1. 1 Redes y seguridad
Actividad 2
Actividad 2
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
NOMBRE YESID ELIAS MANZUR OSPINO
FECHA 09 JULIO DE 2019
ACTIVIDAD EVIDENCIAS 2
TEMA POLITICAS SEGURIDAD INFORMATICA
Luegode estructurarel tipode redausarenlacompañíayhacersuplanparahablaralagerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo
actual crear un manual de procedimientos para su empresa, a través del cual la proteja
todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se
deben llevar a cabo diversas actividades previas, y se debe entender la
formaen laque se hacenlosprocedimientosdel manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de
generar las PSI de la misma. Desarrolle, basado en su plan anteriormente
diseñado, otro plan para presentar las PSI a los miembros de la organización en
donde se evidencie la interpretación de las recomendaciones para mostrar las
políticas.
PLAN DE TRABAJO DE LAS POLITICAS DE SEGURIDAD INFORMATICA
Claramente antes de hablar del plan de trabajo debemos entender que las PSI identifica dónde la
empresa puede tener vulnerabilidades en tus sistemas informáticos, para una vez detectadas, tomar
las medidas necesarias, para prevenir estos problemas. Este plan de Trabajo debe ser capaz de ayudar
a proteger los datos y los sistemas críticos de tu negocio, asegurándote además que se ajuste a la
legislación vigente y a la Ley de Protección de Datos. Cada persona involucrada debe estar en
disposición de aportar lo necesario para poder llegar a una conclusión correcta de las cosas que son
importantes en la empresa y que deben ser protegidas.
Para cumplir con los propósitos anteriores se deben seguir unos lineamientos como:
a) Estudios de cada uno de los riesgos de carácter informático que sean propensos a
afectar la funcionalidad de un elemento, lo cual ayudará en la determinación de los
pasos a seguir para la implementación de las PSI, sobre el mismo.
2. 2 Redes y seguridad
Actividad 2
b) Relacionar a él o los elementos identificados como posibles destinos de riesgo informático, a su
respectivo ente regulador y/o administrador, dado que este es quién posee la facultad para
explicar la funcionalidad del mismo, y como este afecta al resto de la organización si llegará a
caer.
c) Exposición de los beneficios para la organización, después de implementar las PSI, en cada uno
de los elementos anteriormente identificados, pero de igual forma se debe mencionar cada uno
de los riesgos a los cuales están expuesto para concientizar a la empresa de lo importante que
la implementación de las PSI, también se deben otorgar las responsabilidades en la utilización
de los elementos señalados.
d) Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo, para darle
soporte en la funcionalidad de las PSI y como utilizarlas en los procesos de cada recurso, así
como la aceptación de responsabilidades por parte de los operadores de los elementos, dado
que ellos tienen el mayor compromiso de preservar la funcionalidad y el respaldo de los recursos
a su cargo.
e) Quizás uno de los aspectos más importantes es la monitorización y/o vigilancia cada
recurso identificado como posible receptor de riesgos informáticos, de igual forma el
seguimiento a las operadores directos e indirectos de los mismos, lo cual se ejecutan con la
simple finalidad de realizar una actualización completa y fácil de las PSI, en el momento que sea
necesario, pero con la ayudad de evidencia de cada proceso realizado antes de la actualización
programada.
Gráfico que representa paso a paso como ejecutar un plan de trabajo con las PSI:
2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes
a los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales
de una red.
PSI 1. INICIO
DEL PLAN DE
SISTEMAS DE
INFORMACION
PSI 2.
DEFINICION Y
ORGANIZACIÓN
DEL PSI
PSI 3. ESTUDIO
DE INFORMACION
RELEVANTE
PSI 4.
IDENTIFICACION
DE REQUISITOS
PSI 5. ESTUDIO
DE LOS SISTEMAS
DE INFORMACION
ACTUALES
PSI 6. DISEÑO
DEL MODELO DE
LOS SISTEMAS DE
INFORMACION
PSI 7.
DEFINICION DE
LA
ARQUITECTURA
TECNOLOGICA
PSI 8.
DEFINICION DEL
PLAN DE ACCION
PSI 9. REVISION
Y APROBACION
3. 3 Redes y seguridad
Actividad 2
Ejemplo 1: Modificación.
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO
Lógico
Listado partes
por comprar
Instalación de
software
malintencionado
Conflicto partes
por comprar y
partes por no
comprar
Servicio
P.D.E(Programa
Diseñador de
Equipos)
Dispositivo
controlador
Producción
errónea
Ejemplo N° 2 Intercepción.
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO
Lógico
Base de datos
Clientes
Software espía
Robo de
información
Servicio
Suministro de
Internet y telefonía
Conector de señal
ilegal e I
interceptación
ilegal
Lentitud en la
conexión a internet e
interceptación de
teléfonos.
Ejemplo N° 3 Producción.
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO
Lógico
Ingresos por
consignaciones
bancarias
Instalación de un
programa que
arroja
consignaciones no
realizadas
Aparece la cuenta
de la compañía con
fondos no reales.
Servicio
Acceso
proveedores
Acceso no
autorizado por
contraseña robada
Generación de
información falsa
de los
proveedores, así
como el estado
actual de los
pagos de los
mismos.
4. 4 Redes y seguridad
Actividad 2
Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente,
un conjunto de elementos que permitan el funcionamiento de esa topología,
como routers, servidores, terminales, etc. Genere una tabla como la
presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El
puntaje asignado a cada elemento debe ser explicado en detalle.
