Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para hablar a la

gerencia sobre las razones para instaurar polticas de seguridad informticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a travs del cual la
proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de
procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la
forma en la que se hacen los procedimientos del manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las
PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para
presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de
las recomendaciones para mostrar las polticas.

PRESENTACIN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIN

Para alcanzar la competitividad requerida en la actualidad en el mbito comercial y dems, se

hace necesario la implementacin y el cumplimiento efectivo de una serie de normas que
minimicen el impacto de los riesgos que amenazan el funcionamiento de nuestra organizacin
y para cumplir con los propsitos anteriores se deben seguir unos pasos o mtodos de trabajo
como:

* Estudios de cada uno de los riesgos de carcter informtico que sean propensas afectar la
funcionalidad de un elemento, lo cual ayudar en la determinacin de los pasos a seguir
para la implementacin de las PSI, sobre el mismo.
* Relacionar a l o los elementos identificados como posibles destinos de riesgo informtico, a
su respectivo ente regulador y/o administrador, dado que este es quin posee la facultad para
explicar la funcionalidad del mismo, y como este afecta al resto de la organizacin si llegar a
caer.
* Exposicin de los beneficios para la organizacin, despus de implementar las PSI, en cada
uno de los elementos anteriormente identificados, pero de igual forma se debe mencionar
cada uno de los riesgos a los cuales estn expuesto para concientizar a la empresa de lo
importante que la implementacin de las PSI, tambin se deben otorgar las responsabilidades
en la utilizacin de los elementos sealados.
* Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo, para
darle soporte en la funcionalidad de las PSI y como utilizarlas en los procesos de cada recurso.
* Uno de los aspectos ms importantes es la monitorizacin y/o vigilancia cada recurso
identificado como posible receptor de riesgos informticos, de igual forma el seguimiento a
las operadores directos e indirectos de los mismos.

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin
a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que
se evidencien los 4 tipos de alteraciones principales de una red.
* Ejemplo #
1.
RECURSO AFECTADO

| NOMBRE

Lgico | Base de datos Clientes

| CAUSA

| EFECTO

| Software espa

| Robo de informacin |

Fsico | Suministro de Internet y telefona

| Conector de seal ilegal e Interceptacin
ilegal | Lentitud en la conexin a internet e interceptacin de telfonos.
|
* Ejemplo #2.

RECURSO AFECTADO

| NOMBRE

| CAUSA

| EFECTO

Lgico | Ingresos por consignaciones bancarias

| Instalacin de un programa que
arroja consignaciones no realizadas
| Aparece la cuenta de la compaa con fondos no
reales. |
Servicios
| Acceso proveedores | Acceso no autorizado por contrasea robada |
Generacin de informacin falsa de los proveedores, as como el estado actual de los pagos de
los mismos.
|

Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un
conjunto de elementos que permitan el funcionamiento de esa topologa, como routers,
servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule
al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en
detalle.
Red sucursal Ciudad de Bogot
Red sucursal Ciudad de Bogot

* Router:

R= 8, W= 8

* Servidor:

R=10, W=10

* Switch:

R= 6, W= 7

* Impresora:

R= 5, W= 4

* Terminal:

R= 7, W=6

Recurso del sistema

Numero

| Riesgo(R)

| Nombre

||||

| Importancia(W)

| Riesgo evaluado(R*W) |

| Routers

Servidor

| 10

|8

|8

| 64

| 10

| 100

| Switch

|6

|7

| 42

| Impresora

|5

|4

| 20

| Terminal

|7

|6

| 42

Router: Este recurso tiene R=8 por que es el conecta esta red con la de las dems sucursales y
tiene
W=8 por que perdiendo este recurso se perdera la conexin y comunicacin con
las redes de las otras sucursales.
Servidor: Este recurso tiene R=10 y W=10 por que es el que controla y administra la red y es de
Vital importancia para la seguridad de la red.
Switch: Este recurso tiene R=6 y W=7 por que por medio de l se conecta la red local.
Impresora: Este recurso tiene R=5 por que por medio de ella se obtiene evidencia fsica del
trabajo realizado
en la compaa y W=4 por que su reparacin y/o cambio se puede hacer en poco tiempo y
noes tan costoso.
Terminal: Este recurso tiene R=7 por que es el recurso directo de trabajo de la empresa y W 6
por que su
Reparacin y/o cambio no es muy demorado.

Recurso del sistema

Numero

| Riesgo(R)

| Nombre

| Importancia(W)

||||

| Routers

|8

|8

| 64

| Servidor

| 10

| 10

| 100

| Switch

|6

|7

| 42

| Impresora

|5

|4

| 20

| Terminal

|7

|6

| 42

Red # 1 sucursal Ciudad de Medelln Bogot

Red # 1 sucursal Ciudad de Medelln Bogot

| Riesgo evaluado(R*W) |

* Router:

R= 8, W= 8

* Servidor:

R=10, W=10

* Switch:

R= 6, W= 7

* Impresora:

R= 5, W= 4

* Terminal:

R= 7, W=6

Router: Este recurso tiene R=8 por que es el

conecta esta red con la de las dems sucursales y tiene
W=8 porque perdiendo este recurso se perdera la conexin y comunicacin con las redes de
las otras
sucursales.
Servidor: Este recurso tiene R=10 y W=10 por que es el que controla y administra la red y es de
Vital
importancia para la seguridad de la red.
Switch: Este recurso tiene R=6 y W=7 por que por medio de l se conecta la red local.
Impresora: Este recurso tiene R=5 por que por medio de ella se obtiene evidencia fsica del
trabajo
realizado en la compaa y W=4 por que su reparacin y/o cambio se puede hacer en poco
tiempo y no
es tan costoso.
Terminal: Este recurso tiene R=7 por que es el recurso directo de trabajo de la empresa y W 6
por que
su reparacin y/o cambio no es muy demorado.

