GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

1. IDENTIFICACIÓN DE LA GUÍA DE APRENDIZAJE

Programa de Formación: Código:217211

Gestión de Redes de Datos Versión: 1

Nombre del Proyecto:

IMPLEMENTACION DE UNA RED DE DATOS
CORPORATIVA MULTISERVICIO Y MULTIPLATAFORMA
ADMINISTRADA Y CONFIGURADA BAJO SISTEMA Código: 252075
OPERATIVO LINUX.

Fase del proyecto: ANÁLISIS

Actividad (es) del Proyecto: Determinar la vulnerabilidad de la red.

Resultados de Aprendizaje: Competencia:

INSTALAR Y ADMINISTRAR
Diagnosticar el estado de la seguridad en la red de datos de HARDWARE Y SOFTWARE DE
la organización para definir el plan de seguridad. SEGURIDAD EN LA RED A PARTIR
DE NORMAS INTERNACIONALES.
220501014
Duración de la guía ( en horas): 20 horas

2. PRESENTACIÓN

Es importante que los aprendices de tecnología de gestión de redes conozcan la norma

27001, porque es la única norma internacional certificable que aplique a redes en cuanto a
seguridad de la información, También podemos decir que se comprenderá que es una
amenaza, vulnerabilidad, un riesgo y el impacto que son conceptos básicos de seguridad de
la información. Es importante tener clara la norma 27001, con el único fin de proteger la
información que es el activo más importante hoy en día de las empresas, por lo tanto
debemos comprenderla para poderla aplicar en la red y la organización.

3. ESTRUCTURA DIDÁCTICA DE LAS

ACTIVIDADESDE APRENDIZAJE
3.1 Actividades de Reflexión inicial.

- ¿Considera usted que es vital aplicar políticas de seguridad en una empresa sí o no

porque?

Pag1 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

RTA: si, porque las políticas de seguridad son la guía a seguir por la empresa para asegurar su
información valiosa.

- ¿Considera usted que se debe hacer un análisis en la organización para identificar el

activo de la empresa? Nombre dos activos de su empresa.

RTA: si, porque se debe tener claro cuáles son los activos de la empresa, su importancia y la
necesidad de proteger o cuidarlos, ya que todos no tiene el mismo valor o importancia, algunos de los
activos de la empresa son:

- ¿Considera usted que la información tiene un ciclo de vida? Explíquelo mediante un

ejemplo.

RTA: si, los datos son un activo fundamental de la empresa, y por eso tienen su propio ciclo de vida, ya
que poco a poco se van transformando en información, en conocimiento, y posteriormente en acciones,
resultados y valor. Es por esto que los datos son un activo así como las materias primas, y se convierten
en valor para la compañía.

Ejemplo: Cuando un Administrador de empresas es contratado por un empresario, para que le dé una
solución a la crisis financiera la cual está atravesando, en este caso el administrador recoge inicialmente
unos Datos (Fachas, cuentas, gastos, egresos, ingresos, utilidad, etcc…), luego realiza un análisis de esos
datos , este anisáis es considerada como información (Recopilación de los datos en actas, tablas,
nominas, cuentas de cobro, balances, estados de cuenta etc…), Una vez se tiene la información, el

Pag2 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

administrador de la red tiene el conocimiento necesario para dar solución al problema inicial,
posteriormente él tomara las medidas necesarias y comunicara al empresario que es lo que se debe
hacer, (en este paso la información se ha convertido en acciones) para solucionar el problema, una vez
que el empresario ejecuta las acciones necesarias como (cambio de personal, reducción de costos, etc..)
va a tener un resultado, frente al problema, es decir que se obtendrán resultados, los cuales va a tener
un valor, porque el administrador cobrara su trabajo realizado y el empresario se va a ser bastante
útil que sus negocios salgan de la crisis.

Pag3 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

- ¿Indique si es importante proteger la información de su empresa. si o no porque?

RTA: si, porque la información contiene muchos datos que solo puede saber ciertas personas dentro
de la empresa, y si no la protegemos cualquiera puede causar daños muy graves, con el simple hecho
de divulgarla o promocionarla a través de los medios de comunicación. Además es un activo
fundamental, podría decirse que el más importante.

- ¿Considera usted que debe cuidar el buen nombre de la empresa si o no porque ?

RTA: si, porque el tener un buen nombre, le da un nivel superior a la empresa, da garantía a los
clientes, es más reconocida y es más fácil que el cliente quiera comprar o se interese por conocer la
empresa.

o Actividades de contextualización e identificación de conocimientos necesarios para el

aprendizaje.

