Nombre Lucero Natalia

Fecha 09/07/2019
Actividad Actividad 2
Tema

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual
crear un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a
cabo diversas actividades previas, y se debe entender la forma en la que se hacen los
procedimientos del manual.

PREGUNTAS INTERPRETATIVAS

 Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las

PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para
presentar las PSI a los miembros de la organización en donde se evidencie la
interpretación de las recomendaciones para mostrar las políticas.

SOLUCIÓN:

PLAN DE TRABAJO

Presentación de las PSI mediante un plan de trabajo: El alcance de las PSI es entorno a todo el
personal que conforma la organización, para que reconozcan que la información es uno de sus
principales activos y un motor en el ámbito de los negocios.

Objetivos de la política: Garantizar la seguridad de los sistemas informáticos Eliminar el mal uso de
los datos, tales como acceso no autorizado a información de la empresa o venta de datos a la
competencia. La responsabilidad del manejo las PSI recae en los ingenieros o técnicos encargados
de esta área teniendo requerimientos como un cuarto de comunicaciones que cuente con los
equipos mínimos de redes que garanticen el buen manejo de los datos.
  Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la
teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red

SOLUCION:

EJEMPLO N°1: INTERCEPCION

RECURSO
NOMBRE CAUSA EFECTO
AFECTADO
BASE DE DATOS
LOGICO SOFWARE ESPIA ROBO DE INFORMACION
CLIENTES
LENTITUD EN LA
SUMINISTRO DE
CONECTOR DE SEÑAL CONEXIÓN A INTERNET E
LOGICO INTERNET Y
ILEGAL E INTERCEPCION INTERCEPTACION DE
TELEFONIA
TELEFONOS

EJEMPLO N°2: PRODUCCION

RECURSO
NOMBRE CAUSA EFECTO
AFECTADO
INSTALACION DE UN
INGRESOS POR PROGRAMA QUE APARECE LA CUENTA DE
LOGICO CONSIGNACIONES ARROJA LA COMPAÑÍA CON
BANCARIAS CONSIGANCIONES NO FONDOS NO REALES
REALIZADAS
GENERACION DE
ACCESO NO INFORMACION FALSA DE
ACCESO A AUTORIZADO POR LOS PROVEEDORES, ASI
SERVICIO
PROVEEDORES CONTRASEÑAS COMO EL PAGO ACTUAL
ROBADAS DEL ESTADO DE LOS
MISMOS.
EJEMPLO N°3: MODIFICACIÓN

RECURSO
NOMBRE CAUSA EFECTO
AFECTADO
INSTALACION DEL CONFLICTO DE PARTES
LISTADO DE PARTES
LOGICO SOFWARE POR COMPRAR Y PARTES
POR COMPRAR
MALINTENCIONADO POR NO COMPRAR
P.D.E (PROGRAMA
DISPOCITIVO
SERVICIO DISEÑADOR DE PRODUCCION ERRONEA
CONTROLADOR
EQUIPOS)

PREGUNTAS ARGUMENTATIVAS

 Su empresa debe tener, de acuerdo a la topología de red definida anteriormente,

un conjunto de elementos que permitan el funcionamiento de esa topología,
como routers, servidores, terminales, etc. Genere una tabla como la
presentada en la teoría, en la que tabule al menos 5 elementos por
sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

SOLUCION:

Computadores con Respaldo de Disco duro R= 3, w= 1 3*1=3

Impresoras R= 6, W= 3 6*3=18
Redes= R=10, W=10 10*10=100
Servidores R=10, W=10 10*10=100
Recurso: Humano R=10, W=10 10*10=100

Equipos de refrigeración de
Recursos informáticos R=10, W=8 10*7=70

Bases de datos de las contraseñas

De acceso R=10, W=8 10*8=80
 RECURSOS DEL
SISTEMA RIESGO
IMPORTANCIA(R) PERDIDA(W)
EVALUADO(R*W)
N° NOMBRE
EQUIPO CON
1 3 1 3
RESP. D.D
2 IMPRESORAS 6 3 18
EQUIPO DE
3 10 7 70
REFRIGERACION
4 BASE DE DATOS 10 8 80
5 REDES 10 10 100
6 SERVIDORES 10 10 100
RECURSOS
7 10 10 100
HUMANOS

N°1:Este recurso tiene un R= 3 porque dado que la información contenida

en ellos tiene un respaldo se pueden remplazar fácilmente, y por
consiguiente el puntaje de W=1.

N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias

físicas de las operaciones realizadas en la organización, y tiene un W=3,ya
que se pueden reemplazar en cuestión de tiempo fácilmente.

N°3: Su R=10 porque al no estar funcionando por mucho tiempo

provocan el recalentamiento de los equipos informáticos, y su W=7, dado que se
pueden reemplazar por el personal técnico.

N°4: El R=10, porque en ellas se encuentra la información de todos los

relacionado a la empresa, y su W=8,dado que existe un respaldo
anteriormente mencionado que almacena copias de las mismas.

N°5: Su R=10, por la sencillas razón de que son el medio de conexión

entre los diferentes entes de la organización, y su W=10, debido a que con
su ausencia la organización pierde funcionalidad por cuanta de la falta de
comunicación.

