Actividad 2

Recomendaciones para presentar la Actividad:

 Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás

Evidencias 2.
 Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Wilder Andrés Henao Cardona
Fecha
Jueves 16 de mayo de 2019
Actividad
Tema Políticas generales de Seguridad (Evidencia 2)
Políticas generales de Seguridad

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la
gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a través del cual la
proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de
procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1 Redes y seguridad
Actividad 2
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de
generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado,
otro plan para presentar las PSI a los miembros de la organización en donde se
evidencie la interpretación de las recomendaciones para mostrar las políticas.

PRESENTACION DE LA PSI A LOS MIEMBROS DE LA ORGANIZACIÓN

Para alcanzar la competitividad requerida en la actualidad en el ámbito comercial y

demás, se hace necesario la implementación y el cumplimiento efectivo de una serie
de normas que minimicen el impacto de los riegos que amenazan el funcionamiento
de nuestra organización, partiendo, de entender que es importante el aseguramiento
de los activos de la misma. Es por todo lo anterior que se requiere un compromiso
total para crear confianza en nuestros clientes y en los proveedores, para lo cual se
debe demostrar la fiabilidad de los procesos que se realizan en la compañía, y
determinar la minimización de riegos a los que están sometidos los procesos de la
misma, dado que no siempre se está excepto de incidentes externos e internos que
afecten la organización y su funcionalidad.

Para cumplir con los propósito anteriores se debe seguir unos lineamientos como:

1. Estudios de cada uno de los riegos de carácter informático que sean propensos
afectar la funcionalidad de un elemento, lo cual ayudará en la determinación de
los pasos a seguir para la implementación de la PSI. Sobre el mismo.
2. Relacionar a él o los elementos identificados como posibles destinos informáticos,
a su respectivo ente regulador y/o administrador, dado que este es quién posee la
facultad para explicar la funcionalidad del mismo, y como este afecta al resto de
la organización si llegará a caer.
3. Exposición de los beneficios para la organización después de implementar las
PSI, en cada uno de los elementos anteriormente identificados, pero de igual
formase debe mencionar cada uno de los riegos a los cuales están expuesto para
concientizar a la empresa de lo importante que la implementación de la PSI,
también se deben otorgar las responsabilidades en la utilización de los elementos
señalados.
4. Identificar quienes dirigen y/o operan los recursos o elementos con factores de
riesgo, para darle soporte en la funcionalidad de la PSI y como utilizarlas en los
procesos de cada recursos, así como la aceptación de responsabilidades por
parte de los operadores de los elementos, dado que ellos tienen el mayor
compromiso de preservar la funcionalidad y el respaldo de sus recursos a su
cargo.
5. Quizás uno de los aspectos más importantes es la monitorización y/o vigilancia
cada recurso identificado como posible receptor de riesgos informáticos, de igual
forma el seguimiento a las operadores directos e indirectos de los mismos, lo cual
se ejecutan con la simple finalidad de realizar una actualización completa y fácil de
las PSI, en el momento que sea necesario, pero con la ayudad de evidencia de
cada proceso realizado antes de la actualización programada.

2 Redes y seguridad
Actividad 2
 2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a los
de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una
red.

Ejemplo #1 Modificación

RECURSO
NOMBRE CAUSA EFECTO
AFECTADO
Instalación de Conflicto partes por
Listado partes por
Lógico software comprar y partes
comprar
malintencionado por no comprar
P.D.E (Programa
Dispositivo
Servicio Diseñador de Producción errónea
controlador
Equipos)

Ejemplo #2 Intercepción

RECURSO NOMBRE CAUSA EFECTO

AFECTADO
Lógico Base de datos Software espía Robo de
Clientes información
Conector de señal
Lentitud en la
ilegal e I
Suministro de conexión a internet
Físico
Internet y telefonía e interceptación de
Interceptación
teléfonos.
ilegal

Ejemplo #3 Producción

RECURSO
NOMBRE CAUSA EFECTO
AFECTADO
Instalación de un
Ingreso por programa que Aparece la cuenta
Lógico consignaciones arroja de la compañía con
bancarias consignaciones no fondos no reales
realizadas
Generación de
información falso
Acceso no
Acceso de los proveedores,
Servicios autorizado por
proveedores asi como el estado
contraseña robada
actual de los pagos
de los mismos.

3 Redes y seguridad
Actividad 2
 Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida

anteriormente, un conjunto de elementos que permitan el funcionamiento de
esa topología, como routers, servidores, terminales, etc. Genere una tabla
como la presentada en la teoría, en la que tabule al menos 5 elementos por
sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

Computadores con respaldo de Disco duro R= 3, w= 1 3*1=3

Impresoras R= 6, W= 3 6*3=18
Redes R=10, W=10 10*10=100
Servidores R=10, W=10 10*10=100
Recurso: Humano R=10, W=10 10*10=100
Equipos de refrigeración de
recursos informáticos R=10, W=8 10*7=70
Bases de datos de las contraseñas
de acceso R=10, W=8 10*8=80

Recursos del Importancia (R) Pérdida (W) Riesgo evaluado

sistemas (R*W)
N° Nombre
1 Equipo. Con 3 1 3
resp. D.D
2 Impresoras 6 3 18
3 Equipo. De 10 7 70
Refrigeración
4 Base de 10 8 80
datos
5 Redes 10 10 100
6 Servidores 10 10 100
7 Recursos: 10 10 100
Humanos

N°1: Este recurso tiene un R= 3 porque dado que la información contenida en ellos
tiene un respaldo se pueden remplazar fácilmente, y por consiguiente le puntaje de
W=1.

N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias físicas de

las operaciones realizadas en la organización, y tiene un W=3, ya que se pueden
reemplazar en cuestión de tiempo fácilmente.

