Nombre CAMILO ANDRES FLOREZ CUENCA C.C.

1075240473
Fecha JULIO 31 2014
Actividad Evidencias 2
Tema SEGURIDAD Y POLITICAS

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para
hablar a la gerencia sobre las razones para instaurar polticas de seguridad
informticas (PSI), es su objetivo actual crear un manual de procedimientos para
su empresa, a travs del cual la proteja todo tipo de vulnerabilidades; sin
embargo, para llegar a este manual de procedimientos, se deben llevar a cabo
diversas actividades previas, y se debe entender la forma en la que se hacen los
procedimientos del manual.
Preguntas Interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el
encargado de generar las PSI de la misma. Desarrolle, basado en su
plan anteriormente diseado, otro plan para presentar las PSI a los
miembros de la organizacin en donde se evidencie la interpretacin
de las recomendaciones para mostrar las polticas.
PRESENTACIN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIN
Para alcanzar la competitividad requerida en la actualidad en el mbito
comercial y dems, se hace necesario la implementacin y el cumplimiento
efectivo de una serie de normas que minimicen el impacto de los riesgos que
amenazan el funcionamiento de nuestra organizacin, partiendo, de entender
que es importante el aseguramiento de los activos de la misma. Es por todo lo
anterior que se requiere un compromiso total para crear confianza en nuestros
clientes y en los proveedores, para lo cual se debe demostrar la fiabilidad de
los procesos que se realizan en la compaa, y determinar la minimizacin de
riesgos a los que estn sometidos los procesos de la misma, dado que no
siempre se est excepto de incidentes externos e internos que afecten la
organizacin y su funcionalidad.
Para cumplir con los propsitos anteriores se deben seguir unos lineamientos
como:
a) Estudios de cada uno de los riesgos de carcter informtico que sean
propensos a afectar la funcionalidad de un elemento, lo cual ayudar en la
determinacin de los pasos a seguir para la implementacin de las PSI,
sobre el mismo.

b) Relacionar a l o los elementos identificados como posibles destinos de
riesgo informtico, a su respectivo ente regulador y/o administrador, dado
que este es quin posee la facultad para explicar la funcionalidad del
mismo, y como este afecta al resto de la organizacin si llegar a caer.
c) Exposicin de los beneficios para la organizacin, despus de implementar
las PSI, en cada uno de los elementos anteriormente identificados, pero de
igual forma se debe mencionar cada uno de los riesgos a los cuales estn
expuesto para concientizar a la empresa de lo importante que la
implementacin de las PSI, tambin se deben otorgar las responsabilidades
en la utilizacin de los elementos sealados.
d) Identificar quienes dirigen y/o operan los recursos o elementos con factores
de riesgo, para darle soporte en la funcionalidad de las PSI y como
utilizarlas en los procesos de cada recurso, as como la aceptacin de
responsabilidades por parte de los operadores de los elementos, dado que
ellos tienen el mayor compromiso de preservar la funcionalidad y el
respaldo de los recursos a su cargo.
e) Quizs uno de los aspectos ms importantes es la monitorizacin y/o
vigilancia cada recurso identificado como posible receptor de riesgos
informticos, de igual forma el seguimiento a las operadores directos e
indirectos de los mismos, lo cual se ejecutan con la simple finalidad de
realizar una actualizacin completa y fcil de las PSI, en el momento que
sea necesario, pero con la ayudad de evidencia de cada proceso realizado
antes de la actualizacin programada.

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al
plan de presentacin a los miembros de la organizacin, al menos 2
eventos diferentes a los de la teora, en los que se evidencien los 4
tipos de alteraciones principales de una red.
Ejemplo 1: Modificacin.
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO
Lgico
Listado partes
por comprar
Instalacin de
software
malintencionado
Conflicto partes
por comprar y
partes por no
comprar
Servicio
P.D.E(Programa
Diseador de
Equipos)
Dispositivo
controlador
Produccin
errnea

Ejemplo N 2 Intercepcin.
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO
Lgico
Base de datos
Clientes
Software espa
Robo de
informacin
Servicio
Suministro de
Internet y
telefona
Conector de seal
ilegal e I
interceptacin
ilegal
Lentitud en la
conexin a
internet e
interceptacin de
telfonos.