N°6: El R=10, porque es el centro de toda la operatividad de la

organización y la información contenida en él es vital para la funcionalidad
de la misma, y por ende, su W= 10.
N°7: Su R=10, porque es uno de los recursos más valiosos de una
organización, dado que conoce cómo funciona la operación de dicha compañía.
Su W= 10, porque sin este recurso la organización pierde operatividad en los
diferentes procesos para los cuales se ha implementado las PSI.

 Para generar la vigilancia del plan de acción y del programa de seguridad,

es necesario diseñar grupos de usuarios para acceder a determinados
recursos de la organización. Defina una tabla para cada sucursal en la que
explique los grupos de usuarios definidos y el porqué de sus privilegios.

SOLUCIÓN:

OFICINA PRINCIPAL

RECURSO DEL
Tipo de Permisos
SISTEMA Riesgo
Acceso Otorgados
Número Nombre
Cuarto de Grupo de Lectura y
1 Local
Servidores Mantenimiento escritura
Grupo de
Software
2 Contadores, Local Lectura
contable
auditores
Grupo de
Lectura y
3 Archivo Recursos Local
escritura
Humanos
Base de Grupo de
Lectura y
4 datos Ventas y Local y Remoto
escritura
Clientes Cobros
SUCURSAL:

RECURSO DEL
SISTEMA Tipo de Permisos
Riesgo
Acceso Otorgados
Número Nombre
Bases de
Grupo de
datos
1 Cobro Remoto Lectura
clientes en
Jurídico
mora
Aplicación
Grupo de Lectura y
2 de Remoto
Gerentes Escritura
inventarios

PREGUNTAS PROPOSITIVAS

 Usando el diagrama de análisis para generar un plan de seguridad, y

teniendo en cuenta las características aprendidas de las PSI, cree el
programa de seguridad y el plan de acción que sustentarán el manual de
procedimientos que se diseñará luego

.
PROGRAMA DE SEGURIDAD

 Separación de labores (control y vigilancia) entre los departamentos y/o

partes involucradas en la operatividad de la organización.

 Creación de grupos de trabajos con funciones determinadas.

 Firma de acuerdos de confidencialidad.

 Protocolos para manejo de información de forma segura.

 Encriptación de datos.

 Generación de contraseñas de accesos con beneficios específicos y

restricciones a ciertos grupos.

 Auditorías internas programadas secuencialmente.

  Vigilancia de los procesos realizados en los diferentes estamentos de la
compañía permanentemente.

 Realización de backups permanentes en servidores diferentes a los que se

encuentran en la misma organización.

 Documentación de todos los procesos realizados en la misma.

PLAN DE ACCIÓN

 Monitoreo de procesos.

 Actualización y/o nueva asignación de contraseñas de acceso.

 Socialización y fijación de nuevas metas para blindar cada uno de los

procesos ante ataques informáticos.

 Auditorias.

 Capacitaciones permanentes en aplicación de las políticas de seguridad

informática y cómo estás influyen sobre la operatividad de la empresa.

 Enuncie todos los procedimientos que debe tener en su empresa, y que

deben ser desarrollados en el manual de procedimientos. Agregue los que
considere necesarios, principalmente procedimientos diferentes a los de la
teoría.

PROCEDIMIENTOS

 Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario

con beneficios y restricciones en los sistemas de la empresa.

 Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que

ha estado inactiva por un lapso de tiempo prolongado.

 Procedimiento de verificación de acceso: obtener información de cada uno

de los procesos realizados por dicho usuario, y detectar ciertas
irregularidades de navegabilidad.
 Procedimiento para el chequeo de tráfico de red: Obtener información
referente a la anomalía en la utilización de programas no autorizados.

 Procedimiento para chequeo de volúmenes de correo: Entre otras la

vigilancia en la información que se transmite.

 Procedimiento para el monitoreo de conexiones activas: detecta cuando

una cuenta de usuario ha permanecido cierto tiempo inactiva, para su
posterior inhabilidad y evitar posibles fraudes.

 Procedimiento de modificación de archivos: realiza el seguimiento a los

archivos modificados, así como genera avisos al momento en que se
intenta modificar un archivo no permitido.

 Procedimiento para resguardo de copias de seguridad: determina la

ubicación exacta de las copias de seguridad para su integridad por si ocurre
un accidente.

 Procedimiento para la verificación de máquinas de usuarios: realizar

vigilancia sobre el equipo de un usuario y así detectar posibles amenazas.

 Procedimiento para el monitoreo de los puertos en la red: idéntica la

habilitación de los puertos y su funcionalidad.

 Procedimiento para dar a conocer las nuevas normas de seguridad:

participa de manera anticipa la implementación de las nuevas normas, y su
función dentro de la organización.

 Procedimiento para la determinación de identificación del usuario y para el

grupo de pertenencia por defecto: asigna al usuario un grupo de
pertenencia con sus respectivos beneficios y restricciones.

 Procedimiento para recuperar información: Indispensable a la hora de

preservar la información par cuando se necesite abrir un backups para
restaurar la información que se necesita revisar.

 Procedimiento para la detección de usuarios no autorizados: genera aviso

al sistema del ingreso de usuarios no autorizados a la red.

 Procedimiento para acceso remoto: genera permisos a ciertos usuarios con

beneficios especiales para ingresar a la plataforma.
 Procedimiento para actualización de contraseñas de acceso: es
recomendable actualizar contraseñas de acceso para evitar posibles
fraudes.