Actividad 2

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que
llamars Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Gregorio Velasco Parra

Fecha 19/02/2013
Actividad Evidencias 2
Tema Polticas generales de seguridad

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan

para hablar a la gerencia sobre las razones para instaurar polticas de
seguridad informticas (PSI), es su objetivo actual crear un manual de
procedimientos para su empresa, a travs del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos,
se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1 Redes y seguridad
Actividad 2
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de
generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado,
otro plan para presentar las PSI a los miembros de la organizacin en donde se
evidencie la interpretacin de las recomendaciones para mostrar las polticas.

R/ para el desarrollo de este plan tendremos en cuenta para su elaboracin las

principales recomentadiones a la hora de llevar a cabo esta accin lo primero seria
hacer una evaluacin de riesgos informticos, para valorar los elementos sobre
los cuales sern aplicadas las PSI.
Tenemos la siguiente informacin de la organizacin:
Nombre: En-core
Localizacin principal: Medelln, Colombia.
Servicio prestado: investigacin tecnolgica para las empresas del pas.
Objeto de las PSI: maneja datos crticos y secretos para la competencia.

Con esta informacin podemos dar un informe de los riesgos

informatico, teniendo claro, que por el servicio prestado por la
empresa su fuente de capital y en si su principal recurso es la
informacin obtenida en sus investigaciones la cual en realidad es
su producto a vender. Un riesgo informtico se podra definir como la ausencia
de seguridad en el procesamiento automtico de datos, es un problema potencial que
puede ocurrir en un sistema informtico. Tpicamente los riesgos se clasifican en tres
tipos: riesgos de datos, riesgos de salto o de control y riesgos estructurales.

A grandes rasgos tendramos los siguientes riesgos.

Accesos indebidos a datos

Perdida de dispositivos magnticos o slidos con informacin crtica.
Daos fsicos a los elementos que guardan la informacin
Variacin o copia indebida de programas
Los Hackers y crackers.
Los virus.

Para estos riesgos tendamos los siguientes elementos involucrados:

Personal de la empresa
Estructura administrativa, tcnica y de infraestructura.
Contexto de accin en sus diferentes modalidades: social,
competitivo, ambiental, etc.
Responsabilidades laborales o productivas en caso de falla del
sistema

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de
presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los
de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una
red.

2 Redes y seguridad
Actividad 2
 RECURSO NOMBRE CAUSA EFECTO
AFECTADO
Lgico Ingreso de falsos datos Software que Error en la
financieros realiza falsos contabilidad de la
reportes de empresa
consignaciones

Servicios Acceso proveedores Robo de Generacin de

contrasea informacin falsa
ocasiono acceso
no autorizado

RECURSO NOMBRE CAUSA EFECTO

AFECTADO
Lgico Base de datos clientes Software espa Robo y perdida
de la informacin

Fsico Proveedor de servicio Conexin e Conexin lenta e

de internet y telefona interceptacin interceptacin de
ilegal de la seal telefonos

RECURSO NOMBRE CAUSA EFECTO

AFECTAD
O

3 Redes y seguridad
Actividad 2
 Fsico Computador Se agoto la pila Varios,
de la BIOS compatibilidad de
software,
conexin, etc.

Lgico Disco duro de un PC. Accidente Perdida de

laboral causo informacin
corto circuito. valiosa.

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un

conjunto de elementos que permitan el funcionamiento de esa topologa, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.

R/ primero mostrare un pequeo esquema de la red a establecer.

oficina principal

servidor: R=10, W=10; 10x10=100

4 Redes y seguridad
Actividad 2
 estaciones de trabajo con respaldo de D. D. : R=3, W=1; 3x1=3
tarjetas o placas de interfaz de red: R=10, W=10; 10x10=100
cableado: R=10, W=10; 10x10=100
recursos perifricos y compartidos: R=6, W=3; 6x3=18

Recursos del Sistema Riesgo

Importancia(R) Prdida(W) Evaluado
N Nombre
(R*W)
1 servidor 10 10 100
Estaciones de
trabajo con
2 3 1 3
respaldo de D.
D.
tarjetas o
3 placas de 10 10 100
interfaz de red
4 cableado 10 10 100
recursos
5 perifricos y 6 3 18
compartidos

