1. Actividad 2
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que
llamarásEvidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema
Milton Leonel Ibarra
24/10/13
Politica generales de seguridad
Politica generales de seguridad
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la
gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a través del cual la
proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de
procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la
misma. Desarrolle, basado en su plan anteriormente diseñado, otroplan para presentar las PSI a los
miembros de la organización en donde se evidencie la interpretación de las recomendaciones para
mostrar las políticas.
PRESENTACIÓN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIÓN
Para alcanzar la competitividad requerida en la actualidad en el ámbito comercial y demás, se hace necesario la
implementación y el cumplimiento efectivo de una serie de normas que minimicen el impacto de los riesgos que
amenazan el funcionamiento de nuestra organización, partiendo, de entender que es importante el aseguramiento de
los activos de la misma. Es por todo lo anterior que se requiere un compromiso total para crear confianza en
nuestros clientes y en los proveedores, para lo cual se debe demostrar la fiabilidad de los procesos que se realizan
en la compañía, y determinar la minimización de riesgos a los que están sometidos los procesos de la misma, dado
que no siempre se está excepto de incidentes externos e internos que afecten la organización y su funcionalidad.
Para cumplir con los propósitos anteriores se deben seguir unos lineamientos como:
1 Redes y seguridad
Actividad2
2. 1) Estudios de cada uno de los riesgos de carácter informático que sean propensosa afectar la funcionalidad de
un elemento, lo cual ayudará en la determinación de los pasos a seguir para la implementación de las PSI,
sobre el mismo.
2) Relacionar a él o los elementos identificados como posibles destinos de riesgo informático, a su respectivo
ente regulador y/o administrador, dado que este es quién posee la facultad para explicar la funcionalidad del
mismo, y como este afecta al resto de la organización si llegará a caer.
3) Exposición de los beneficios para la organización, después de implementar las PSI, en cada uno de los
elementos anteriormente identificados, pero de igual forma se debe mencionar cada uno de los riesgos a los
cuales están expuesto para concientizar a la empresa de lo importante que la implementación de las PSI,
también se deben otorgar las responsabilidades en la utilización de los elementos señalados.
4) Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo, para darle soporte en
la funcionalidad de las PSI y como utilizarlas en los procesos de cada recurso, así como la aceptación de
responsabilidades por parte de los operadores de los elementos, dado que ellos tienen el mayor compromiso
de preservar la funcionalidad y el respaldo de los recursos a su cargo.
5) Quizás uno de los aspectos más importantes es la monitorización y/o vigilancia cada recurso identificado
como posible receptor de riesgos informáticos, de igual forma el seguimiento a las operadores directos e
indirectos de los mismos, lo cual se ejecutan con la simple finalidad de realizar una actualización completa
y fácil de las PSI, en el momento que sea necesario, pero con la ayudad de evidencia de cada proceso
realizado antes de la actualización programada.
2 Redes y seguridad
Actividad2
3. 2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los
miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien
los 4 tipos de alteraciones principales de una red.
Ejemplo #1 Modificación
RECURSO
AFECTADO
NOMBRE
CAUSA
EFECTO
Conflicto
partes por
Instalación de
comprar y
software
partes por
malintencionado
no
comprar
Lógico
Listado partes
por comprar
Servicio
P.D.E(Programa
Diseñador de
Equipos)
Dispositivo
controlador
Producción
errónea
Ejemplo #2 Intercepción
RECURSO
NOMBRE
AFECTADO
Lógico
Físico
3 Redes y seguridad
Actividad2
Base de
datos
Clientes
CAUSA
EFECTO
Software
espía
Robo de
información
Conector de
Lentitud en la
señal ilegal e
Suministro
conexión a internet
I
de Internet
e interceptación de
y telefonía
teléfonos.
interceptación
ilegal
4. Ejemplo #3 Producción
RECURSO
AFECTADO
Lógico
Servicios
NOMBRE
EFECTO
Instalación de
Ingresos por
un programa
Aparece la cuenta de la
consignaciones
que arroja
compañía con fondos no
bancarias
consignaciones
reales.
no realizadas
Acceso
proveedores
4 Redes y seguridad
Actividad2
CAUSA
Generación de
Acceso no
información falsa de los
autorizado por
proveedores, así como el
contraseña
estado actual de los pagos
robada
de los mismos.
5. Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un
conjunto de elementos que permitan el funcionamiento de esa topología, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.
Computadores con respaldo de Disco duro R= 3, w= 1
3*1=3
Impresoras R= 6, W= 3
6*3=18
Redes= R=10, W=10
10*10=100
Servidores R=10, W=10
10*10=100
Recurso: Humano R=10, W=10
10*10=100
Equipos de refrigeración de
recursos informáticos R=10, W=8
10*7=70
Bases de datos de las contraseñas
de acceso R=10, W=8
Recursos del
Sistema
N°
Nombre
Equipo. Con
1
resp. D.D
2
Impresoras
Equipo. de
3
Refrigeración
Bases de
4
Datos
5
Redes
6
Servidores
Recurso:
7
Humano
5 Redes y seguridad
Actividad2
10*8=80
Importancia(R)
Pérdida(W)
Riesgo
Evaluado
(R*W)
3
1
3
6
3
18
10
7
70
10
8
80
10
10
10
10
100
100
10
10
100
6. N°1: Este recurso tiene un R= 3 porque dado que la información contenida en ellos tiene un
respaldo se pueden remplazar fácilmente, y por consiguiente le puntaje de W=1.