Hacemos primero un plan de contingencia ya que debemos saber cuáles son los mayores riesgos para
nuestra compañía la calificación se hará de 1 al 10 donde 1 es el riesgo mínimo y 10 será el recurso
con más riesgo lo cual se deduce que 1 es el riesgo de importancia mínimo y 10 es el riesgo con mayor
importancia.
NOMBRE RIESGO
(R)
IMPORTA NCIA
(W)
RIESGO
EVALUADO
(RXW)
DETALLE
Base de
Datos
10 10 100 Esta es la razón de ser de la
empresa porque allí están
almacenados los detalles de
los clientes y los productos de
la empresa.
Servidor
Web
8 10 80 Es un Equipo costoso por el
tema de los servicios que
están montados.
Swith 3 5 15 El swith es un equipo activo
que se puede cambiar,
resetear y volver a configurar.
PC 7 3 21 Son los equipos lo cual los
empleados procesan
información se puede
modificar y cambiar piezas
fácilmente.
Impresora 2 1 2 Recurso para la elaboración
de trabajos lo cual si se daña
se cambia con facilidad.
2. Para generar la vigilancia del plan de acción y del programa de seguridad,
es necesario diseñar grupos de usuarios para acceder a determinados recursos
de la organización. Defina una tabla para cada sucursal en la que explique los
grupos de usuarios definidos y el porqué de sus privilegios.
5. 5 Redes y seguridad
Actividad 2
OFICINA PRINCIPAL
RECURSO DEL
SISTEMA
Riesgo Tipo de Acceso Permisos
Otorgados
Número Nombre
1 Servidor Grupo de
Mantenimiento
Local Lectura y escritura
2 Software
contable
Grupo de
Contadores,
auditores
Local Lectura
3 Archivo Grupo de Recursos
Humanos
Local Lectura y Escritura
4 Base de
datos
Clientes
Grupo de Ventas y
Cobros
Local y Remoto Lectura y Escritura
SUCURSALES
RECURSO DEL
SISTEMA
Riesgo Tipo de Acceso Permisos
Otorgados
Número Nombre
1 Bases de
datos
clientes en
mora
Grupo de Cobro
Jurídico
Remoto Lectura
2 Aplicación
de
inventarios
Grupo de
Gerentes
Remoto Lectura y
Escritura
Preguntas propositivas
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo
en cuenta las características aprendidas de las PSI, cree el programa de
seguridad y el plan de acción que sustentarán el manual de procedimientos que
se diseñará luego.
ESQUEMA DE SEGURIDAD
Asignación de labores (control y vigilancia) entre las dependencias y/o partes involucradas
en la operatividad de la organización.
Instauración de grupos de trabajos con funciones determinadas.
Rúbrica de acuerdos de confidencialidad.
Implantación de protocolos para manejo de información de forma segura.
Encriptación de datos.
Asignación de contraseñas de accesos con privilegios específicos y restricciones a ciertos
grupos.
Auditorías internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la compañía
permanentemente.
Realización de backups “copias de seguridad” permanentes en servidores diferentes a los
que se encuentran en la misma organización.
Documentación de todos los procesos realizados en la misma.
6. 6 Redes y seguridad
Actividad 2
PLAN DE ACCION
Monitoreo de procesos.
Actualización y/o nueva asignación de contraseñas de acceso.
Socialización y fijación de nuevas metas para blindar cada uno de los procesos ante ataques
informáticos.
Auditorias.
Capacitaciones permanentes en aplicación de las políticas de seguridad informática y cómo
estás influyen sobre la operatividad de la empresa.
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientosdiferentes a los de la teoría.
Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios
y restricciones en los sistemas de la empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado
inactivo por un lapso de tiempo prolongado.
Procedimiento de verificación de acceso: obtener información de cada uno de los
procesos realizados por dicho usuario, y detectar ciertas irregularidades de navegabilidad.
Procedimiento para el chequeo de tráfico de red: Obtener información referente a la
anomalía en la utilización de programas no autorizados.
Procedimiento para chequeo de volúmenes de correo: Entre otras la vigilancia en la
información que se transmite.
Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta
de usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar
posibles fraudes.
Procedimiento de la modificación de archivos: realiza el seguimiento a los archivos
modificados, así como genera avisos al momento en que se intenta modificar un archivo no
permitido.
Procedimiento para resguardo de copias de seguridad: determina la ubicación exacta
de las copias de seguridad para su integridad por si ocurre un accidente.
Procedimiento para la verificación de máquinas de usuarios: realizar vigilancia sobre
el equipo de un usuario y así detectar posibles amenazas.
Procedimiento para el monitoreo de los puertos en la red: idéntica la habilitación de
los puertos y su funcionalidad.
Procedimiento para dar a conocer las nuevas normas de seguridad: participa de
manera anticipa la implementación de las nuevas normas, y su función dentro de la
organización.
Procedimiento para la determinación de identificación del usuario y para el grupo
de pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus
respectivos beneficios y restricciones.
Procedimiento para recuperar información: Indispensable a la hora de
preservar la información par cuando se necesite abrir un backups para restaurar la
información que se necesita revisar.
Procedimiento para la detección de usuarios no autorizados: genera aviso al sistema
del ingreso de usuarios no autorizados a la red.
Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios
especiales para ingresar a la plataforma.
Procedimiento para actualización de contraseñas de acceso: es recomendable
actualizar contraseñas de acceso para evitar posibles fraudes.
7. 7 Redes y seguridad
Actividad 2
Procedimiento para la instalación y utilización de nuevos softwares: verificar la
compatibilidad y seguridad de los mismos en un ambiente seguro antes de implementarlos
en la organización.
Procedimiento de conectividad en redes inalámbricas: Permitir conexión de redes
inalámbricas a usuarios con esos beneficios.