Вы находитесь на странице: 1из 6

Fecha

21-09-2011

Actividad

Actividad 2

Tema

Polticas generales de seguridad

Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar
las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan
para presentar las PSI a los miembros de la organizacin en donde se evidencie la
interpretacin de las recomendaciones para mostrar las polticas.

RTA:/

Se debe determinar el alcance de la PSI, as como tambin los riesgos a los que est
expuesta la organizacin y contemplar sus planes de contingencia y accin.

Se debe establecer los perfiles de los usuarios teniendo en cuenta que debe existir un
papel de auditor que vigile el cumplimiento de las polticas establecidas, el cual debe
ser diferente del papel de usuario para que no se presente los impedimento de ser juez
y parte del proceso.

Se debe valorar cada elemento del proceso para determinar su importancia y


severidad de la prdida del mismo para luego determinar por medio del modelo Ri-Wi
la escala de valoracin apropiada que permita identificar los procesos crticos y
elaborar a partir de este el plan de accin y/ o contingencia correspondiente que
permita minimizar los daos en caso de que la seguridad sea comprometida.

Se debe determinar lo que se espera de la PSI para definir los mtodos y herramientas
ms adecuados para garantizar su seguridad (ej., hardware, software, conocimiento
tcnico, factor humano, etc.)

Se debe plantear una estrategia de mercadeo para la comunicacin de la poltica a


todos los usuarios de la empresa; comenzando por las reas jerrquicas quienes son
las que tienen el poder de autorizar la implementacin de la misma y sus reformas
pertinentes.

Para llegar a los usuarios finales se debe garantizar la comunicacin sencilla y


completa sin tecnicismos que dificulten la asimilacin y entendimiento de las polticas
por parte de ellos.

La poltica debe ser comunicada de forma que todos la entiendan no como una ley sino
como una norma que beneficia al conjunto de la empresa y que se establece para el
servicio de todos sus usuarios. Para esto es importante explicar el efecto de cada
medida y su funcin dentro de cada proceso. De esta forma los usuarios entendern el
porqu de las PSI y su utilidad al interior de la organizacin.

Se debe dejar todo perfectamente documentado, no dejar nada a la libre interpretacin


o al sentido comn, tampoco se debe dejar vacos que se presten para

malentendidos o puntos ciegos que permitan la violacin de las PSI o la exoneracin


de responsabilidades.

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de
presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de
la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red.

Interrupcin:

RECURSO
AFECTADO
Servicio

Lgico

NOMBRE
Acceso
internet

CAUSA
a La Red del ISP
tiene problemas
de prestacin de
servicio por el
dao
en
el
cableado a causa
un
desastre
natural

Archivos
despachos
proveedores

La
cada
del
servicio
de
internet impide la
recepcin
de
corres
electrnicos

EFECTO
La
empresa
queda
incomunicada
con
el
exterior a travs de internet,
no
es posible
enviar
correos,
consultar
las
pginas de los proveedores
y hay que acudir a una red
externa para hacer las
transacciones bancarias y
otro tramites por internet
No es posible recibir la
informacin actualizada del
proveedor
sobre
los
prximos despachos dado
que el correo electrnico no
est en funcionamiento

Modificacin:

RECURSO
AFECTADO
Lgico

Fsico

NOMBRE

CAUSA

EFECTO

Bases de datos
de la empresa,
archivos
histricos

Un virus se ha
instalado en un
computador de la
red local, el cual se
ha esparcido en
otros equipos y
provoca el borrado
de archivos en los
discos duros en
forma aleatoria
El virus aparte de
eliminar
la
informacin
de
forma
aleatoria
impide el control

Se perdi el archivo
con la informacin de
ventas del primer
trimestre y no es
posible
hacer
la
proyeccin para el
segundo
trimestre
dado que no se
puede establecer un
comparativo
La
terminal
es
inservible
y
el
usuario perdi gran
parte
de
la
informacin

El computador no
funciona
correctamente y
la
informacin
contenida puede

haberse eliminado

total del equipo.

almacenada, no es
posible
usar
la
impresora ni ejecutar
el software antivirus.