N1: El R=10, porque es el centro de toda la operatividad de la organizacin y la

informacin contenida en l es vital para la funcionalidad de la misma, y por ende, su
N2: Este recurso tiene un R= 3 porque dado que la informacin contenida en ellos
tiene un respaldo se pueden remplazar fcilmente, y por consiguiente le puntaje de
W=1.
N3 y N4 Su R=10, por la sencillas razn de que son el medio de conexin entre los
diferentes entes de la organizacin, y su W=10, debido a que con su ausencia la
organizacin pierde funcionalidad por cuanta de la falta de comunicacin.
N5: Se le asign un R= 6 dado que a travs de ellas se obtienen evidencias fsicas
de las operaciones realizadas en la organizacin, y tiene un W=3, ya que se pueden
reemplazar en cuestin de tiempo fcilmente.

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es

necesario disear grupos de usuarios para acceder a determinados recursos de la
organizacin. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqu de sus privilegios.

R/
Oficina principal:

RECURSO DEL
Permisos
SISTEMA Riesgo Tipo de Acceso
Otorgados
Nmero Nombre
Grupo de
1 Servidor Local Lectura y escritura
Mantenimiento
2 Software Grupo de Local Lectura
5 Redes y seguridad
Actividad 2
 Contadores,
contable
auditores
Grupo de Recursos
3 Archivo Local Lectura y Escritura
Humanos
Base de
Grupo de Ventas y
4 datos Local y Remoto Lectura y Escritura
Cobros
Clientes

Sucursales:

RECURSO DEL SISTEMA Permisos

Riesgo Tipo de Acceso
Nmero Nombre Otorgados
Bases de
datos Grupo de Cobro
1 Remoto Lectura
clientes en Jurdico
mora
Aplicacin
Grupo de Lectura y
2 de Remoto
Gerentes Escritura
inventarios

Preguntas propositivas

1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en

cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el
plan de accin que sustentarn el manual de procedimientos que se disear luego.

R/
ESQUEMA DE SEGURIDAD

Asignacin de labores (control y vigilancia) entre las dependencias y/o partes

involucradas en la operatividad de la organizacin.
Instauracin de grupos de trabajos con funciones determinadas.
Rbrica de acuerdos de confidencialidad.
Implantacin de protocolos para manejo de informacin de forma segura.
Encriptacin de datos.
Asignacin de contraseas de accesos con privilegios especficos y
restricciones a ciertos grupos.
Auditoras internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la
compaa permanentemente.
Realizacin de backups copias de seguridad permanentes en servidores
diferentes a los que se encuentran en la misma organizacin.
Documentacin de todos los procesos realizados en la misma.

6 Redes y seguridad
Actividad 2
 PLAN DE ACCIN

Monitoreo de procesos.

Actualizacin y/o nueva asignacin de contraseas de

acceso.

Socializacin y fijacin de nuevas metas para blindar

cada uno de los procesos ante ataques informticos.

Auditorias.

Capacitaciones permanentes en aplicacin de las

polticas de seguridad informtica y cmo ests influyen sobre la operatividad
de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere

7 Redes y seguridad
Actividad 2
 necesarios, principalmente procedimientos diferentes a los de la teora.

R/
PROCEDIMIENTOS

Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con

beneficios y restricciones en los sistemas de la empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado
inactiva por un lapso de tiempo prolongado.
Procedimiento de verificacin de acceso: obtener informacin de cada uno de los
procesos realizados por dicho usuario, y detectar ciertas irregularidades de
navegabilidad.
Procedimiento para el chequeo de trfico de red: Obtener informacin referente a la
anomala en la utilizacin de programas no autorizados.
Procedimiento para chequeo de volmenes de correo: Entre otras la vigilancia en la
informacin que se transmite.
Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta
de usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y
evitar posibles fraudes.
Procedimiento de modificacin de archivos: realiza el seguimiento a los archivos
modificados, as como genera avisos al momento en que se intenta modificar un
archivo no permitido.
Procedimiento para resguardo de copias de seguridad: determina la ubicacin exacta
de las copias de seguridad para su integridad por si ocurre un accidente.

8 Redes y seguridad
Actividad 2