Consulte e indique el significado de:

- ¿Explique con sus palabras la diferencia entre Confidencialidad, integridad y

disponibilidad de la información?

Confidencialidad: Se refiere a que solo las personas autorizadas puedan acceder a la información.

Integridad: Es asegurar que los métodos, procesos y la información en si sean exactos y completo.

Disponibilidad: Asegurar que la información esté disponible en el momento que se necesita.

- ¿Cuál es el objetivo de la norma 27001?.

El objetivo de la norma ISO 27001 es establecer un estándar

específico de los requisitos necesarios para establecer, implantar,
mantener y mejorar un Sistema de Gestión de la Seguridad de la
Información, también conocido como SGSI.

Pag4 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

- ¿Consulte en que consiste el modelo PDCA?

El modelo PDCA consiste en un ciclo continuo, tradicional en los sistemas de gestión de la calidad, cuenta de
cuatro pasos: Plan (planificar): establecer el SGSI. Do (hacer): implementar y utilizar el SGSI. Check
(verificar): monitorizar y revisar el SGSI. Act (actuar): mantener y mejorar el SGSI.

Pag5 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

- ¿ Consulte los artículos de la ley 1273 del 2009 en Colombia que indiquen sobre delitos
donde se vea involucrada la integridad, confidencialidad, disponibilidad de la
información?. Cite un ejemplo de cada uno.

CONFIDENCIALIDAD

Ejemplo:

DISPONIBILIDAD

Ejemplo:

INTEGRIDAD

Ejemplo:

Pag6 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

3.2 Actividades de apropiación.

- Documente la siguiente tabla con información de las vulnerabilidades , amenazas, riesgos

e impacto que se puede llegar a tener en una red .

ACTIVO AMENAZA VULNERABILIDAD RIESGO IMPACTO

Instalaciones de Una Está ubicada a En un 30 % Puede afectar plantas

la empresa inundación orillas de un rio. puede ser eléctricas y causar
afectada por la desastres.
inundación.
Personal Violación de El personal no está En un 90 % el Causaran daños,
las PSA. capacitado personal administrativos,
puede violar financieros entre otros.
las Políticas Se reducirá la
de seguridad productividad de la
de la empresa.
información
Software Ataques por La red no tiene un En un 40 % Perdida o robo de
hacker y servicio de una red información, daños en
cracker. monitoreo full. puede ser servidores, etc..
atacada.
Documentación Incendio Hay fallas En un 20 % Se destruiría parte de la
Administrativa eléctricas en las puede información física de la
oficinas causarse un empresa.
incendio
Servicios de TI Perdida de No hay servidores En un 30 % se Si se cae un servidor de
datos. de backup en la pueden caer correo y no se tiene un
red los servicios, y backup de este se
se perderán puede perder mucha
datos. información vital para la
empresa.
3.3 Actividades de transferencia del conocimiento

Actividad 1.

a. De acuerdo a la tabla anteriormente diligenciada formule 10 políticas de seguridad

para la empresa.

POLITICAS DE SEGURIDAD DE LA EMPRESA

 Está bloqueado el servicio de instalación de aplicaciones en cualquier equipo, de uso

corporativo.

Pag7 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

 Ninguno de los usuarios finales debe tener privilegios de administrador, o usuarios

de administrador.

 No se puede enviar correos electrónicos a otros dominios, diferentes al de la

empresa, desde la intranet.

 Se prohíbe la reproducción de streaming en cualquiera de los equipos del area de

contabilidad.

 La capacidad de envió de correo electroncitos este limitada a envió de archivos no

mayor a 4 megabites.

 Los usuarios del área de ventas solo podrán acceder o tener acceso algunos
servicios de red, ftp o web, los demás estarán restringidos.

 Ningún miembro del área de sistemas debe acceder al correo electrónico corporativo
después de las 8 de la noche, con acepción del jefe del área.

 No está permitido el consumo de almacenamiento en las aéreas de trabajo

b. Según la norma 27001 consulte 10 controles para las políticas anteriormente

mencionadas que apliquen a esas políticas.