N°3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el

recalentamiento de los equipos informáticos, y su W=7, dado que se pueden
reemplazar por el personal técnico.

N°4: El R=10, porque en ellas se encuentra la información de todos los relacionado a la

empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que
almacena copias de las mismas.
4 Redes y seguridad
Actividad 2
 N°5 Su R=10, por la sencillas razón de que son el medio de conexión entre los
diferentes entes de la organización, y su W=10, debido a que con su ausencia la
organización pierde funcionalidad por cuanta de la falta de comunicación.

N°6: El R=10, porque es el centro de toda la operatividad de la organización y la

información contenida en él es vital para la funcionalidad de la misma, y por ende, su
W= 10.

N°7: Su R=10, porque es uno de los recursos más valiosos de una organización, dado
que conoce cómo funciona la operación de dicha compañía. Su W= 10, porque sin este
recurso la organización pierde operatividad en los diferentes procesos para los cuales
se ha implementado las PSI.

2. Para generar la vigilancia del plan de acción y del programa de seguridad, es

necesario diseñar grupos de usuarios para acceder a determinados recursos
de la organización. Defina una tabla para cada sucursal en la que explique
los grupos de usuarios definidos y el porqué de sus privilegios.

Oficina Principal

RECURSO DEL Riesgo Tipo de Acceso Permiso Otorgado

SISTEMA
Número Nombre
1 Cuarto de Grupo de Local Lectura y escritura
Servidores Mantenimiento
2 Software Grupo de Local Lectura
contable Contadores,
auditores
3 Archivo Grupo de Local Lectura y escritura
Recursos
Humanos
4 Base de Grupo de Ventas Local y Remoto Lectura y escritura
datos y Cobros
Clientes

Sucursal

RECURSO DEL Riesgo Tipo de Acceso Permisos Otorgados

SISTEMA
Número Nombre
1 Base de Grupo de Cobro Remoto Lectura
datos Jurídico
clientes en
mora
2 Aplicaciones Grupo de Gerentes Remoto Lectura y escritura
de
inventarios

5 Redes y seguridad
Actividad 2
 Preguntas propositivas

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en

cuenta las características aprendidas de las PSI, cree el programa de seguridad y el
plan de acción que sustentarán el manual de procedimientos que se diseñará luego.

PROGRAMA DE SEGURIDADAD

- Separación de labores (control y vigilancia) entre los departamentos y/o partes

involucradas en la operatividad de la organización.
- Creación de grupos de trabajos con funciones determinadas.
- Firma de acuerdos de confidencialidad.
- Protocolos para manejo de información de forma segura.
- Encriptación de datos.
- Generación de contraseñas de accesos con beneficios específicos y restricciones a
ciertos grupos.
- Auditorías internas programadas secuencialmente.
- Vigilancia de los procesos realizados en los diferentes estamentos de la compañía
permanentemente.
- Realización de backups permanentes en servidores diferentes a los que se encuentran
en la misma organización.
- Documentación de todos los procesos realizados en la misma.

PLAN DE ACCIÓN

- Monitoreo de procesos.
- Actualización y/o nueva asignación de contraseñas de acceso.
- Socialización y fijación de nuevas metas para blindar cada uno de los procesos ante
ataques informáticos.
- Auditorias.
- Capacitaciones permanentes en aplicación de las políticas de seguridad informática y
cómo estás influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teoría.

PROCEDIMIENTOS

- Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios y
restricciones en los sistemas de la empresa.
- Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado
inactiva por un lapso de tiempo prolongado.
- Procedimiento de verificación de acceso: obtener información de cada uno de los
procesos
- realizados por dicho usuario, y detectar ciertas irregularidades de navegabilidad.
- Procedimiento para el chequeo de tráfico de red: Obtener información referente a la
anomalía en la utilización de programas no autorizados.
- Procedimiento para chequeo de volúmenes de correo: Entre otras la vigilancia en la
información que se transmite.

6 Redes y seguridad
Actividad 2
- Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de
usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar
posibles fraudes.
- Procedimiento de modificación de archivos: realiza el seguimiento a los archivos
modificados, así como genera avisos al momento en que se intenta modificar un archivo
no permitido.
- Procedimiento para resguardo de copias de seguridad: determina la ubicación exacta de
las copias de seguridad para su integridad por si ocurre un accidente.
- Procedimiento para la verificación de máquinas de usuarios: realizar vigilancia sobre el
equipo de un usuario y así detectar posibles amenazas.
- Procedimiento para el monitoreo de los puertos en la red: idéntica la habilitación de los
puertos y su funcionalidad.
- Procedimiento para dar a conocer las nuevas normas de seguridad: participa de manera
anticipa la implementación de las nuevas normas, y su función dentro de la organización.
- Procedimiento para la determinación de identificación del usuario y para el grupo de
pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos
beneficios y restricciones.
- Procedimiento para recuperar información: Indispensable a la hora de preservar la
información par cuando se necesite abrir un backups para restaurar la información que se
necesita revisar.
- Procedimiento para la detección de usuarios no autorizados: genera aviso al sistema del
ingreso de usuarios no autorizados a la red.
- Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios
especiales para ingresar a la plataforma.
- Procedimiento para actualización de contraseñas de acceso: es recomendable actualizar
contraseñas de acceso para evitar posibles fraudes.
- Procedimiento para la instalación y utilización de nuevos software: verificar la
compatibilidad y seguridad de los mismos en un ambiente seguro antes de implementarlos
en la organización.
- Procedimiento de conectividad en rede inalámbricas: Permitir conexión de redes
inalámbricas a usuarios con esos beneficios.

7 Redes y seguridad
Actividad 2