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un


conjunto de elementos que permitan el funcionamiento de esa topologa, como routers,
servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que
tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser
explicado en detalle.
Escala de 1 a 10:
Recurso
Cableado
Red de Datos

Puntaje
RiWi
R1=8 Wi= 9
RiWi= 72

Computador
usuario final

Ri=8 Wi= 8
RiWi = 64

Usuario
Administrador

Ri=10
Wi=10
RiWi= 100

Usuario Final

Ri=10 Wi= 8
RiWi= 80

Firewall

Ri=10
Wi= 10
RiWi= 100

Explicacin
La importancia de este recurso es de 8/10 dado que
es el medio principal de conexin de los
computadores de la red, su perdida es de 9/10 dado
que aunque inicialmente generara traumatismos en
la operacin; este podra ser reemplazado
temporalmente por conexiones inalmbricas
La importancia radica en la informacin contenida y
el costo del equipo, sin embargo su prdida puede
ser atenuada por el uso de otro equipo de la misma
red siempre y cuando la informacin tenga un
respaldo en otro equipo o servidor.
Es vital para el funcionamiento de la red y su
mantenimiento. En caso de prdida se debe
implementar su reemplazo de forma inmediata para
evitar la exposicin a riegos en la seguridad.
A pesar de que es vital para el funcionamiento
productivo de la red, su ausencia podra ser
atendida por otro usuario con el mismo perfil o en el
mismo cargo en otro lugar de la empresa.
Es vital para la seguridad de la red, su ausencia
pone en peligro la integridad de la misma dejndola
expuesta a ataques externos y permitiendo el
acceso a usuarios no autorizados que podran ver la
informacin de la empresa.

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario
disear grupos de usuarios para acceder a determinados recursos de la organizacin.
Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y
el porqu de sus privilegios.
Usuario
Final contabilidad

Acceso
Aplicaciones
ofimtica,
software contable, correo
electrnico,
internet
restringido

Final Administrativos

Aplicaciones
ofimtica,
software administrativo,
bases de datos, correo
electrnico,
internet
restringido

Final Comercial

Aplicaciones
ofimtica,
correo
electrnico,
internet restringido

Administrador

Acceso Total

Explicacin
Es un usuario final el cual
debe tener acceso solo a
lo
directamente
relacionado
con
sus
funciones dentro de la
empresa, el uso de
internet
debe
ser
restringido para evitar la
prdida de productividad
por actividades ociosas
Al igual que el primer
caso, sin embargo es
posible que este usuario
requiera acceso a las
bases de datos de la
organizacin
para
el
desarrollo de sus labores
Bajo el supuesto que su
trabajo es de campo y ya
viene definido por otras
reas de la compaa las
necesidades
de
este
grupo de los recursos de
la red de la empresa son
mnimas.
Como responsables de la
seguridad del sistema y su
funcionamiento,
los
usuarios de esta rea
deben tener acceso total a
los recursos de la red para
poder actuar sobre ellos
en caso de ser necesario

Preguntas propositivas
1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta
las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de
accin que sustentarn el manual de procedimientos que se disear luego.

Programa de seguridad:

Instalacin de un firewall en el servidor local y en cada computador con acceso a


la red.

Instalacin de un software antivirus y antispyware en cada terminal.


Crear de la mesa de ayuda que de soporte tcnico y de seguridad a los usuarios
de la red. Dado el tamao de la empresa esta funcin podra ser implementada
por el ingeniero de sistemas o el jefe del departamento de informtica.
Creacin de usuario con sus perfiles de acceso definidos forma individual y
protegidos con una contrasea alfanumrica de al menos 8 dgitos que combine
maysculas y minsculas.
Garantizar el acceso a la red solo a los usuarios registrados en el sistema
Permitir la recuperacin de claves y nombres de usuario solo a travs de soporte
tcnico con la mesa de ayuda, con un procedimiento que garantice la
identificacin individual del solicitante.
Generacin de bitcoras de registros (Logs) en la que se incluya hora y fecha de
acceso, nombre de usuario y programas utilizados. Estos registros deben ser
auditados peridicamente para verificar la consistencia de los mismos y detectar
acciones fraudulentas.
Verificar que cada usuario comprenda y ponga en prctica la Psi de la empresa
por medio de ejercicios dinmicos e interactivos.
Permitir el acceso externo a la red de la empresa especficamente a los usuarios
que as lo requieran siempre y cuando su mtodo de conexin sea seguro de
acuerdo a las PSI.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teora.

Procedimiento de alta de usuario

Procedimiento de baja de usuario

Procedimiento para verificar accesos

Procedimiento para el chequeo del trfico de red

Procedimiento para el chequeo de spam

Procedimiento para chequeo de conexiones activas

Procedimiento para la elaboracin de copias de seguridad

Procedimiento para comunicacin de las normas de seguridad

Procedimiento para la recuperacin de informacin.

Procedimiento para exportar y divulgar informacin confidencial.

Procedimiento para verificar perfiles y usos de usuarios de red.

Procedimiento para contingencias y planes de accin.

Procedimiento para conexin de nuevos equipos y accesos externos a la red local.

Procedimiento para verificar la vigencia de la PSI actuales.

Procedimiento para verificar y actuar al respecto de casos de suplantacin o


accesos no autorizados.

Simulador Juego de Redes: