Actividad 2

Recomendaciones para presentar la Actividad:

 Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Evidencias 2.
 Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre JULIO CESAR CASTILLO GUZMAN

Fecha 10/04/2018
Actividad Evidencias 2
Tema POLITICAS GENERALES DE SEGURIDAD

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la
gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a través del cual la
proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de
procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado,
otro plan para presentar las PSI a los miembros de la organización en donde se
evidencie la interpretación de las recomendaciones para mostrar las políticas.

R// Para alcanzar la competitividad requerida en la actualidad en el ámbito comercial y

demás, se hace necesario la implementación y el cumplimiento efectivo de una serie de
normas que minimicen el impacto de los riesgos que amenazan el funcionamiento de
nuestra organización, partiendo, de entender que es importante el aseguramiento de
los activos de la misma. Es por todo lo anterior que se requiere un compromiso total
para crear confianza en nuestros clientes y en los proveedores, para lo cual se debe
demostrar la fiabilidad de los procesos que se realizan en la compañía, y determinar la
minimización de riesgos a los que están sometidos los procesos de la misma, dado
que no siempre se está excepto de incidentes externos e internos que afecten la
organización y su funcionalidad.

Para cumplir con los propósitos anteriores se deben seguir unos lineamientos como:

a) Estudios de cada uno de los riesgos de carácter informático que sean propensos a

1 Redes y seguridad
Actividad 2
afectar la funcionalidad de un elemento, lo cual ayudará en la

Determinación de los pasos a seguir para la implementación de las PSI, sobre el

mismo.

b) Relacionar a él o los elementos identificados como posibles destinos de riesgo

informático, a su respectivo ente regulador y/o administrador, dado que este es quién
posee la facultad para explicar la funcionalidad del mismo, y como este afecta al resto
de la organización si llegará a caer. c) Exposición de los beneficios para la
organización, después de implementar las PSI, en cada uno de los elementos
anteriormente identificados, pero de igual forma se debe mencionar cada uno de los
riesgos a los cuales están expuesto para concientizar a la empresa de lo importante
que la implementación de las PSI, también se deben otorgar las responsabilidades en
la utilización de los elementos señalados. d) Identificar quienes dirigen y/o operan los
recursos o elementos con factores de riesgo, para darle soporte en la funcionalidad de
las PSI y como utilizarlas en los procesos de cada recurso, así como la aceptación de
responsabilidades por parte de los operadores de los elementos, dado que ellos tienen
el mayor compromiso de preservar la funcionalidad y el respaldo de los recursos a su
cargo. e) Quizás uno de los aspectos más importantes es la monitorización y/o
vigilancia cada recurso identificado como posible receptor de riesgos informáticos, de
igual forma el seguimiento a las operadores directos e indirectos de los mismos, lo
cual se ejecutan con la simple finalidad de realizar una actualización completa y fácil de
las PSI, en el momento que sea necesario, pero con la ayudad de evidencia de cada
proceso realizado antes de la actualización programada.

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a los
de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una
red.

R// Ejemplo 1: Modificación

RECURSO AFECTADO NOMBRE CAUSA EFECTO

Lógico Listado partes por Instalación de Conflicto partes por
comprar software comprar y partes por
malintencionado no comprar
Servicio P.D.E(Programa Dispositivo Producción errónea
diseñador de controlador
equipos)

2 Redes y seguridad
Actividad 2
Ejemplo N° 2 Intercepción

RECURSO AFECTADO NOMBRE CAUSA EFECTO

Lógico Base de datos cliente Software espía Robo de información

Servicio Suministro de Conector de señal Lentitud en la

internet telefonía ilegal conexión a internet e
interceptación de
Interceptación ilegal teléfonos.

Ejemplo N° 3 Producción

RECURSO AFECTADO NOMBRE CAUSA EFECTO

Lógico Ingresos por Instalación de un Aparece la cuenta de
consignaciones programa que arroja la compañía con
bancarias consignaciones no fondos no reales
realizadas
Servicio Acceso proveedores Acceso no Generación de
autorizado por información falsa de
contraseña robada los proveedores, así
como el estado
actual de los pagos
de los mismos

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un

conjunto de elementos que permitan el funcionamiento de esa topología, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.

R// Computadores con respaldo de Disco duro: R= 3, w= 1 3*1=3 Impresoras: R= 6, W= 3

6*3=18 Redes: R=10, W=10 10*10=100 Servidores: R=10, W=10 10*10=100 Recurso:
Humano: R=10, W=10 10*10=100 Equipos de refrigeración de recursos informáticos:
R=10,W=810*7=70 Bases de datos de las contraseñas de acceso: R=10, W=8 10*8=80

3 Redes y seguridad
Actividad 2
 Recursos del Importancia(R) Perdida(W) Riesgo
Sistema Evaluado(R*W)
N° Nombre
1 Equipo. Con resp. 3 1
D.D
2 Impresoras 6 3
3 Equipo. de 10 7
Refrigeración
4 Bases de Datos 10 8
5 Redes 10 10
6 Servidores 10 10
7 Recurso: Humano 10 10

N°1: Este recurso tiene un R= 3 porque dado que la información contenida en ellos tiene un
respaldo se pueden remplazar fácilmente, y por consiguiente le puntaje de W=1.

N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias físicas de las
operaciones realizadas en la organización, y tiene un W=3, ya que se pueden reemplazar en
cuestión de tiempo fácilmente.

N°3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el

recalentamiento de los equipos informáticos, y su W=7, dado que se pueden reemplazar por
el personal técnico.