N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias físicas de las
operaciones realizadas en la organización, y tiene un W=3, ya que se pueden reemplazar en
cuestión de tiempo fácilmente.
N°3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el recalentamiento
de los equipos informáticos, y su W=7, dado que se pueden reemplazar por el personal técnico.
N°4: El R=10, porque en ellas se encuentra la información de todos los relacionado a la
empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que almacena
copias de las mismas.
N°5 Su R=10, por la sencillas razón de que son el medio de conexión entre los diferentes entes
de la organización, y su W=10, debido a que con su ausencia la organización pierde
funcionalidad por cuanta de la falta de comunicación.
N°6: El R=10, porque es el centro de toda la operatividad de la organización y la información
contenida en él es vital para la funcionalidad de la misma, y por ende, su W= 10.
N°7: Su R=10, porque es uno de los recursos más valiosos de una organización, dado que
conoce cómo funciona la operación de dicha compañía. Su W= 10, porque sin este recurso la
organización pierde operatividad en los diferentes procesos para los cuales se ha implementado
las PSI.
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es
necesario diseñar grupos de usuarios para acceder a determinados recursos de la
organización. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqué de sus privilegios.
Oficina Principal
RECURSO DEL
SISTEMA
Número Nombre
Cuarto de
1
Servidores
2
Software
contable
3
Archivo
4
Base de
datos
Clientes
6 Redes y seguridad
Actividad2
Riesgo
Grupo de
Mantenimiento
Grupo de
Contadores,
auditores
Grupo de Recursos
Humanos
Grupo de Ventas y
Cobros
Tipo de Acceso
Permisos
Otorgados
Local
Lectura y escritura
Local
Lectura
Local
Lectura y
Escritura
Local y Remoto
Lectura y
Escritura
7. Sucursal
RECURSO DEL
SISTEMA
Número
Nombre
Bases de
1
datos clientes
en mora
Aplicación de
2
inventarios
Riesgo
Tipo de
Acceso
Permisos Otorgados
Grupo de Cobro
Jurídico
Remoto
Lectura
Grupo de Gerentes
Remoto
Lectura y Escritura
Preguntas propositivas
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta
las características aprendidas de las PSI, cree el programa de seguridad y el plan de
acción que sustentarán el manual de procedimientos que se diseñará luego.
PROGRAMA DE SEGURIDADAD
Separación de labores (control y vigilancia) entre los departamentos y/o
partes involucradas en la operatividad de la organización.
Creación de grupos de trabajos con funciones determinadas.
Firma de acuerdos de confidencialidad.
Protocolos para manejo de información de forma segura.
Encriptación de datos.
Generación de contraseñas de accesos con beneficios específicos y
restricciones a ciertos grupos.
Auditorías internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la
compañía permanentemente.
Realización de backups permanentes en servidores diferentes a los que se
encuentran en la misma organización.
Documentación de todos los procesos realizados en la misma.
7 Redes y seguridad
Actividad2
8. PLAN DE ACCIÓN
Monitoreo de procesos.
Actualización y/o nueva asignación de contraseñas de acceso.
Socialización y fijación de nuevas metas para blindar cada uno de los procesos ante
ataques informáticos.
Auditorias.
Capacitaciones permanentes en aplicación de las políticas de seguridad informática y
cómo estás influyen sobre la operatividad de la empresa.
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría.
PROCEDIMIENTOS
Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios y
restricciones en los sistemas de la empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado inactiva por
un lapso de tiempo prolongado.
Procedimiento de verificación de acceso: obtener información de cada uno de los procesos
realizados por dicho usuario, y detectar ciertas irregularidades de navegabilidad.
Procedimiento para el chequeo de tráfico de red: Obtener información referente a la anomalía
en la utilización de programas no autorizados.
Procedimiento para chequeo de volúmenes de correo: Entre otras la vigilancia en la información
que se transmite.
Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de usuario
ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar posibles fraudes.
Procedimiento de modificación de archivos: realiza el seguimiento a los archivos modificados,
así como genera avisos al momento en que se intenta modificar un archivo no permitido.
Procedimiento para resguardo de copias de seguridad: determina la ubicación exacta de las
copias de seguridad para su integridad por si ocurre un accidente.
Procedimiento para la verificación de máquinas de usuarios: realizar vigilancia sobre el equipo
de un usuario y así detectar posibles amenazas.
8 Redes y seguridad
Actividad2
9. Procedimiento para el monitoreo de los puertos en la red: idéntica la habilitación de los puertos y
su funcionalidad.
Procedimiento para dar a conocer las nuevas normas de seguridad:participa de manera anticipa
la implementación de las nuevas normas, y su función dentro de la organización.
Procedimiento para la determinación de identificación del usuario y para el grupo de
pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos
beneficios y restricciones.
Procedimiento para recuperar información: Indispensable a la hora de preservar la información
par cuando se necesite abrir un backups para restaurar la información que se necesita revisar.
Procedimiento para la detección de usuarios no autorizados: genera aviso al sistema del ingreso
de usuarios no autorizados a la red.
Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios especiales
para ingresar a la plataforma.
Procedimiento para actualización de contraseñas de acceso: es recomendable actualizar
contraseñas de acceso para evitar posibles fraudes.
Procedimiento para la instalación y utilización de nuevos software: verificar la compatibilidad
y seguridad de los mismos en un ambiente seguro antes de implementarlos en la organización.
Procedimiento de conectividad en rede inalámbricas: Permitir conexión de redes inalámbricas a
usuarios con esos beneficios.
9 Redes y seguridad
Actividad2