Actividad 2

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que
llamars Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre HEINER DE JESUS FONSECA MALDONADO

Fecha 6 de mayo de 2017
Actividad ACTIVIDAD 2
Tema SEGURIDAD Y POLITICAS

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan

para hablar a la gerencia sobre las razones para instaurar polticas de
seguridad informticas (PSI), es su objetivo actual crear un manual de
procedimientos para su empresa, a travs del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos,
se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado,
otro plan para presentar las PSI a los miembros de la organizacin en donde se
evidencie la interpretacin de las recomendaciones para mostrar las polticas.
SOLUCION

Para alcanzar la competitividad requerida en la actualidad en el mbito comercial y dems, se

hace necesario la implementacin y el cumplimiento efectivo de una serie de normas que
minimicen el impacto de los riesgos que amenazan el funcionamiento de nuestra organizacin,
partiendo, de entender que es importante el aseguramiento de los activos de la misma. Es por
todo lo anterior que se requiere un compromiso total para crear confianza en nuestros clientes y
en los proveedores, para lo cual se debe demostrar la fiabilidad de los procesos que se realizan
en la compaa, y determinar la minimizacin de riesgos a los que estn sometidos los
procesos de la misma, dado que no siempre se est excepto de incidentes externos e internos
que afecten la organizacin y su funcionalidad.

Para cumplir con los propsitos anteriores se deben seguir unos lineamientos como:

Estudios de cada uno de los riesgos de carcter informtico que sean propensos a

1 Redes y seguridad
Actividad 2
 afectar la funcionalidad de un elemento, lo cual ayudar en la determinacin de los
pasos a seguir para la implementacin de las PSI, sobre el mismo.

Relacionar a l o los elementos identificados como posibles destinos de riesgo

informtico, a su respectivo ente regulador y/o administrador, dado que este es quin
posee la facultad para explicar la funcionalidad del mismo, y como este afecta al resto
de la organizacin si llegar a caer.
Exposicin de los beneficios para la organizacin, despus de implementar las PSI, en
cada uno de los elementos anteriormente identificados, pero de igual forma se debe
mencionar cada uno de los riesgos a los cuales estn expuesto para concientizar a la
empresa de lo importante que la implementacin de las PSI, tambin se deben otorgar
las responsabilidades en la utilizacin de los elementos sealados.
Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo,
para darle soporte en la funcionalidad de las PSI y como utilizarlas en los procesos de
cada recurso, as como la aceptacin de responsabilidades por parte de los operadores
de los elementos, dado que ellos tienen el mayor compromiso de preservar la
funcionalidad y el respaldo de los recursos a su cargo.
Quizs uno de los aspectos ms importantes es la monitorizacin y/o vigilancia cada
recurso identificado como posible receptor de riesgos informticos, de igual forma el
seguimiento a las operadores directos e indirectos de los mismos, lo cual se ejecutan
con la simple finalidad de realizar una actualizacin completa y fcil de las PSI, en el
momento que sea necesario, pero con la ayudad de evidencia de cada proceso
realizado antes de la actualizacin programada.

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de
presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los
de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una
red.
SOLUCION

Modificacin.

RECURSO NOMBRE CAUSA EFECTO

AFECTADO
Lgico Listado partes por Instalacin de Conflicto partes por
comprar software comprar y partes por
malintencionado no comprar

Servicio P.D.E(Programa Dispositivo Produccin errnea

Diseador de controlador
Equipos)

2 Redes y seguridad
Actividad 2
Intercepcin.

RECURSO NOMBRE CAUSA EFECTO

AFECTADO
Lgico Base de datos Software espa Robo de informacin
Clientes
Servicio Suministro de Internet Conector de seal Lentitud en la
y telefona ilegal e I conexin a internet e
interceptacin ilegal interceptacin de
telfonos.

Produccin.

RECURSO NOMBRE CAUSA EFECTO

AFECTADO
Ingresos por Instalacin de un Aparece la cuenta de
Lgico consignaciones programa que arroja la compaa con
bancarias consignaciones no fondos no reales.
realizadas
Servicio Acceso proveedores Acceso no autorizado Generacin de
por contrasea robada informacin falsa de
los proveedores, as
como el estado actual
de los pagos de los
mismos.

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un

conjunto de elementos que permitan el funcionamiento de esa topologa, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.
SOLUCION

3 Redes y seguridad
Actividad 2
 Computadores con respaldo de Disco duro: R= 3, w= 1 3*1=3
Impresoras: R= 6, W= 3 6*3=18
Redes: R=10, W=10 10*10=100
Servidores: R=10, W=10 10*10=100
Recurso: Humano: R=10, W=10 10*10=100
Equipos de refrigeracin de recursos informticos: R=10, W=8 10*7=70
Bases de datos de las contraseas de acceso: R=10, W=8 10*8=80

Recursos del Importancia (R) Prdida (W) Riesgo Evaluado

Sistema (R*W)
N Nombre

1 Equipo. Con resp. D.D 3 1

2 Impresoras 6 3
3 Equipo. de 10 7
Refrigeracin
4 Bases de Datos 10 8
5 Redes 10 10
6 Servidores 10 10
7 Recurso: Humano 10 10

