Actividad 2

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que

llamars Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema

FELIX DE JESUS DOMINGUEZ PEREZ

30/05/2015
SEMANA 2
POLITICAS GENERALES D ESEGURIDAD

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan

para hablar a la gerencia sobre las razones para instaurar polticas de
seguridad informticas (PSI), es su objetivo actual crear un manual de
procedimientos para su empresa, a travs del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos,
se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado,
otro plan para presentar las PSI a los miembros de la organizacin en donde se
evidencie la interpretacin de las recomendaciones para mostrar las polticas.
2.
Presentacin de las PSI miembros de la organizacin
Es necesario implementar y cumplir una serie de normas que minimicen el impacto
de los riesgos que amenazan el funcionamiento de una organizacin para poder ser
competitivos en el mbito comercial en la actualidad, sabiendo que esas son
necesarios para proteger a la misma.
Es por esto que debe existir un compromiso general para as crear la confianza en
nuestros clientes y proveedores, por lo que se debe mostrar lo fiable de nuestros
procesos a realizar en la compaa, y as poder minimizar los riesgos de los que est
sometida la compaa.
Para poder cumplir con dichos propsitos deben seguirse lineamientos como los que
sern expuestos a continuacin.
1/ Estudios de cada uno de los riesgos de carcter informtico que sean propensos a

1 Redes y seguridad
Actividad 2

afectar la funcionalidad de un elemento, lo cual ayudara en la determinacin de los

pasos para seguir la implementacin de las PSI, sobre el mismo.
2/ Relacionar a los elementos identificados como posibles destinos de riesgo
informtico, a su respectivo ente regulador y/o administrador, dado que que este es
quien posee la facultad de explicar la funcionalidad del mismo y como este afecta al
resto de la organizacin sin llegara a caer.
3/ Exposicin de los beneficios para la organizacin, despus de implementar las
PSI, en cada uno de ellos elementos identificados anteriormente, pero de igual forma
se debe mencionar cada uno de los riesgos a los cuales se estn expuestos para
concientizar a la empresa de ello importante que es la implementacin de ellas PSI,
tambin se debe otorgar las responsabilidades en la utilizacin de los elementos
sealados.
4/ Identificar quienes dirigen y operan los recursos o elementos con factores de
riesgo, para darle soporte en la funcionalidad de las PSI y como utilizarlas en los
procesos de cada recurso, as como la aceptacin de las responsabilidades por parte
de los operadores de los elementos, dado que ello tienen el mayor compromiso de
preservar la funcionalidad y el respaldo de los recursos a su cargo.
5/ Uno de los aspectos ms importantes es la monitorizacin y vigilancia de cada
recurso identificado como posible receptor de riesgos informticos, de igual forma el
seguimiento a los operadores directos e indirectos de ellos mismos, los cuales e
ejecutan con la simple finalidad de realizar una actualizacin completa y fcil de las
PSI, en el momento que sea necesario, pero con la ayuda de una evidencia en cada
proceso realizado antes de la actualizacion programada.
3. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de
presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los
de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una
red.
Ejemplo 1: Modificacin
RECURSO
AFECTADO

NOMBRE

CAUSA

EFECTO

Lgico

Listado de partes
por comprar

Instalacin de
software
malintencionado

Servicio

P:D:E (programa
diseador de
equipos)

Dispositivo
controlador

Conflicto partes
por comprar y
partes por no
comprar
Produccin
errnea

2 Redes y seguridad
Actividad 2

Ejemplo N.2 Intercepcin

RECURSO
AFECTADO

NOMBRE

CAUSA

EFECTO

Lgico

Base de datos de
clientes

Software espa

Robo de
informacin

Servicio

Suministro de
internet y telefona

Conector de seal
ilegal e
intercepcin ilegal

Lentitud en la
conexin a internet
e interceptacin de
telfonos

Ejemplo N.3 Produccin

RECURSO
AFECTADO

NOMBRE

CAUSA

EFECTO

Lgico

Ingreso por
consignaciones
bancarias

Instalacin de
un programa
que arroja
consignacione
s no
realizadas
Acceso no
autorizado por
contrasea
robada

Aparece
la
cuenta de la
compaa con
fondos
no
reales

Servicio

Acceso a
proveedores

3 Redes y seguridad
Actividad 2

Generacin de
informacin
falsa de los
proveedores,
as como el
estado actual
de los pagos
Mismos.

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un

conjunto de elementos que permitan el funcionamiento de esa topologa, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.

Computadoras con respaldo de Disco duro: R=3, w= 1 3*1=3

Impresoras: R=6, W=3
6*3=18
Redes: R=10, W10
10*10=100
Servidores: R= 10, W=10 10*10=100
Recursos humanos: R= 10, W=10
10*10=100
Equipos de refrigeracin de recursos informticos: R=10,
W=810*7=70
Bases de datos de las contraseas de acceso: R=10,W=8
10*8=80

Recursos del
Sistema
N.
Nomb
re
1

Prdida

Riesgo
Evaluado
(R*W)

