Actividad 2

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars

Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema

Leider Marino Caicedo Obando

15 de julio de 1014

Evidencias 2
Polticas generales de seguridad

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para

hablar a la gerencia sobre las razones para instaurar polticas de seguridad
informticas (PSI), es su objetivo actual crear un manual de procedimientos para su
empresa, a travs del cual la proteja todo tipo de vulnerabilidades; sin embargo,
para llegar a este manual de procedimientos, se deben llevar a cabo diversas
actividades previas, y se debe entender la forma en la que se hacen los
procedimientos del manual.
Preguntas interpretativas
Como gestor de la seguridad de la red de la empresa, usted es el encargado de
generar las PSI de la misma. Desarrolle, basado en su plan anteriormente
diseado, otro plan para presentar las PSI a los miembros de la organizacin en
donde se evidencie la interpretacin de las recomendaciones para mostrar las
polticas.
RESPUESTAS
1.
PLAN DE TRABAJO
Presentacin de las PSI mediante un plan de trabajo:
Para alcanzar la competitividad requerida en la actualidad en el mbito comercial y
dems, se hace necesario la implementacin y el cumplimiento efectivo de una
1 Redes y seguridad
Actividad 2

serie de normas que minimicen el impacto de los riesgos que amenazan el

funcionamiento de nuestra organizacin, partiendo, de entender que es importante
el aseguramiento de los activos de la misma. Es por todo lo anterior que se requiere
un compromiso total para crear confianza en nuestros clientes y en los proveedores,
para lo cual se debe demostrar la fiabilidad de los procesos que se realizan en la
compaa, y determinar la minimizacin de riesgos a los que estn sometidos los
procesos de la misma, dado que no siempre se est excepto de incidentes externos
e internos que afecten la organizacin y su funcionalidad.
Para cumplir con los propsitos anteriores se deben seguir unos lineamientos como:
a.

Estudios de cada uno de los riesgos de carcter informtico que sean

propensos
Afectar la funcionalidad de un elemento, lo cual ayudar en la determinacin de los
pasos a seguir para la implementacin de las PSI, sobre el mismo.

b.

Relacionar a l o los elementos identificados como posibles destinos de riesgo

informtico, a su respectivo ente regulador y/o administrador, dado que este es

quin posee la facultad para explicar la funcionalidad del mismo, y como este afecta
al resto de la organizacin si llegar a caer.

c.

Exposicin de los beneficios para la organizacin, despus de implementar las

PSI, en cada uno de los elementos anteriormente identificados, pero de igual forma
se debe mencionar cada uno de los riesgos a los cuales estn expuesto para
concientizar a la empresa de lo importante que la implementacin de las PSI,
tambin se deben otorgar las responsabilidades en la utilizacin de los elementos
sealados.

2 Redes y seguridad
Actividad 2

d.

Identificar quienes dirigen y/o operan los recursos o elementos con factores de

riesgo, para darle soporte en la funcionalidad de las PSI y como utilizarlas en los
procesos de cada recurso, as como la aceptacin de responsabilidades por parte
de los operadores de los elementos, dado que ellos tienen el mayor compromiso de
preservar la funcionalidad y el respaldo de los recursos a su cargo.

e.

Quizs uno de los aspectos ms importantes es la monitorizacin y/o vigilancia

cada recurso identificado como posible receptor de riesgos informticos, de igual

forma el seguimiento a las operadores directos e indirectos de los mismos, lo cual
se ejecutan con la simple finalidad de realizar una actualizacin completa y fcil de
las PSI, en el momento que sea necesario, pero con la ayudad de evidencia de
cada proceso realizado antes de la actualizacin programada.

Objetivos de la poltica:
Garantizar la seguridad de los sistemas informticos
Eliminar el mal uso de los datos, tales como acceso no autorizado a
informacin de la empresa o venta de datos a la competencia
La responsabilidad del manejo las PSI recae en los ingenieros o tcnicos
encargados de esta rea
Requerimientos como un cuarto de comunicaciones que cuente con los
equipos mnimos de redes que garanticen el buen manejo de los datos
2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de
presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los
de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una
red.
RESPUESTAS
Ejemplo 1(modificacin)
3 Redes y seguridad
Actividad 2

RECURSO AFECTADO
Lgico

NOMBRE
Listado partes
por comprar

CAUSA
Instalacin de
software
malintencionado
Dispositivo
controlador

EFECTO
Conflicto partes por
comprar y partes
por no comprar
Produccin errnea

Servicio

P.D.E(Programa
Diseador de
Equipos)

NOMBRE
Base de datos
Clientes
Suministro de
Internet y
telefona

CAUSA
Software espa

EFECTO
Robo de
informacin
Lentitud en la
conexin a internet
e interceptacin de
telfonos.

