Actividad 2

Recomendaciones para presentar la Actividad:

 Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Evidencias 2.
 Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Maria paula torres

Fecha 13/05/2019
Actividad 2
Tema Políticas generales de seguridad

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear
un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo
diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del
manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las

PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para
presentar las PSI a los miembros de la organización en donde se evidencie la interpretación
de las recomendaciones para mostrar las políticas.

R/: con la autorización de la gerencia se debe generar un cronograma donde por sedes y grupos de
trabajo se realice un seminario o capacitación a todos los funcionarios de la empresa sobre las PSI
implementadas. De igual manera, mediante correo electrónico se envían volantes donde estén las
policitas puntuales y se recalquen las sanciones que incurrirían en caso de incumplirlas.

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación
a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los
que se evidencien los 4 tipos de alteraciones principales de una red.

1 Redes y seguridad
Actividad 2
 INTERRUCCION
RECURSO NOMBRE CAUSA EFECTO
AFECTADO
Los equipos no reciben IP para
conectarse a internet. No hay servicio de
Físico Daño fuente de
Servidor DHCP correo. No se alimenta bases de datos en
poder
red.

Licencia
Vencimiento de
Servicio corporativa
licencia No abren los procesadores de texto.
office

INTERCEPCIÓN
Servidor de Se colgó a la red
Ingreso a la base de datos y saca
Físico respaldo bases un equipo no
información confidencial
de datos autorizado
Personal no
Informe
autorizado
semanal del
Lógico recoge informe Fuga de información a la competencia
grupo de
dejado sobre
desarrollo
escritorio
MODIFICACIÓN
Servicio de
Ingreso personal
Active Directory Modifica policitas y restricciones a
Lógico no autorizado
servidor usuarios no autorizados.
remotamente
Principal
Alguien asigna
dirección de
No hay salida a la nube (se cae el
Físico Servidor DHCP puerta de enlace
internet)
a nuevo nodo de
manera estática
PRODUCCIÓN IMPROPIA DE INFORMACIÓN
Base de datos Alguien modifica El contador no se percata de lo que la
Lógico aplicativo de el valor de las empresa obtuvo realmente por los
pagos en línea Ganancias servicios.
Ingreso no
Archivo plano autorizado al
para el equipo de
Se consigna el valor a terceras personas
Servicio descargue y tesorería y
(hurto del sueldo)
pago de la modifican los
nómina mensual números de
cuentas

2 Redes y seguridad
Actividad 2
Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto

de elementos que permitan el funcionamiento de esa topología, como routers, servidores,
terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos
5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

Severidad Valor riesgo

Nombre del Importancia del
perdida del Evaluado (Ri Detalle
recurso recurso (Ri)
recurso (Wi) *Wi)
Permitiría que
los funcionarios
ingresaran a
páginas no
permitidas que
Servidor Proxi 6 6 36 retrasarían su
producción,
descargarían
virus y
congestionarían
la red.
Establece
politicas para el
acceso
controlado a
los equipos de
la empresa.
Permite
identificar y
Servidor de
administrar los
Dominio y 9 9 81
nodos
DHCP
conectados a la
red. La falla
crearía un caos
para el ingreso
a los equipos y
los equipos no
conectarían a
internet.
Previene el
ingreso de
Servidor diversos virus a
6 5 30
antivirus los equipos de
la empresa. Su
falla no
3 Redes y seguridad
Actividad 2
 afectaría el
normal
funcionamiento
de los
elementos de la
red mientras se
restablece.
La información
Servidor de
es el activo más
Respaldo base 10 10 100
valioso de la
de datos
empresa.
Su falla no
permitiría
Switch realizar las
8 8 64
principal labores por red
(no hay
internet)
No permitiría
imprimir
Impresora 4 3 12
documentos del
área.

2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario
diseñar grupos de usuarios para acceder a determinados recursos de la organización. Defina
una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué
de sus privilegios.

Nombre del Tipo de Clase de Motivo

Área o Grupo Privilegios
recurso usuario acceso Privilegios
Alimentar base
Usuarios Escritura y de datos
Gerencia Remoto
estándar lectura mediante
aplicativo
Servidor Alimentar base
Base de Usuarios Escritura y de datos
Subgerencia Remoto
datos estándar lectura mediante
aplicativo
Usuarios con Escritura, Alimentar base
Grupo
privilegios Remoto lectura y de datos
desarrollo
avanzados modificación mediante

4 Redes y seguridad
Actividad 2
 aplicativo,
modifica datos
guardados
Alimentar base
Grupo recursos Usuarios Escritura y de datos
Remoto
humano estándar lectura mediante
aplicativo
Alimentar base
Grupo Usuarios Escritura y de datos
Remoto
Planeación estándar lectura mediante
aplicativo
Alimentar base
Usuarios Escritura y de datos
Grupo tesorería Remoto
estándar lectura mediante
aplicativo
Alimentar base
Grupo soporte a
Usuarios Escritura y de datos
requerimiento Remoto
estándar lectura mediante
técnicos
aplicativo.
Administra los
usuarios para la
Control total,
Grupo Usuario alimentación de
Remoto consulta y
seguridad de la Administrador la base de datos
y local creación de
información es (aplicativos) asi
usuarios
como sus
privilegios
Es el funcionario
que tiene todos
los privilegios
existentes para
Control total,
el servidor.
Jefe grupo creación de
Usuario Remoto
seguridad de la usuarios y
empresarial y local
información Backus de
información