10

Equipo de
refrigeracin
Base de datos

10

Redes

10

10

Servidores

10

10

2
3

Importancia

Equipo con
respaldo D.D
Impresoras

4 Redes y seguridad
Actividad 2

Recurso
humano

10

10

N-1: Este tiene un R=3 dado que la informacin contenida en ellos

tiene un respaldo se pueden reemplazar fcilmente, y por
consiguiente el puntaje de W=1
N-2: Se le asign un R=6 dado que a travs de ellas se obtienen
evidencias fsicas de las operaciones realizadas en la organizacin, y
tiene un W=3, ya que se pueden reemplazar en cuestin de tiempo
fcilmente.
N-3: Su R=10 porque al no estar funcionando por mucho tiempo
provocan el recalentamiento a la empresa, y su W=8, dado que
existe un respaldo anteriormente mencionado que almacena copia
de las mismas.
N-4: El R=10, porque en ellas se encuentra la informacin de todo lo
relacionado a la empresa, y su W=8 dado que existe un respaldo
anteriormente mencionado que almacena copias de las mismas.
N-5: Su R=10, por las sencilla razn de que son el medio de
conexin entre los diferentes entes de la organizacin, y su W=10,
debido a que con su ausencia la organizacin pierde funcionalidad
por cuenta de la falta de conminacin.
N-6: El R=10, porque es el centro de toda operatividad de la
organizacin y la informacin contenida en l es vital para la
funcionalidad de la misma, y por ende su W=10.
N-7: Su R=10, porque es uno de los recursos ms valiosos de una
organizacin, dado que conoce cmo funciona la operacin de dicha
compaa. SU W=10, porque sin este recurso la organizacin pierde
operatividad en los diferentes procesos para los cuales se ha
implementado las PSI.
2. Para generar la vigilancia del plan de accin y del programa de seguridad, es
Necesario disear grupos de usuarios para acceder a determinados recursos de
La organizacin. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqu de sus privilegios.

Oficina Principal
5 Redes y seguridad
Actividad 2

RECURSO DEL
SISTEMA
Nume Nombr
ro
e
1
Cuartos
de
Servidor
es
2
Softwar
e
contabl
e
3
Archivo

Riesgo

Tipo de
acceso

Grupo de
Mantenimiento

Local

Grupo de
contadores,
auditores

Local

Lectura

Grupo de
Recursos
Humanos
Grupo de
ventas y
Cobros

Local

Lectura y
Escritura

Local y
Remoto

Lectura y
Escritura

Base de
datos
clientes

Permisos
Otorgados

Lectura
escritura

Sucursal
RECURSO DEL
SISTEMA
Nume Nombre
ro
1
Base de
datos
clientes
en mora
2
Aplicaci
n de
inventari
os

Riesgo

Tipo de
Acceso

Permisos
Otorgados

Grupo de
cobro jurdico

Remoto

Lectura

Grupo de
Gerentes

Remoto

Lectura y
Escritura

Preguntas propositivas

1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en

cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el
plan de accin que sustentarn el manual de procedimientos que se disear luego.
6 Redes y seguridad
Actividad 2

PROGRAMA DE SEGURIDAD

Separacin de labores (control y vigilancia) entre los departamentos y partes

involucradas en la operatividad de la organizacin.
Creacin de grupos de trabajos con funciones determinadas.
Firma de acuerdos de confidencialidad.
Protocolos de manejo de informacin de forma segura.
Encriptacin de datos.
Generacin de contraseas de accesos con beneficios especficos y restricciones a
ciertos grupos.
Auditoras internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la compaa
permanentemente.
Realizacin de Backups permanentes en servidores diferentes a los que se
encuentran en la misma organizacin.
Documentacin de todos los procesos realizados en la misma.

PLAN DE ACCION

Monitoreo de procesos.
Actualizacion y nueva asignacin de contraseas de acceso.
Socializacin y fijacin de nuevas metas para blindar cada uno de los procesos ante
ataques informticos.
Auditorias.
Capacitaciones permanentemente en aplicacin de las polticas de seguridad
informtica y como estas influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teora.
PROCEDIMIENTOS

Procedimiento de alta de cuenta: para dar acceso a un nuevo usuario con beneficios
y restricciones en los sistemas d ela empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha
estado inactiva por un lapso de tiempo prolongado.
Procedimiento de verificacin de acceso: obtener informacin de cada uno de los
procesos realizados por un dicho usuario, y detectar ciertas irregularidades de
navegabilidad.
Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta
de usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y
evitar posibles fraudes.
Procedimiento de modificacin de archivos: realiza el seguimiento a los archivos
modificados, as como una generacin de avisos al momento en que se intenta
modificar un archivo no permitido.

7 Redes y seguridad
Actividad 2

Procedimiento para resguardo de copias de seguridad: determina la ubicacin

exacta de las copias de seguridad para su integridad por si ocurre un accidente.
Procedimiento para la verificacin de mquinas de usuarios: vigilancia sobre el
equipo de un usuario y as detectar posibles amenazas.
Proceso par ale monitoreo de los puertos de la red: identifica la habilitacin de los
puertos y su funcionalidad.
Procedimiento para dar a conocer las nuevas formas de seguridad: participa de
manera anticipada la implementacin de las nuevas normas, y su funcin dentro de
la organizacin.
Procedimiento para la determinacin de identificacin del usuario y para el grupo de
pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus
respectivos beneficios y restricciones.
Procedimiento para recuperar informacin: indispensable a la hora de preservar la
informacin por cuanto se necesite abrir backups para restaurar informacin que se
necesita revisar.
Procedimiento para la deteccin de usuarios no autorizados: genera aviso al sistema
del ingreso de usuarios no autorizados a la red.
Procedimiento para acceso remoto: genera permisos a ciertos usuarios con
beneficios especiales para ingresar a la plataforma.
Procedimiento para actualizacion de contraseas de acceso: es recomendable para
actualizar contraseas de acceso para evitar posibles fraudes.
Procedimiento para la instalacin y utilizacin de nuevos software: verificar la
compatibilidad y seguridad de los mismo en un ambiente segur antes de
implementarlos en la organizacin.
Procedimiento de conectividad en redes inalmbricas: permitir conexin de redes
inalmbricas a usuarios con esos beneficios.

8 Redes y seguridad
Actividad 2