RECURSO AFECTADO
Lgico

NOMBRE
Ingresos por
consignaciones
bancarias

Servicios

Acceso
proveedores

CAUSA
Instalacin de un
programa que
arroja
consignaciones
no realizadas
Acceso no
autorizado por
contrasea
robada

Ejemplo 2 (intercesin)
RECURSO AFECTADO
Lgico
Fsico

Conector de
seal ilegal e
interceptacin
ilegal

Ejemplo N 3 Produccin.

4 Redes y seguridad
Actividad 2

EFECTO
Aparece la cuenta
de la compaa
con fondos no
reales.
Generacin de
informacin falsa
de los
proveedores, as
como el estado
actual de los
pagos de los
mismos.

Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente,
un conjunto de elementos que permitan el funcionamiento de esa topologa, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.
RESPUESTA
Recursos del Sistema
N
Nombre

1
2
3
4
5
6
7

Equipo. Con resp. D.D

Impresoras
Equipo De Refrigeracin
Bases de Datos
Redes
Servidores
Recurso Humano

Importancia (
Ri
)
3
6
10
10
10
10
10

Perdida (
Wi
)
1
3
7
8
10
10
10

Riesgo
evaluado
(

RiW i

3
18
70
80
100
100
100

N1: Este recurso tiene un R= 3 porque dado que la informacin contenida en ellos tiene un
respaldo se pueden remplazar fcilmente, y por consiguiente le puntaje de W=1.
N2: Se le asign un R= 6 dado que a travs de ellas se obtienen evidencias fsicas de las
operaciones realizadas en la organizacin, y tiene un W=3, ya que se pueden reemplazar
en cuestin de tiempo fcilmente.
N3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el
recalentamiento de los equipos informticos, y su W=7, dado que se pueden reemplazar
por el personal tcnico.
N4: El R=10, porque en ellas se encuentra la informacin de todos los relacionado a la
empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que almacena
copias de las mismas.
N5 Su R=10, por la sencillas razn de que son el medio de conexin entre los diferentes
entes de la organizacin, y su W=10, debido a que con su ausencia la organizacin pierde
funcionalidad por cuanta de la falta de comunicacin.
N6: El R=10, porque es el centro de toda la operatividad de la organizacin y la
informacin contenida en l es vital para la funcionalidad de la misma, y por ende, su W=
10.
5 Redes y seguridad
Actividad 2

N7: Su R=10, porque es uno de los recursos ms valiosos de una organizacin, dado que
conoce cmo funciona la operacin de dicha compaa. Su W= 10, porque sin este recurso
la organizacin pierde operatividad en los diferentes procesos para los cuales se ha
implementado las PSI.

Recursos del Sistema

N
Nombre

Permisos
Otorgados

2.

Riesgo
Tipo de Acceso
1 Cuarto de
Grupo de
Local
Lectura y
Servidores
Mantenimiento
escritura
2 Software
Grupo de
Lectura
contable
Contadores,
Local
auditores
3 Archivo
Grupo de
Local
Lectura y
Recursos
Escritura
Humanos
4 Base de datos
Grupo de Ventas y Local y Remoto
Lectura y
Clientes
Cobros
Escritura
Para generar la vigilancia del plan de accin y del programa de seguridad, es
necesario disear grupos de usuarios para acceder a determinados recursos de la
organizacin. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqu de sus privilegios.