Ejemplo N 3 Produccin.
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO

Lgico


Ingresos por
consignaciones
bancarias
Instalacin de un
programa que
arroja
consignaciones no
realizadas
Aparece la cuenta
de la compaa
con fondos no
reales.
Servicio
Acceso
proveedores
Acceso no
autorizado por
Generacin de
informacin falsa
contrasea
robada
de los
proveedores, as
como el estado
actual de los
pagos de los
mismos.

Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topologa de red definida
anteriormente, un conjunto de elementos que permitan el
funcionamiento de esa topologa, como routers, servidores, terminales,
etc. Genere una tabla como la presentada en la teora, en la que tabule
al menos 5 elementos por sucursal. El puntaje asignado a cada
elemento debe ser explicado en detalle.

Computadores con respaldo de Disco duro: R= 3, w= 1 3*1=3
Impresoras: R= 6, W= 3 6*3=18
Redes: R=10, W=10 10*10=100
Servidores: R=10, W=10 10*10=100
Recurso: Humano: R=10, W=10 10*10=100
Equipos de refrigeracin de recursos informticos: R=10, W=8 10*7=70
Bases de datos de las contraseas de acceso: R=10, W=8 10*8=80

Recursos del
Sistema
Importancia (R) Prdida (W)
Riesgo Evaluado
(R*W)
N Nombre
1
Equipo. Con resp.
D.D
3 1
2 Impresoras 6 3
3
Equipo. de
Refrigeracin
10 7
4 Bases de Datos 10 8
5 Redes 10 10
6 Servidores 10 10
7 Recurso: Humano 10 10

N1: Este recurso tiene un R= 3 porque dado que la informacin contenida
en ellos tiene un respaldo se pueden remplazar fcilmente, y por
consiguiente le puntaje de W=1.
N2: Se le asign un R= 6 dado que a travs de ellas se obtienen
evidencias fsicas de las operaciones realizadas en la organizacin, y tiene
un W=3, ya que se pueden reemplazar en cuestin de tiempo fcilmente.
N3: Su R=10 porque al no estar funcionando por mucho tiempo provocan
el recalentamiento de los equipos informticos, y su W=7, dado que se
pueden reemplazar por el personal tcnico.
N4: El R=10, porque en ellas se encuentra la informacin de todos los
relacionado a la empresa, y su W=8, dado que existe un respaldo
anteriormente mencionado que almacena copias de las mismas.
N5: Su R=10, por la sencillas razn de que son el medio de conexin entre
los diferentes entes de la organizacin, y su W=10, debido a que con su
ausencia la organizacin pierde funcionalidad por cuanta de la falta de
comunicacin.
N6: El R=10, porque es el centro de toda la operatividad de la
organizacin y la informacin contenida en l es vital para la funcionalidad
de la misma, y por ende, su W= 10.
N7: Su R=10, porque es uno de los recursos ms valiosos de una
organizacin, dado que conoce cmo funciona la operacin de dicha
compaa. Su W= 10, porque sin este recurso la organizacin pierde
operatividad en los diferentes procesos para los cuales se ha implementado
las PSI.

2. Para generar la vigilancia del plan de accin y del programa de
seguridad, es necesario disear grupos de usuarios para acceder a
determinados recursos de la organizacin. Defina una tabla para cada
sucursal en la que explique los grupos de usuarios definidos y el porqu
de sus privilegios.

Oficina Principal

RECURSO DEL
SISTEMA
Riesgo
Tipo de
Acceso
Permisos
Otorgados
Nmero Nombre
1
Cuarto de Grupo de
Local
Lectura y
Servidores Mantenimiento escritura
2
Software
contable
Grupo de
Contadores,
auditores
Local Lectura
3 Archivo
Grupo de
Recursos
Humanos
Local
Lectura y
Escritura
4
Base de
datos
Clientes
Grupo de
Ventas y
Cobros
Local y Remoto
Lectura y
Escritura



Sucursal
RECURSO DEL
SISTEMA
Riesgo
Tipo de
Acceso
Permisos
Otorgados
Nmero Nombre
1
Bases de
datos
clientes en
mora
Grupo de
Cobro
Jurdico
Remoto Lectura

