Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las recomendaciones para mostrar las polticas.
RTA:/
Se debe determinar el alcance de la PSI, as como tambin los riesgos a los que est expuesta la organizacin y contemplar sus planes de contingencia y accin.
Se debe establecer los perfiles de los usuarios teniendo en cuenta que debe existir un papel de auditor que vigile el cumplimiento de las polticas establecidas, el cual debe ser diferente del papel de usuario para que no se presente los impedimento de ser juez y parte del proceso.
Se debe valorar cada elemento del proceso para determinar su importancia y
severidad de la prdida del mismo para luego determinar por medio del modelo Ri-Wi la escala de valoracin apropiada que permita identificar los procesos crticos y elaborar a partir de este el plan de accin y/ o contingencia correspondiente que permita minimizar los daos en caso de que la seguridad sea comprometida.
Se debe determinar lo que se espera de la PSI para definir los mtodos y herramientas ms adecuados para garantizar su seguridad (ej., hardware, software, conocimiento tcnico, factor humano, etc.)
Se debe plantear una estrategia de mercadeo para la comunicacin de la poltica a
todos los usuarios de la empresa; comenzando por las reas jerrquicas quienes son las que tienen el poder de autorizar la implementacin de la misma y sus reformas pertinentes.
Para llegar a los usuarios finales se debe garantizar la comunicacin sencilla y
completa sin tecnicismos que dificulten la asimilacin y entendimiento de las polticas por parte de ellos.
La poltica debe ser comunicada de forma que todos la entiendan no como una ley sino como una norma que beneficia al conjunto de la empresa y que se establece para el servicio de todos sus usuarios. Para esto es importante explicar el efecto de cada medida y su funcin dentro de cada proceso. De esta forma los usuarios entendern el porqu de las PSI y su utilidad al interior de la organizacin.
Se debe dejar todo perfectamente documentado, no dejar nada a la libre interpretacin
o al sentido comn, tampoco se debe dejar vacos que se presten para
malentendidos o puntos ciegos que permitan la violacin de las PSI o la exoneracin
de responsabilidades.
2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red.
Interrupcin:
RECURSO AFECTADO Servicio
Lgico
NOMBRE Acceso internet
CAUSA a La Red del ISP tiene problemas de prestacin de servicio por el dao en el cableado a causa un desastre natural
Archivos despachos proveedores
La cada del servicio de internet impide la recepcin de corres electrnicos
EFECTO La empresa queda incomunicada con el exterior a travs de internet, no es posible enviar correos, consultar las pginas de los proveedores y hay que acudir a una red externa para hacer las transacciones bancarias y otro tramites por internet No es posible recibir la informacin actualizada del proveedor sobre los prximos despachos dado que el correo electrnico no est en funcionamiento
Modificacin:
RECURSO AFECTADO Lgico
Fsico
NOMBRE
CAUSA
EFECTO
Bases de datos de la empresa, archivos histricos
Un virus se ha instalado en un computador de la red local, el cual se ha esparcido en otros equipos y provoca el borrado de archivos en los discos duros en forma aleatoria El virus aparte de eliminar la informacin de forma aleatoria impide el control
Se perdi el archivo con la informacin de ventas del primer trimestre y no es posible hacer la proyeccin para el segundo trimestre dado que no se puede establecer un comparativo La terminal es inservible y el usuario perdi gran parte de la informacin
El computador no funciona correctamente y la informacin contenida puede
haberse eliminado
total del equipo.
almacenada, no es posible usar la impresora ni ejecutar el software antivirus.
Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un
conjunto de elementos que permitan el funcionamiento de esa topologa, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. Escala de 1 a 10: Recurso Cableado Red de Datos
Puntaje RiWi R1=8 Wi= 9 RiWi= 72
Computador usuario final
Ri=8 Wi= 8 RiWi = 64
Usuario Administrador
Ri=10 Wi=10 RiWi= 100
Usuario Final
Ri=10 Wi= 8 RiWi= 80
Firewall
Ri=10 Wi= 10 RiWi= 100
Explicacin La importancia de este recurso es de 8/10 dado que es el medio principal de conexin de los computadores de la red, su perdida es de 9/10 dado que aunque inicialmente generara traumatismos en la operacin; este podra ser reemplazado temporalmente por conexiones inalmbricas La importancia radica en la informacin contenida y el costo del equipo, sin embargo su prdida puede ser atenuada por el uso de otro equipo de la misma red siempre y cuando la informacin tenga un respaldo en otro equipo o servidor. Es vital para el funcionamiento de la red y su mantenimiento. En caso de prdida se debe implementar su reemplazo de forma inmediata para evitar la exposicin a riegos en la seguridad. A pesar de que es vital para el funcionamiento productivo de la red, su ausencia podra ser atendida por otro usuario con el mismo perfil o en el mismo cargo en otro lugar de la empresa. Es vital para la seguridad de la red, su ausencia pone en peligro la integridad de la misma dejndola expuesta a ataques externos y permitiendo el acceso a usuarios no autorizados que podran ver la informacin de la empresa.
2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de sus privilegios. Usuario Final contabilidad
Acceso Aplicaciones ofimtica, software contable, correo electrnico, internet restringido
Final Administrativos
Aplicaciones ofimtica, software administrativo, bases de datos, correo electrnico, internet restringido
Final Comercial
Aplicaciones ofimtica, correo electrnico, internet restringido
Administrador
Acceso Total
Explicacin Es un usuario final el cual debe tener acceso solo a lo directamente relacionado con sus funciones dentro de la empresa, el uso de internet debe ser restringido para evitar la prdida de productividad por actividades ociosas Al igual que el primer caso, sin embargo es posible que este usuario requiera acceso a las bases de datos de la organizacin para el desarrollo de sus labores Bajo el supuesto que su trabajo es de campo y ya viene definido por otras reas de la compaa las necesidades de este grupo de los recursos de la red de la empresa son mnimas. Como responsables de la seguridad del sistema y su funcionamiento, los usuarios de esta rea deben tener acceso total a los recursos de la red para poder actuar sobre ellos en caso de ser necesario
Preguntas propositivas 1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que sustentarn el manual de procedimientos que se disear luego.
Programa de seguridad:
Instalacin de un firewall en el servidor local y en cada computador con acceso a
la red.
Instalacin de un software antivirus y antispyware en cada terminal.
Crear de la mesa de ayuda que de soporte tcnico y de seguridad a los usuarios de la red. Dado el tamao de la empresa esta funcin podra ser implementada por el ingeniero de sistemas o el jefe del departamento de informtica. Creacin de usuario con sus perfiles de acceso definidos forma individual y protegidos con una contrasea alfanumrica de al menos 8 dgitos que combine maysculas y minsculas. Garantizar el acceso a la red solo a los usuarios registrados en el sistema Permitir la recuperacin de claves y nombres de usuario solo a travs de soporte tcnico con la mesa de ayuda, con un procedimiento que garantice la identificacin individual del solicitante. Generacin de bitcoras de registros (Logs) en la que se incluya hora y fecha de acceso, nombre de usuario y programas utilizados. Estos registros deben ser auditados peridicamente para verificar la consistencia de los mismos y detectar acciones fraudulentas. Verificar que cada usuario comprenda y ponga en prctica la Psi de la empresa por medio de ejercicios dinmicos e interactivos. Permitir el acceso externo a la red de la empresa especficamente a los usuarios que as lo requieran siempre y cuando su mtodo de conexin sea seguro de acuerdo a las PSI.
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teora.
Procedimiento de alta de usuario
Procedimiento de baja de usuario
Procedimiento para verificar accesos
Procedimiento para el chequeo del trfico de red
Procedimiento para el chequeo de spam
Procedimiento para chequeo de conexiones activas
Procedimiento para la elaboracin de copias de seguridad
Procedimiento para comunicacin de las normas de seguridad
Procedimiento para la recuperacin de informacin.
Procedimiento para exportar y divulgar informacin confidencial.
Procedimiento para verificar perfiles y usos de usuarios de red.
Procedimiento para contingencias y planes de accin.
Procedimiento para conexin de nuevos equipos y accesos externos a la red local.
Procedimiento para verificar la vigencia de la PSI actuales.
Procedimiento para verificar y actuar al respecto de casos de suplantacin o
