calidad (ISO 9001) y los sistemas de gestión integrados en el sector público (GP1000 y MECI). 8. Cargue y Seguimiento de recomendaciones de auditorias efectuadas en la Empresa sin utilizar el software AUDAP. 39. Averigua qué información tiene wikipedia sobre el modelo de seguridad Bell-LaPadula. Escribe la definición que hace del modelo.

Este modelo se centra en la confidencialidad y no en la integridad. Se distinguen 2 tipos de entidades, sujetos y objetos. Se define estados seguros y se prueba que cualquier transición se hace de un estado seguro a otro. Un estado se define como estado seguro si el único modo de acceso permitido de un sujeto a un objeto está en concordancia con la política de seguridad. Para determinar si un modo de acceso específico está permitido, se compara la acreditación de un sujeto con la clasificación del objeto (más precisamente, la combinación de la clasificación y el conjunto de compartimientos) para determinar si el sujeto está autorizado para el modo de acceso especificado. El esquema de clasificación/acreditación se expresa en términos de un retículo. El modelo define 2 reglas de control de acceso mandatorio (MAC) y una regla de control de acceso discrecional (DAC) con 3 propiedades: Propiedad de seguridad simple: Un sujeto de un determinado nivel de seguridad no puede leer un objeto perteneciente a un nivel de seguridad más alto. Propiedad (Propiedad estrella): Un sujeto de un determinado nivel de seguridad no puede escribir un objeto perteneciente a un nivel de seguridad más bajo. (También llamada propiedad de confinamiento). Propiedad de seguridad discrecional: Se utiliza una matriz de acceso para especificar el control de acceso discrecional. Con Bell-La Padula, los usuarios pueden crear contenido sólo en su nivel de seguridad o por encima (i.e, investigadores en el nivel secreto pueden crear archivos secretos o super secretos pero no archivos públicos). Inversamente, los usuarios pueden ver solamente contenido de su propio nivel o inferior.