CONTROLES FÍSICOS Y AMBIENTALES

 Seguridad mediante personal durante las 24 horas

 Acceso restringido a través de tarjetas de proximidad
 Equipo informático en áreas de acceso controlado
 Vigilancia con video en toda la instalación y el perímetro
 Control de humedad y temperatura
 Suelo elevado para facilitar la circulación continua de aire
 Alimentación eléctrica subterránea
 Sistemas de alimentación ininterrumpida (UPS)
 Unidades de distribución de energía (PDU) redundantes
 Generadores diésel con almacenamiento de combustible diésel en el lugar
 Sensores de detección de humo e incendio en todos los centros de datos
 El Dublin Service Delivery Center (DSDC) está protegido con el sistema Halon y cuenta con reservas
suficientes para varias descargas
 El Columbus Service Delivery Center (CSDC) está protegido con el sistema contra incendios DuPont
FM-200
 Los centros de datos también están protegidos con sistemas de rociadores de tubería húmeda
 Hay extinguidores de incendio en todas las instalaciones de DSDC y CSDC

Pag8 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

Controles de acceso lógico

 Identificación de usuario y administración de accesos
 Conexiones a datos patrones a través de SSL 3.0/TLS 1.0 utilizando certificados ascendentes
globales emitidos por Thawte, que garantizan que nuestros usuarios tengan una conexión
segura desde sus navegadores a nuestro servicio.

 Se identifican sesiones de usuario individuales que se vuelven a verificar con cada transacción
utilizando aserciones de seguridad encriptadas XML a través de SAML 2.0.

 En función de los servicios específicos que se utilizan

Controles de seguridad opcionales

 Se conectan a Internet a través de distintos enlaces enrutados redundantes de varios proveedores de
servicio de Internet abastecidos desde múltiples puntos de presencia de proveedores de
telecomunicaciones
 Servidores de seguridad perimetrales y enrutadores periféricos que bloquean los protocolos no
utilizados
 Servidores de seguridad internos que segregan el tráfico entre la aplicación y los niveles de base de
datos
 Equilibradores de carga que proporcionan servidores proxy para tráfico interno
 OCLC utiliza distintos métodos para evitar, detectar y erradicar malware
 También se llevan a cabo periódicamente evaluaciones de seguridad independientes por parte de
terceros
 Se realizan copias de seguridad en cinta de todos los datos en cada centro de datos
 Las copias de seguridad se clonan a través de enlaces de seguridad a un archivo de cinta seguro
 Las cintas se trasladan fuera de la institución y se destruyen de forma segura cuando se vuelven
obsoletas
 El personal de Seguridad de la información de OCLC controla las notificaciones de distintas fuentes y
las alertas del sistema interno para identificar y controlar amenazas

c. Un crucigrama en la página de http://www.educaplay.com/ con mínimo 15 palabras que

conozca de seguridad básica de redes aprendidas en ambiente de formación y coloque el
link en el documento. Consulte el crucigrama realizado por un compañero y desarróllelo
tome evidencia para adjuntar el documento y realícele un comentario en la página de
educaplay.

Pag9 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

CRUCIGRAMA DE SEGURIDAD DE REDES

Elaborado por Juan Acevedo
http://www.educaplay.com/es/recursoseducativos/1019624/conceptos_de_seguridad.htm

CRUCIGRAMA DE SEGURIDAD DE REDES

Elaborado por Edwin Martínez

Pag10 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

CONCLUSIONES

El desarrollar estas actividades el aprendiz está en capacidad de entender y conocer la

norma 27001 y comprender la importancia de aplicarla en las empresas, para garantizar un
alto nivel de seguridad en la misma y así proteger el activo más importante para la
misma permitiendo la continuidad del negocio. También debe comprender que no hay
sistemas al 100% seguros pero si logramos con unas buenas practicas la vida más difícil
quienes deseen explorar las vulnerabilidades de la organización.

4. RECURSOS PARA EL APRENDIZAJE

Pag11 de xxx
 GUÍA DE APRENDIZAJE N°: Seguridad básica en redes

SERVICIO NACIONAL DE APRENDIZAJE

DIRECCIÓN GENERAL FORMATO PE04
DIRECCIÓN DE FORMACIÓN PROFESIONAL
Sistema Integrado de Mejora Continua

-Ambiente de Aprendizaje

Computadores con acceso a internet.

5. GLOSARIO DE TÉRMINOS
- Amenaza: Evento que puede desencadenar un incidente en la organización, produciendo
daños o pérdidas materiales o inmateriales en sus activos.

- Impacto: Consecuencia para un activo de la materialización de una amenaza.

- SGSI: Sistema de gestión de seguridad de la información.

- Riesgo: Posibilidad de que se produzca un impacto determinado en un activo.

- Vulnerabilidad: Debilidad de un activo que puede ser explotada por una amenaza para
materializar una agresión sobre dicho activo.

6. BIBLIOGRAFÍA / WEBGRAFÍA

- http://www.inteco.es/Formacion/SGSI/Conceptos_Basicos/

7. CONTROL DEL DOCUMENTO

Jemny Liney Pérez Melón

Pag12 de xxx