N1: Este recurso tiene un R= 3 porque dado que la informacin contenida en ellos
tiene un respaldo se pueden remplazar fcilmente, y por consiguiente le puntaje de
W=1.
N2: Se le asign un R= 6 dado que a travs de ellas se obtienen evidencias fsicas de
las operaciones realizadas en la organizacin, y tiene un W=3, ya que se pueden
reemplazar en cuestin de tiempo fcilmente.
N3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el
recalentamiento de los equipos informticos, y su W=7, dado que se pueden
reemplazar por el personal tcnico.
N4: El R=10, porque en ellas se encuentra la informacin de todos los relacionado a
la empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que
almacena copias de las mismas.
N5: Su R=10, por la sencillas razn de que son el medio de conexin entre los
diferentes entes de la organizacin, y su W=10, debido a que con su ausencia la
organizacin pierde funcionalidad por cuanta de la falta de comunicacin.
N6: El R=10, porque es el centro de toda la operatividad de la organizacin y la
informacin contenida en l es vital para la funcionalidad de la misma, y por ende, su
W= 10.
N7: Su R=10, porque es uno de los recursos ms valiosos de una organizacin, dado
que conoce cmo funciona la operacin de dicha compaa. Su W= 10, porque sin
este recurso la organizacin pierde operatividad en los diferentes procesos para los
cuales se ha implementado las PSI.

4 Redes y seguridad
Actividad 2
 2. Para generar la vigilancia del plan de accin y del programa de seguridad, es
necesario disear grupos de usuarios para acceder a determinados recursos de la
organizacin. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqu de sus privilegios.
SOLUCION

Oficina Principal

RECURSO DEL Riesgo Tipo de Acceso Permisos

SISTEMA Otorgados
Nmer Nombre
o
1 Cuarto de Grupo de Local Lectura y escritura
Servidore Mantenimiento
s
2 Software Grupo de Local Lectura
contable Contadores,
auditores
3 Archivo Grupo de Local Lectura y Escritura
Recursos
Humanos
4 Base de Grupo de Ventas y Local y Remoto Lectura y Escritura
datos Cobros
Clientes

Sucursal

RECURSO DEL Riesgo Tipo de Acceso Permisos

SISTEMA Otorgados
Nmero Nombre
1 Bases de Grupo de Cobro Remoto Lectura
datos Jurdico
clientes en
mora
Aplicacin Grupo de Remoto Lectura y
2 de Gerentes Escritura
inventarios

5 Redes y seguridad
Actividad 2
Preguntas propositivas

1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en

cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el
plan de accin que sustentarn el manual de procedimientos que se disear luego.
SOLUCION

PROGRAMA DE SEGURIDAD

Separacin de labores (control y vigilancia) entre los departamentos y/o partes

involucradas en la operatividad de la organizacin.
Creacin de grupos de trabajos con funciones determinadas.
Firma de acuerdos de confidencialidad.
Protocolos para manejo de informacin de forma segura.
Encriptacin de datos.
Generacin de contraseas de accesos con beneficios especficos y restricciones a
ciertos grupos.
Auditoras internas programadas secuencialmente.
Vigilancia de los procesos realizados en los diferentes estamentos de la compaa
permanentemente.
Realizacin de backups permanentes en servidores diferentes a los que se encuentran
en la misma organizacin.
Documentacin de todos los procesos realizados en la misma.

PLAN DE ACCIN

Monitoreo de procesos.
Actualizacin y/o nueva asignacin de contraseas de acceso.
Socializacin y fijacin de nuevas metas para blindar cada uno de los procesos ante
ataques informticos.
Auditorias.
Capacitaciones permanentes en aplicacin de las polticas de seguridad informtica y
cmo ests influyen sobre la operatividad de la empresa.

6 Redes y seguridad
Actividad 2
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teora.
SOLUCION

PROCEDIMIENTOS

Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con

beneficios y restricciones en los sistemas de la empresa.
Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado
inactiva por un lapso de tiempo prolongado.
Procedimiento de verificacin de acceso: obtener informacin de cada uno de los
procesos realizados por dicho usuario, y detectar ciertas irregularidades de
navegabilidad.
Procedimiento para el chequeo de trfico de red: Obtener informacin referente a la
anomala en la utilizacin de programas no autorizados.
Procedimiento para chequeo de volmenes de correo: Entre otras la vigilancia en la
informacin que se transmite.
Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de
usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar
posibles fraudes.
Procedimiento de modificacin de archivos: realiza el seguimiento a los archivos
modificados, as como genera avisos al momento en que se intenta modificar un
archivo no permitido.
Procedimiento para resguardo de copias de seguridad: determina la ubicacin exacta
de las copias de seguridad para su integridad por si ocurre un accidente.
Procedimiento para la verificacin de mquinas de usuarios: realizar vigilancia sobre el
equipo de un usuario y as detectar posibles amenazas.
Procedimiento para el monitoreo de los puertos en la red: idntica la habilitacin de los
puertos y su funcionalidad.
Procedimiento para dar a conocer las nuevas normas de seguridad: participa de
manera anticipa la implementacin de las nuevas normas, y su funcin dentro de la
organizacin.
Procedimiento para la determinacin de identificacin del usuario y para el grupo de
pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos
beneficios y restricciones.
Procedimiento para recuperar informacin: Indispensable a la hora de preservar la
informacin par cuando se necesite abrir un backups para restaurar la informacin que
se necesita revisar.
Procedimiento para la deteccin de usuarios no autorizados: genera aviso al sistema
del ingreso de usuarios no autorizados a la red.
Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios
especiales para ingresar a la plataforma.
Procedimiento para actualizacin de contraseas de acceso: es recomendable
actualizar contraseas de acceso para evitar posibles fraudes.
Procedimiento para la instalacin y utilizacin de nuevos software: verificar la

7 Redes y seguridad
Actividad 2
 compatibilidad y seguridad de los mismos en un ambiente seguro antes de
implementarlos en la organizacin.
Procedimiento de conectividad en rede inalmbricas: Permitir conexin de redes
inalmbricas a usuarios con esos beneficios.

8 Redes y seguridad
Actividad 2