Actividad 2

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word,

que llamars Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Activid
ad
Tema

LILIANA URDINOLA
Evidencia 2
Politica y seguridad

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan

para hablar a la gerencia sobre las razones para instaurar polticas de
seguridad informticas (PSI), es su objetivo actual crear un manual de
procedimientos para su empresa, a travs del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos,
se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente
diseado, otro plan para presentar las PSI a los miembros de la organizacin en
donde se evidencie la interpretacin de las recomendaciones para mostrar las
polticas.

La seguridad informtica ha sido un tema que ha cobrado importancia

recientemente, entre otras cosas, gracias a escndalos internacionales
sobre 1ciberespionaje, o violaciones en la web a multinacionales.
Pese a la sonoridad de estos casos es poca la importancia que los
colombianos le dan a la seguridad en la web, es por ello que
varias compaas especializadas en seguridad informtica han
intentado divulgar cifras que alerten sobre las tcticas utilizadas
1 Datos de ANDINA DIGITAL SECURITY
1 Redes y seguridad
Actividad 2

para la extorsin y el robo en la web

a. Introduccin de lo que es seguridad informtica: Seguridad
Informtica se refiere a las caractersticas y condiciones de sistemas
de procesamiento de datos y su almacenamiento.
Donde,
garantiza:

Confidencialidad.

Integridad.

Tiempo.

Costos.

Accesibilidad y disponibilidad.

No repudio.

b. Gestin de riesgo: Para cumplir con los propsitos anteriores se

deben seguir unos lineamientos como:
La Gestin de Riesgo es un mtodo para determinar, analizar, valorar y
clasificar el riesgo, para posteriormente implementar mecanismos que
permitan controlarlo.
En su forma general contiene cuatro fases

Anlisis: Determina los componentes de un sistema que requiere

proteccin, sus vulnerabilidades que lo debilitan y las amenazas que
lo ponen en peligro, con el resultado de revelar su grado de riesgo.
Clasificacin: Determina si los riesgos encontrados y los riesgos
restantes son aceptables.
Reduccin: Define e implementa las medidas de proteccin.
Adems sensibiliza y capacita los usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento
de las medidas, para determinar y ajustar las medidas deficientes y
sanciona el incumplimiento.

c. Las polticas deben:

Definir qu es seguridad de la informacin, cules son sus objetivos

principales y su importancia dentro de la organizacin
Mostrar el compromiso de sus altos cargos con la misma
Definir la filosofa respecto al acceso a los datos

2 Redes y seguridad
Actividad 2

Establecer responsabilidades inherentes al tema

Establecer la base para poder disear normas y procedimientos
referidos a
o Organizacin de la seguridad
o Clasificacin y control de los datos
o Seguridad de las personas
o Seguridad fsica y ambiental
o Plan de contingencia
o Prevencin y deteccin de virus
o Administracin de los computadores

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de
presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a
los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de
una red.
Segn los tipo de alteraciones
Tipos de recursos

Interrupcin

Fsicos

Intercepcin

Lgicos

Modificacin

Servicios

Produccin

ALTERACIO
N

INTERRUP
CCION

RECUR
SO
AFECT
ADO
SERVI
CIO

NOMBRE

CAUSA

EFECTO

CORREO
INTERNO

NO ENVIAR
CORREOS
POR LA
INTRANET

FISICO

COMPUTAD
ORES

CORTO EN LA
RED
ELECTRICA Y
EL SERVIDOS
DE DAO
FALTA DE
ALIMENTACIO
N
ELECTRICA

3 Redes y seguridad
Actividad 2

NO
FUNCIONA
LOS
COMPUTAD
ORES

ALTERACIO
N

INTERCE
PCIN

ALTERACION

MODIFICACION

RECUR
SO
AFECT
ADO
SERVI
CIO

NOMBRE

CAUSA

EFECTO

CORREO
ELECTONIC
O

PERMITE
ACCESO A
LA
CORRESPO
NDECIA
TANTO
INTERNA Y
EXTERNA

LOGIC
O

BASE DE
DATOS DE
LOS
CLIENTES

SE INSTALO
UN VIRUS
QUE PERMITE
LIBERACION
DE LOS
PUERTOS Y
LIBRE
ACCESO A
ARCHIVOS
SE INSTALO
UN TROYANO
QUE PERMITE
DUPLICAR
CONTRASEA
SY
ALMACENARL
AS EN UN
CORREO
EXTERNO.