RESPUESTAS
Oficina Principal

Sucursal
Recursos del Sistema
N
Nombre

Bases de datos clientes

en mora

Aplicacin de
inventarios

6 Redes y seguridad
Actividad 2

Riesgo
Grupo de
Cobro
Jurdico
Grupo de
Gerentes

Tipo de Acceso

Permisos
Otorgados

Remoto

Lectura

Remoto

Lectura y
Escritura

Preguntas propositivas
1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo
en cuenta las caractersticas aprendidas de las PSI, cree el programa de
seguridad y el plan de accin que sustentarn el manual de procedimientos que
se disear luego.
RESPUESTAS
PROGRAMA DE SEGURIDAD
Separacin de labores (control y vigilancia) entre los departamentos y/o
partes involucradas en la operatividad de la organizacin.
Creacin de grupos de trabajos con funciones determinadas.
Firma de acuerdos de confidencialidad.
Protocolos para manejo de informacin de forma segura.
Encriptacin de datos.
Generacin de contraseas de accesos con beneficios especficos y
restricciones a ciertos grupos.
Auditoras internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la
compaa permanentemente.
Realizacin de backups permanentes en servidores diferentes a los que se
encuentran en la misma organizacin.
Documentacin de todos los procesos realizados en la misma.

PLAN DE ACCIN
7 Redes y seguridad
Actividad 2

 Monitoreo de procesos.
Actualizacin y/o nueva asignacin de contraseas de acceso.
Socializacin y fijacin de nuevas metas para blindar cada uno de los
procesos ante ataques informticos.
Auditorias.
Capacitaciones permanentes en aplicacin de las polticas de seguridad
informtica y cmo ests influyen sobre la operatividad de la empresa.
2.

Enuncie todos los procedimientos que debe tener en su empresa, y que deben
ser desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teora.

RESPUESTA

PROCEDIMIENTOS
Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario
con beneficios y restricciones en los sistemas de la empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario
que ha estado inactiva por un lapso de tiempo prolongado.
Procedimiento de verificacin de acceso: obtener informacin de cada
uno de los procesos realizados por dicho usuario, y detectar ciertas
irregularidades de navegabilidad.
Procedimiento para el chequeo de trfico de red: Obtener informacin
referente a la anomala en la utilizacin de programas no autorizados.
Procedimiento para chequeo de volmenes de correo: Entre otras la
vigilancia en la informacin que se transmite.
Procedimiento para el monitoreo de conexiones activas: detecta cuando
una cuenta de usuario ha permanecido cierto tiempo inactiva, para su
posterior inhabilidad y evitar posibles fraudes.
Procedimiento de modificacin de archivos: realiza el seguimiento a los
archivos modificados, as como genera avisos al momento en que se
intenta modificar un archivo no permitido.
8 Redes y seguridad
Actividad 2

 Procedimiento para resguardo de copias de seguridad: determina la

ubicacin exacta de las copias de seguridad para su integridad por si
ocurre un accidente.
Procedimiento para la verificacin de mquinas de usuarios: realizar
vigilancia sobre el equipo de un usuario y as detectar posibles
amenazas.
Procedimiento para el monitoreo de los puertos en la red: idntica la
habilitacin de los puertos y su funcionalidad.
Procedimiento para dar a conocer las nuevas normas de seguridad:
participa de manera anticipa la implementacin de las nuevas normas, y
su funcin dentro de la organizacin.
Procedimiento para la determinacin de identificacin del usuario y para
el grupo de pertenencia por defecto: asigna al usuario un grupo de
pertenencia con sus respectivos beneficios y restricciones.
Procedimiento para recuperar informacin: Indispensable a la hora de
preservar la informacin par cuando se necesite abrir un backups para
restaurar la informacin que se necesita revisar.
Procedimiento para la deteccin de usuarios no autorizados: genera
aviso al sistema del ingreso de usuarios no autorizados a la red.

Procedimiento para acceso remoto: genera permisos a ciertos usuarios

con beneficios especiales para ingresar a la plataforma.
Procedimiento para actualizacin de contraseas de acceso: es
recomendable actualizar contraseas de acceso para evitar posibles
fraudes
Procedimiento para la instalacin y utilizacin de nuevos software:
verificar la compatibilidad y seguridad de los mismos en un ambiente
seguro antes de implementarlos en la organizacin.
Procedimiento de conectividad en rede inalmbricas: Permitir conexin

de redes inalmbricas a usuarios con esos beneficios.

9 Redes y seguridad
Actividad 2