N°4: El R=10, porque en ellas se encuentra la información de todos los relacionado a la

empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que almacena
copias de las mismas.

N°5: Su R=10, por la sencillas razón de que son el medio de conexión entre los diferentes
entes de la organización, y su W=10, debido a que con su ausencia la organización pierde
funcionalidad por cuanta de la falta de comunicación.

N°6: El R=10, porque es el centro de toda la operatividad de la organización y la

información contenida en él es vital para la funcionalidad de la misma, y por ende, su W= 10.

N°7: Su R=10, porque es uno de los recursos más valiosos de una organización, dado que
conoce cómo funciona la operación de dicha compañía. Su W= 10, porque sin este recurso la
organización pierde operatividad en los diferentes procesos para los cuales se ha
implementado las PSI.

4 Redes y seguridad
Actividad 2
 2. Para generar la vigilancia del plan de acción y del programa de seguridad, es
necesario diseñar grupos de usuarios para acceder a determinados recursos de la
organización. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqué de sus privilegios.

R//

Oficina Principal

RECURSO DEL Riesgo Tipo de Acceso Permisos

SISTEMA Otorgados
Numero Nombre
1 Cuarto de Grupo de Local Lectura y escritura
Servidores Mantenimiento
2 Software Grupo de Local Lectura
contable Contadores,
auditores
3 Archivo Grupo de Recursos Local Lectura y Escritura
Humanos
4 Base de Grupo de Ventas y Local y Remoto Lectura y Escritura
datos Cobros
Clientes

Sucursal

RECURSO DEL SISTEMA Riesgo Tipo de Acceso Permisos Otorgados

Número Nombre
1 Bases de Grupo de Cobro Remoto Lectura
datos Jurídico
clientes en
mora
2 Aplicación Grupo de Gerentes Remoto Lectura Y Escritura
de
inventarios

Preguntas propositivas

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en

cuenta las características aprendidas de las PSI, cree el programa de seguridad y el
plan de acción que sustentarán el manual de procedimientos que se diseñará luego.

R// PROGRAMA DE SEGURIDAD

Separación de labores (control y vigilancia) entre los departamentos y/o partes

5 Redes y seguridad
Actividad 2
involucradas en la operatividad de la organización.

Creación de grupos de trabajos con funciones determinadas.

Firma de acuerdos de confidencialidad.

Protocolos para manejo de información de forma segura.

Encriptación de datos.

Generación de contraseñas de accesos con beneficios específicos y restricciones a

ciertos grupos.

Auditorías internas programadas secuencialmente.

Vigilancia de los procesos realizados en los diferentes estamentos de la compañía

permanentemente.

Realización de backups permanentes en servidores diferentes a los que se

encuentran en la misma organización.

Documentación de todos los procesos realizados en la misma.

PLAN DE ACCIÓN

Monitoreo de procesos.

Actualización y/o nueva asignación de contraseñas de acceso.

Socialización y fijación de nuevas metas para blindar cada uno de los procesos ante
ataques informáticos.

Auditorias.

Capacitaciones permanentes en aplicación de las políticas de seguridad informática

y cómo estás influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teoría.

R// PROCEDIMIENTOS

Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con

beneficios y restricciones en los sistemas de la empresa.

Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado

6 Redes y seguridad
Actividad 2
inactiva por un lapso de tiempo prolongado.

Procedimiento de verificación de acceso: obtener información de cada uno de los

procesos realizados por dicho usuario, y detectar ciertas irregularidades de
navegabilidad.

Procedimiento para el chequeo de tráfico de red: Obtener información referente a la

anomalía en la utilización de programas no autorizados.

Procedimiento para chequeo de volúmenes de correo: Entre otras la vigilancia en la

información que se transmite.

Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta

de usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar
posibles fraudes.

Procedimiento de modificación de archivos: realiza el seguimiento a los archivos

modificados, así como genera avisos al momento en que se intenta modificar un
archivo no permitido.

Procedimiento para resguardo de copias de seguridad: determina la ubicación exacta

de las copias de seguridad para su integridad por si ocurre un accidente.

Procedimiento para la verificación de máquinas de usuarios: realizar vigilancia sobre

el equipo de un usuario y así detectar posibles amenazas.

Procedimiento para el monitoreo de los puertos en la red: idéntica la habilitación de

los puertos y su funcionalidad.

Procedimiento para dar a conocer las nuevas normas de seguridad: participa de

manera anticipa la implementación de las nuevas normas, y su función dentro de la
organización.

Procedimiento para la determinación de identificación del usuario y para el grupo de

pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus
respectivos beneficios y restricciones.

Procedimiento para recuperar información: Indispensable a la hora de preservar la

información par cuando se necesite abrir un backups para restaurar la información que
se necesita revisar.

Procedimiento para la detección de usuarios no autorizados: genera aviso al sistema

del ingreso de usuarios no autorizados a la red.

Procedimiento para acceso remoto: genera permisos a ciertos usuarios con

beneficios especiales para ingresar a la plataforma.

Procedimiento para actualización de contraseñas de acceso: es recomendable

actualizar contraseñas de acceso para evitar posibles fraudes.

Procedimiento para la instalación y utilización de nuevos software: verificar la

7 Redes y seguridad
Actividad 2
compatibilidad y seguridad de los mismos en un ambiente seguro antes de
implementarlos en la organización.

Procedimiento de conectividad en redes inalámbricas: Permitir conexión de redes

inalámbricas a usuarios con esos beneficios.

8 Redes y seguridad
Actividad 2