URTAR
INFORMACI
ON DE LOS
CLIENTES Y
EMPLEADO
SY
MANEJO
CONTABLES

RECURSO
AFECTAD
O
SERVICIO

NOMBRE

CAUSA

EFECTO

PAGINA WEB

SE
COLOCA
INFORMACION
QUE
DESPRESTIGIA
LA EMPRESA E
INCOMUNICA
EN TODA SU
GESTION
ABMINISTRATIV
A
Y
PRODUCTIVA

LOGICO

ACCESO A
INGRESO DE
DATOS PAGINA
WEB

INGRESO
Y
ALTERO
MALINTESIONADA
MENTE
LA
PRESENTACION DE
LA
PAGINA
Y
INHABILITO
ACCESO
POR
REDES
INTERNAS(INTRAS
NET) Y EXTERNAS
(INTERNET)
SE INSTAURO UN
SOFTWARE QUE
INHABILITA
PUERTOS DE
ENTRADA Y
SALIDA

4 Redes y seguridad
Actividad 2

INHABILITA
A
LA
ADMINISTRACI
ON
DE
LA
PAGINA WEB DE
LA COMPAA

ALTERACION

PRODUCCIN

RECURSO
AFECTAD
O
SERVICIO

NOMBRE

LOGICO

DATOS DE LAS
TRANSACCION
ES CONTABLES
EN MERCADO
INTERNACIOAN
L

INTERNET

CAUSA

EFECTO

MODIFICA
RESTRICCIONES
DE SERVIDOR
Y
ENRUTA
LA
INFORMACION
A
OTRO LADO
CREAN RUTAS
ALTERNAS
LOGICAS PARA
QUE LOS
RECURSOS
LLEGEN A OTRO
SITIO VIRTUAL
FANTASMA

GENERA
INFORMACION
REAL COMO UN
HECHO.
PRODUCCION
INCORRECTA
SE GENERA UN
BASE DE DATOS
DE
TRANSACCIONE
S COMO SI
FUERAN
REALES, ES
DETECTABLE
SOLO CUANDO
HAGA
RECLAMOS.

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida

anteriormente, un conjunto de elementos que permitan el funcionamiento
de esa topologa, como routers, servidores, terminales, etc. Genere una
tabla como la presentada en la teora, en la que tabule al menos 5
elementos por sucursal. El puntaje asignado a cada elemento debe ser
explicado en detalle.
La calificacin se har de 1 a 10 en donde 1 es un valor para el recurso
conmenos riesgo y 10 para el recurso con mayor riesgo, de igual forma
para el nivel deimportancia en donde 1 es el valor para el recurso con
menos importancia y 10 elrecurso con mayor importancia.

SURCURSAL

RECURSOS FISICO Y LOGICOS DEL

SISTEMA
CANTIDAD

SEDE

5 Redes y seguridad
Actividad 2

NOMBRE

SERVIDOR

RIESGO

IMPORTANCIA

R
10

W
10

2
4
4
1

PRINCIPAL
EN-CORE
6
6
12
4
12
3
5
3
2

SURCURSAL

SUCURSAL
1
MEDELLIN

RECURSOS FISICO Y LOGICOS DEL

SISTEMA
CANTIDAD

NOMBRE

SERVIDOR
ADMINITRADOR DE
DATOS
SERVIDOR WEB
SERVIDOR SISTEMA
DE
SEGURIDAD
(ALARMA
DE
INCEDIOS,
HURTO
FISICO, ACTUDORES
PARA
ABRIR
Y
CERRAR
PUERTAS,
CAMARA
DE
VIGILANCIA)

1
1

6 Redes y seguridad
Actividad 2

ADMINITRADOR
DE
DATOS
SERVIDOR
DE
RESPALDO
SERVIDOR WEB
SERVIDOR E-MAL
SERVIDOR
SISTEMA
DE
SEGURIDAD
(ALARMA
DE
INCEDIOS,
HURTO
FISICO,
ACTUDORES
PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE
VIGILANCIA, CENTRAL
TELEFONICA (PBX))
SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE
REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE
DATOS
RECURSO
HUMANO
(ADMINISTRADORES)

10

10

9
9
10

9
9
10

8
8
10
6
10
10

7
7
10
6
10
10

7
10

8
10

10

10

RIESGO

IMPORTANCIA

R
10

W
10

9
10

9
10

3
2
4
2
5
1
2
2
1

SURCURSAL

RECURSOS FISICO Y LOGICOS DEL

SISTEMA
CANTIDAD

NOMBRE

SERVIDOR
ADMINITRADOR
DE
DATOS
SERVIDOR
DE
RESPALDO
SERVIDOR WEB
SERVIDOR E-MAL
SERVIDOR
SISTEMA
DE
SEGURIDAD
(ALARMA
DE
INCEDIOS,
HURTO
FISICO,
ACTUDORES
PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE
VIGILANCIA, CENTRAL
TELEFONICA (PBX))
SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE
REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE
DATOS
RECURSO
HUMANO
(ADMINISTRADORES)

2
4
4
1

SUCURSAL
2
BOGOTA
3
3
10
4
6
2
3
3
1
7 Redes y seguridad
Actividad 2

SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE
REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE
DATOS
RECURSO HUMANO
(ADMIISTRADOR)

8
8
10
6
10
10

7
7
10
6
10
10

7
10

8
10

10

10

RIESGO

IMPORTANCIA

R
10

W
10

10

10

9
9
10

9
9
10

8
8
10
6
10
10

7
7
10
6
10
10

7
10

8
10

10

10

2. Para generar la vigilancia del plan de accin y del programa de seguridad,

es necesario disear grupos de usuarios para acceder a determinados
recursos de la organizacin. Defina una tabla para cada sucursal en la que
explique los grupos de usuarios definidos y el porqu de sus privilegios.

