Actividad 2

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para hablar a la gerencia sobre las razones para instaurar polticas de seguridad informticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a travs del cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las recomendaciones para mostrar las polticas. PRESENTACIN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIN Para alcanzar la competitividad requerida en la actualidad en el mbito comercial y dems, se hace necesario la implementacin y el cumplimiento efectivo de una serie de normas que minimicen el impacto de los riesgos que amenazan el funcionamiento de nuestra organizacin, partiendo, de entender que es importante el aseguramiento de los activos de la misma. Es por todo lo anterior que se requiere un compromiso total para crear confianza en nuestros clientes y en los proveedores, para lo cual se debe demostrar la fiabilidad de los procesos que se realizan en la compaa, y determinar la minimizacin de riesgos a los que estn sometidos los procesos de la misma, dado que no siempre se est excepto de incidentes externos e internos que afecten la organizacin y su funcionalidad. Para cumplir con los propsitos anteriores se deben seguir unos lineamientos como: a. Estudios de cada uno de los riesgos de carcter informtico que sean propensos a afectar la funcionalidad de un elemento, lo cual ayudar en la determinacin de los pasos a seguir para la implementacin de las PSI, sobre el mismo.

1 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

b. Relacionar a l o los elementos identificados como posibles destinos de riesgo informtico, a su respectivo ente regulador y/o administrador, dado que este es quin posee la facultad para explicar la funcionalidad del mismo, y como este afecta al resto de la organizacin si llegar a caer. c. Exposicin de los beneficios para la organizacin, despus de implementar las PSI, en cada uno de los elementos anteriormente identificados, pero de igual forma se debe mencionar cada uno de los riesgos a los cuales estn expuesto para concientizar a la empresa de lo importante que la implementacin de las PSI, tambin se deben otorgar las responsabilidades en la utilizacin de los elementos sealados. d. Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo, para darle soporte en la funcionalidad de las PSI y como utilizarlas en los procesos de cada recurso, as como la aceptacin de responsabilidades por parte de los operadores de los elementos, dado que ellos tienen el mayor compromiso de preservar la funcionalidad y el respaldo de los recursos a su cargo.

e. Quizs uno de los aspectos ms importantes es la monitorizacin y/o vigilancia cada recurso identificado como posible receptor de riesgos informticos, de igual forma el seguimiento a las operadores directos e indirectos de los mismos, lo cual se ejecutan con la simple finalidad de realizar una actualizacin completa y fcil de las PSI, en el momento que sea necesario, pero con la ayudad de evidencia de cada proceso realizado antes de la actualizacin programada.

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red.

Ejemplo N 1 Modificacin RECURSO AFECTADO Lgico

NOMBRE Listado partes por comprar P.D.E(Programa Diseador de Equipos)

CAUSA Instalacin de software malintencionado Dispositivo controlador

EFECTO Conflicto partes por comprar y partes por no comprar Produccin errnea

Servicio

2 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

Ejemplo N 2 Intercepcin RECURSO AFECTADO Lgico NOMBRE Base de datos Clientes Suministro de Internet y telefona CAUSA Software espa Conector de seal ilegal e I interceptacin ilegal EFECTO Robo de informacin Lentitud en la conexin a internet e interceptacin de telfonos.

Fsico

Ejemplo N 3 Produccin. RECURSO AFECTADO NOMBRE CAUSA Instalacin de un programa que arroja consignaciones no realizadas EFECTO

Lgico

Ingresos por consignaciones bancarias

Aparece la cuenta de la compaa con fondos no reales. Generacin de informacin falsa de los proveedores, as como el estado actual de los pagos de los mismos.

Servicios

Acceso proveedores

Acceso no autorizado por contrasea robada

Preguntas argumentativas

3 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topologa, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

Computadores con respaldo de Disco duro R= 3, w= 1 Impresoras R= 6, W= 3 Redes= R=10, W=10 Servidores R=10, W=10 Recurso: Humano R=10, W=10 Equipos de refrigeracin de recursos informticos R=10, W=8

3*1=3 6*3=18 10*10=100 10*10=100 10*10=100

10*7=70

Bases de datos de las contraseas de acceso R=10, W=8 10*8=80

Recursos del Sistema N Nombre Equipo. Con 1 resp. D.D 2 Impresoras Equipo. de 3 Refrigeracin Bases de 4 Datos 5 Redes 6 Servidores 7 Recurso: Humano

Importancia(R) 3 6 10 10 10 10 10

Prdida(W) 1 3 7 8 10 10 10

Riesgo Evaluado (R*W) 3 18 70 80 100 100 100

4 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

N1: Este recurso tiene un R= 3 porque dado que la informacin contenida en ellos tiene un respaldo se pueden remplazar fcilmente, y por consiguiente le puntaje de W=1. N2: Se le asign un R= 6 dado que a travs de ellas se obtienen evidencias fsicas de las operaciones realizadas en la organizacin, y tiene un W=3, ya que se pueden reemplazar en cuestin de tiempo fcilmente. N3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el recalentamiento de los equipos informticos, y su W=7, dado que se pueden reemplazar por el personal tcnico. N4: El R=10, porque en ellas se encuentra la informacin de todos los relacionado a la empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que almacena copias de las mismas. N5 Su R=10, por la sencillas razn de que son el medio de conexin entre los diferentes entes de la organizacin, y su W=10, debido a que con su ausencia la organizacin pierde funcionalidad por cuanta de la falta de comunicacin. N6: El R=10, porque es el centro de toda la operatividad de la organizacin y la informacin contenida en l es vital para la funcionalidad de la misma, y por ende, su W= 10. N7: Su R=10, porque es uno de los recursos ms valiosos de una organizacin, dado que conoce cmo funciona la operacin de dicha compaa. Su W= 10, porque sin este recurso la organizacin pierde operatividad en los diferentes procesos para los cuales se ha implementado las PSI.