Creación, de
usuarios de
Grupo Encargados de
Usuario Remoto dominio;
seguridad de la administrar el
SERVIDORE administrador y Local ámbitos,
información servidor
S DE segmentos,
DOMINIO, reservas
DHCP, Crea usuarios y
PROXI E asigna
Jefe grupo
ANTIVIRUS Usuario Remoto privilegios a los
seguridad de la Control Total
Empresarial y Local del Grupo de
información
seguridad de la
información

5 Redes y seguridad
Actividad 2
 Grupo
ROUTERS Y Usuario Remoto Administran
seguridad de la Control Total
SWITCHS administrador y Local estos nodos
información
Jefe grupo
Usuario Remoto Verifica
seguridad de la Control Total
Empresarial y Local funcionamiento.
información
Realizar
cambios a la
Encargados de
configuración
EQUIPOS dar soporte y
Grupo soporte a de equipos,
DE Usuario Remoto solucionar
requerimiento instalar y
COMPUTO administrador y local problemas con
técnicos desinstalar
OFICINA los pc,
programas,
impresoras.
subir equipos
al dominio

Preguntas propositivas

1. 1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las
características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que
sustentarán el manual de procedimientos que se diseñará luego.

PROGRAMA DE SEGURIDAD

 Capacitación para la divulgación del programa de seguridad.

 Control de accesos a las instalaciones por dependencias (lector biométrico)

 Unificación de contraseñas. Solo dos funcionarios (jefe grupo seguridad de la información y

designado por el) tendrá conocimiento de todas las contraseñas de acceso; además contaran
con todos los privilegios para administrar cuentas de usuarios y privilegios para el resto de
empleados de la empresa.

 Creación de usuarios y contraseñas con privilegios de acuerdo al grupo de trabajo y funciones

realizadas.

 Diligenciamiento de formatos para la entrega de usuario y confidencialidad.

 Creación de contraseñas seguras y su cambio periódico.

6 Redes y seguridad
Actividad 2
 Clasificación de la información de acuerdo a su relevancia (confidencial, reservada, interna)
y establecimiento de protocolos para el manejo de la misma de acuerdo a su clasificación.

 Conexión a la red mediante puntos de cableado estructurado.

 Encriptación de datos para el envió de información mediante correo electrónico y medios de

almacenamiento masivo.

 Revistas a los equipos de cómputo trimestrales.

 Realización de backups diarios a los servidores que almacenan la información.

 Vigilancia de los procesos realizados en los diferentes estamentos de la compañía

permanentemente y almacenamiento de los .log

 Documentación de todos los procesos realizados en la misma.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados
en el manual de procedimientos. Agregue los que considere necesarios, principalmente
procedimientos diferentes a los de la teoría.

PROCEDIMIENTOS

 Ingreso a la empresa: Todo funcionario para el ingreso a la empresa debe acercarse al

grupo de seguridad de la información para el registro de su huella y asi obtener ingreso
de acuerdo a su dependencia.

 Usuarios empresariales: Todo funcionario debe contar con un usuario empresarial para
el ingreso a los equipos de cómputo creado en el grupo de seguridad de la información

 Creación de Usuarios: Los usuarios se crearan siguiendo la sintaxis de primer nombre

y primer apellido; en caso de homónimos se asignaran números al final del nombre para
diferenciarlos. Dichos usuarios contaran con restricciones de acuerdo al grupo donde
vaya a adelantar sus labores.

 Entrega de usuarios: Todo funcionario deberá diligenciar los formatos “entrega de

usuario FR-ES-001 y confidencialidad de la información FR-ES-002”. Así mismo, antes
de salir a comisión, vacaciones o retiro de la empresa deberá entregar el usuario a la
oficina de seguridad de la información para su respectiva inhabilitación o eliminación.

7 Redes y seguridad
Actividad 2
 Conexión de equipos a la red: Todo equipo debe conectarse a la red mediante cableado
estructurado categoría 6ª. La asignación de IP Se realizara mediante servidor DHCP. El
administrador de la red realizara las reservas activas y mantendrá el segmento cerrado.

 Atención y soporte a requerimientos técnicos: Diligenciara formato de registro de

requerimientos, donde quedara plasmado el tipo de soporte, solución brindada y
observaciones de las novedades encontradas.

 Asignación de usuarios para aplicativos: El grupo de seguridad de la información

creara y asignara usuarios para el ingreso alimentación y modificación de los aplicativos
de la empresa.

 Respaldo de la información en servidor: Se debe realizar diariamente en horas de la

noche por un funcionario designado por el grupo de seguridad de la información.

 Almacenamiento de cintas de respaldo: Se guardaran en un espacio que cumpla con

los estándares de seguridad.

 Configuración de equipos e instalación de software: Se realizara por funcionarios con

contraseñas administradoras del grupo de atención a soporte a requerimientos técnicos.

 Revista a equipos de cómputo: Se realizara una revista trimestral a todos los equipos
de cómputo. Se diligenciara el formato de lista de chequeo donde quedaran registrado
los datos del computador y las novedades encontradas

 Envió de información mediante correos electrónicos: Se debe mediante la cuenta de

correo oficial de la empresa, encriptada mediante software autorizado.

 Equipos en dominio: Todos los computadores se deben subir al dominio de la empresa.

8 Redes y seguridad
Actividad 2