SUCURS
AL

RECURSO DEL SISTEMA

NMER
NOMBRE
O
Infraestructura
Equipos de red
cableada (servidores
,routers, etc)
Equipos de red
inalmbricas (routers y
punto de acceso)
Programas de
administracin
(contabilidad,
manejo de personal,
Software contable
etc.)
Archivo (base de datos
internos y externos)

SEDE
PRINCIP
AL
ENCORE

Base de datos Clientes

RECURSO DEL SISTEMA

SUCURSA
L

NMER
O

1
1
2
3

2
8 Redes y seguridad
Actividad 2

RIESGO

Grupo de
Mantenimien
to

Grupo de
tesorera y ,
auditores

Local

Grupo de
insumos y
produccin
Grupo de
Ventas y
Cobros

Local

RIESGO

NOMBRE
Bases de
datos clientes
en mora
Aplicacin de
inventarios

TIPO
DE
ACCES
O
Local

Grupo de
Cobro
Jurdico
Grupo de
Gerentes

Local y
Remoto

TIPO DE
ACCESO
Remoto

Remoto

OTORGADOS

Preguntas propositivas

1. Usando el diagrama de anlisis para generar un plan de seguridad, y

teniendo en cuenta las caractersticas aprendidas de las PSI, cree el
programa de seguridad y el plan de accin que sustentarn el manual de
procedimientos que se disear luego.

PROGRAMA DE SEGURIDAD

Alcance de la poltica se refiere en cuanto se restringe el acceso

de informacin a las personas o personal por los tanto se crean
grupos de trabajos con funciones determinadas.
Separacin de labores (control y vigilancia) entre los
departamentos y/o partes involucradas en la operatividad de la
organizacin.
Dispositivos de biomtricos o sensores de seguridad
Generacin de contraseas de accesos con beneficios
especficos y restricciones a ciertos grupos.
Firma de acuerdos de confidencialidad.
Programas que generen restricciones o utilice protocolos para
manejo de informacin de forma segura.
Codificacin y Encriptacin de datos.
Realizacin
de Auditoras
internas programadas y no
programadas.
Vigilancia de los procesos realizados en los diferentes
estamentos de la compaa permanentemente.
Ejecucin de backups permanentes en servidores diferentes a
los que se encuentran en la misma organizacin.
Finalmente, como documento dinmico de la organizacin,
deben seguir un proceso de actualizacin peridica sujeto a los
cambios organizacionales relevantes: crecimiento de la planta
de personal, cambio en la infraestructura computacional, alta y
rotacin de personal, desarrollo de nuevos servicios, cambio o
diversificacin de negocios.
PLAN DE ACCIN
Monitoreo y evaluacin de los proceso procesos.
Estar latente y conocimiento de los nuevos
9 Redes y seguridad
Actividad 2

y posibles

ciberataques y generar cambios en infraestructura y software.

Actualizacin y/o nueva asignacin de contraseas de acceso.
Auditorias.
Capacitaciones permanentes en aplicacin de las polticas de
seguridad informtica y cmo ests influyen sobre la
operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su

empresa, y que deben ser desarrollados en el manual de
procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teora.

Procedimiento de Control de cuentas

Procedimiento Otorgar o retirar: el acceso de personas a las

tecnologas de informacin y como se controla el mismo.
Incluyendo derechos y permisos sobre los ficheros y datos a los
usuarios.
Procedimiento de definir perfiles de trabajo.

Autorizacin y control de la entrada/salida de las tecnologas de

informacin.
Gestionar las claves de acceso considerando para cada nivel el
tipo de clave atendiendo a su longitud y composicin, la
frecuencia de actualizacin, quin debe cambiarla, su custodia,
etc.
Realizacin de copias de respaldo, segn el rgimen de trabajo
de las reas, de forma que las copias se mantengan
actualizadas, y las acciones que se garanticen el acceso de
informacin y el compartimiento de esta segn el nivel
confidencialidad.
Procedimiento control del trfico de red: Obtener informacin
referente a la anomala en la utilizacin de programas no
autorizados.
o Almacenamiento y anlisis de registros de auditoria,
especificando quien lo realiza y con qu frecuencia
o El monitoreo de los puertos en la red: idntica la
habilitacin de los puertos y su funcionalidad
Identificacin de tipos de ataques: (pasivos o activos)
o Pasivos: Se observa solo los datos sin alterarlos
o Activos: Modifica y afecta la informacin.

10 Redes y seguridad
Actividad 2

11 Redes y seguridad
Actividad 2