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de sus privilegios.

5 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

Oficina Principal

RECURSO DEL SISTEMA Nmero Nombre Cuarto de 1 Servidores 2 Software contable Archivo Base de datos Clientes

Riesgo Grupo de Mantenimiento Grupo de Contadores, auditores Grupo de Recursos Humanos Grupo de Ventas y Cobros

Tipo de Acceso Local Local

Permisos Otorgados Lectura y escritura Lectura Lectura y Escritura Lectura y Escritura

Local

Local y Remoto

Sucursal

RECURSO DEL SISTEMA Nmero Nombre Bases de datos 1 clientes en mora Aplicacin 2 de inventarios

Riesgo

Tipo de Acceso

Permisos Otorgados

Grupo de Cobro Jurdico Grupo de Gerentes

Remoto

Lectura

Remoto

Lectura y Escritura

Preguntas propositivas 1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que sustentarn el manual de procedimientos que se disear luego.

6 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

PROGRAMA DE SEGURIDAD

Separacin de labores (control y vigilancia) entre los departamentos y/o partes involucradas en la operatividad de la organizacin. Creacin de grupos de trabajos con funciones determinadas. Firma de acuerdos de confidencialidad. Protocolos para manejo de informacin de forma segura. Encriptacin de datos.

Generacin de contraseas de accesos con beneficios especficos y restricciones a ciertos grupos. Auditoras internas programadas secuencialmente.

Vigilancia de los procesos realizados en los diferentes estamentos de la compaa permanentemente. Realizacin de backups permanentes en servidores diferentes a los que se encuentran en la misma organizacin. Documentacin de todos los procesos realizados en la misma.

PLAN DE ACCIN Monitoreo de procesos. Actualizacin y/o nueva asignacin de contraseas de acceso. Socializacin y fijacin de nuevas metas para blindar cada uno de los procesos ante ataques informticos. Auditorias. Capacitaciones permanentes en aplicacin de las polticas de seguridad informtica y cmo ests influyen sobre la operatividad de la empresa.

7 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teora. PROCEDIMIENTOS Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios y restricciones en los sistemas de la empresa. Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado inactiva por un lapso de tiempo prolongado. Procedimiento de verificacin de acceso: obtener informacin de cada uno de los procesos realizados por dicho usuario, y detectar ciertas irregularidades de navegabilidad. Procedimiento para el chequeo de trfico de red: Obtener informacin referente a la anomala en la utilizacin de programas no autorizados. Procedimiento para chequeo de volmenes de correo: Entre otras la vigilancia en la informacin que se transmite. Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar posibles fraudes. Procedimiento de modificacin de archivos: realiza el seguimiento a los archivos modificados, as como genera avisos al momento en que se intenta modificar un archivo no permitido. Procedimiento para resguardo de copias de seguridad: determina la ubicacin exacta de las copias de seguridad para su integridad por si ocurre un accidente. Procedimiento para la verificacin de mquinas de usuarios: realizar vigilancia sobre el equipo de un usuario y as detectar posibles amenazas. Procedimiento para el monitoreo de los puertos en la red: idntica la habilitacin de los puertos y su funcionalidad. Procedimiento para dar a conocer las nuevas normas de seguridad: participa de manera anticipa la implementacin de las nuevas normas, y su funcin dentro de la organizacin.

8 Redes y seguridad
Actividad 2

Actividad 2
Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema CESAR AUGUSTO ARZUAGA LINDADO 14 SEP DE 2013 Evidencias 2 Polticas generales de seguridad

Procedimiento para la determinacin de identificacin del usuario y para el grupo de pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos beneficios y restricciones. Procedimiento para recuperar informacin: Indispensable a la hora de preservar la informacin par cuando se necesite abrir un backups para restaurar la informacin que se necesita revisar.

Procedimiento para la deteccin de usuarios no autorizados: genera aviso al sistema del ingreso de usuarios no autorizados a la red.

Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios especiales para ingresar a la plataforma.

Procedimiento para actualizacin de contraseas de acceso: es recomendable actualizar contraseas de acceso para evitar posibles fraudes.

Procedimiento para la instalacin y utilizacin de nuevos software: verificar la compatibilidad y seguridad de los mismos en un ambiente seguro antes de implementarlos en la organizacin.

Procedimiento de conectividad en rede inalmbricas: Permitir conexin de redes inalmbricas a usuarios con esos beneficios.

9 Redes y seguridad
Actividad 2