2
Aplicacin
de
inventarios
Grupo de
Gerentes
Remoto
Lectura y
Escritura




Preguntas propositivas
1. Usando el diagrama de anlisis para generar un plan de seguridad, y
teniendo en cuenta las caractersticas aprendidas de las PSI, cree el
programa de seguridad y el plan de accin que sustentarn el manual
de procedimientos que se disear luego.
PROGRAMA DE SEGURIDAD
Separacin de labores (control y vigilancia) entre los departamentos y/o
partes involucradas en la operatividad de la organizacin.
Creacin de grupos de trabajos con funciones determinadas.
Firma de acuerdos de confidencialidad.
Protocolos para manejo de informacin de forma segura.
Encriptacin de datos.
Generacin de contraseas de accesos con beneficios especficos y
restricciones a ciertos grupos.
Auditoras internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la
compaa permanentemente.
Realizacin de backups permanentes en servidores diferentes a los que se
encuentran en la misma organizacin.
Documentacin de todos los procesos realizados en la misma.

PLAN DE ACCIN
Monitoreo de procesos.
Actualizacin y/o nueva asignacin de contraseas de acceso.
Socializacin y fijacin de nuevas metas para blindar cada uno de los
procesos ante ataques informticos.
Auditorias.
Capacitaciones permanentes en aplicacin de las polticas de seguridad
informtica y cmo ests influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que
deben ser desarrollados en el manual de procedimientos. Agregue los
que considere necesarios, principalmente procedimientos diferentes a
los de la teora.
PROCEDIMIENTOS
Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario
con beneficios y restricciones en los sistemas de la empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que
ha estado inactiva por un lapso de tiempo prolongado.
Procedimiento de verificacin de acceso: obtener informacin de cada uno
de los procesos realizados por dicho usuario, y detectar ciertas
irregularidades de navegabilidad.
Procedimiento para el chequeo de trfico de red: Obtener informacin
referente a la anomala en la utilizacin de programas no autorizados.
Procedimiento para chequeo de volmenes de correo: Entre otras la
vigilancia en la informacin que se transmite.
Procedimiento para el monitoreo de conexiones activas: detecta cuando una
cuenta de usuario ha permanecido cierto tiempo inactiva, para su posterior
inhabilidad y evitar posibles fraudes.
Procedimiento de modificacin de archivos: realiza el seguimiento a los
archivos modificados, as como genera avisos al momento en que se intenta
modificar un archivo no permitido.
Procedimiento para resguardo de copias de seguridad: determina la
ubicacin exacta de las copias de seguridad para su integridad por si ocurre
un accidente.
Procedimiento para la verificacin de mquinas de usuarios: realizar
vigilancia sobre el equipo de un usuario y as detectar posibles amenazas.
Procedimiento para el monitoreo de los puertos en la red: idntica la
habilitacin de los puertos y su funcionalidad.
Procedimiento para dar a conocer las nuevas normas de seguridad:
participa de manera anticipa la implementacin de las nuevas normas, y su
funcin dentro de la organizacin.
Procedimiento para la determinacin de identificacin del usuario y para el
grupo de pertenencia por defecto: asigna al usuario un grupo de
pertenencia con sus respectivos beneficios y restricciones.
Procedimiento para recuperar informacin: Indispensable a la hora de
preservar la informacin par cuando se necesite abrir un backups para
restaurar la informacin que se necesita revisar.
Procedimiento para la deteccin de usuarios no autorizados: genera aviso al
sistema del ingreso de usuarios no autorizados a la red.
Procedimiento para acceso remoto: genera permisos a ciertos usuarios con
beneficios especiales para ingresar a la plataforma.
Procedimiento para actualizacin de contraseas de acceso: es
recomendable actualizar contraseas de acceso para evitar posibles fraudes.
Procedimiento para la instalacin y utilizacin de nuevos software: verificar
la compatibilidad y seguridad de los mismos en un ambiente seguro antes
de implementarlos en la organizacin.
Procedimiento de conectividad en rede inalmbricas: Permitir conexin de
redes inalmbricas a usuarios con esos beneficios.