Red # 2 sucursal Ciudad de Medelln Bogot

Red # 2 sucursal Ciudad de Medelln Bogot

Recurso del sistema

Numero

| Riesgo(R)

| Nombre

| Importancia(W)

||||

| Routers

|8

|8

| 64

| Servidor

| 10

| 10

| 100

| Switch

|6

|7

| 42

| Riesgo evaluado(R*W) |

| Impresora

|5

|4

| 20

| Terminal

|7

|6

| 42

* Router:

R= 8, W= 8

* Servidor:

R=10, W=10

* Switch:

R= 6, W= 7

* Impresora:

R= 5, W= 4

* Terminal:

R= 7, W=6

Router: Este recurso tiene R=8 por que es el conecta esta red con la de las dems sucursales y
tiene
W=8 porque perdiendo este recurso se perdera la conexin y comunicacin con las redes de
las otras
sucursales.
Servidor: Este recurso tiene R=10 y W=10 por que es el que controla y administra la red y es de
Vital
importancia para la seguridad de la red.
Switch: Este recurso tiene R=6 y W=7 por que por medio de l se conecta la red local.
Impresora: Este recurso tiene R=5 por que por medio de ella se obtiene evidencia fsica del
trabajo
realizado en la compaa y W=4 por que su reparacin y/o cambio se puede hacer en poco
tiempo y no
es tan costoso.
Terminal: Este recurso tiene R=7 por que es el recurso directo de trabajo de la empresa y W 6
por que
su reparacin y/o cambio no es muy demorado.

Red # 3 sucursal Ciudad de Medelln Bogot

Red # 3 sucursal Ciudad de Medelln Bogot

Recurso del sistema

Numero
1

| Riesgo(R)

| Nombre

| Routers

|8

| Importancia(W)

||||
|8

| 64

| Riesgo evaluado(R*W) |

| Servidor

| 10

| 10

| 100

| Switch

|6

|7

| 42

| Impresora

|5

|4

| 20

| Terminal

|7

|6

| 42

* Router:

R= 8, W= 8

* Servidor:

R=10, W=10

* Switch:

R= 6, W= 7

* Impresora:

R= 5, W= 4

* Terminal:

R= 7, W=6

Router: Este recurso tiene R=8 por que es el conecta esta red con la de las dems sucursales y
tiene
W=8 porque perdiendo este recurso se perdera la conexin y comunicacin con las redes de
las otras
sucursales.
Servidor: Este recurso tiene R=10 y W=10 por que es el que controla y administra la red y es de
Vital
importancia para la seguridad de la red.
Switch: Este recurso tiene R=6 y W=7 por que por medio de l se conecta la red local.
Impresora: Este recurso tiene R=5 por que por medio de ella se obtiene evidencia fsica del
trabajo
realizado en la compaa y W=4 por que su reparacin y/o cambio se puede hacer en poco
tiempo y no
es tan costoso.
Terminal: Este recurso tiene R=7 por que es el recurso directo de trabajo de la empresa y W 6
por que
su reparacin y/o cambio no es muy demorado.

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario
disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina
una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de
sus privilegios.
Sede principal ciudad de Medelln

RECURSO DEL SISTEMA | Riesgo

Nmero

| Nombre

| Tipo de Acceso

| Permisos Otorgados |

||||

| Cuarto de Servidores | Grupo de Mantenimiento

|

| Software contable

| Archivo

| Local | Lectura y escritura

| Grupo de Contadores, auditores

| Local | Lectura |

| Grupo de Recursos Humanos | Local | Lectura y Escritura

4
| Base de datos Clientes
Lectura y Escritura
|

| Grupo de Ventas y Cobros

| Grupo de Gerentes

| Local | Lectura y Escritura

| Tipo de Acceso

| Permisos Otorgados |

| Aplicacin de inventarios
|

| Local y Remoto |

Sede #2 Ciudad de Medelln

RECURSO DEL SISTEMA | Riesgo
Nmero
1

| Nombre

| Software contable

||||
| Grupo de

Contadores, auditores | Local | Lectura

2

| Cuarto de Servidores | Grupo de Mantenimiento

|

3
| Bases de datos clientes en mora
Lectura |
4
| Aplicacin de inventarios
Escritura
|

| Local | Lectura y escritura

| Grupo de Cobro Jurdico

| Remoto |

| Grupo de Gerentes

| Remoto

| Lectura y

| Tipo de Acceso

| Permisos Otorgados |

Sede # 3 Ciudad de Medelln

RECURSO DEL SISTEMA | Riesgo

Nmero

| Nombre

||||

| Software contable

| Grupo de Contadores, auditores

| Cuarto de Servidores | Grupo de Mantenimiento

|

3
| Bases de datos clientes en mora
Lectura |
4
| Aplicacin de inventarios
Escritura
|

| Local | Lectura |

| Local | Lectura y escritura

| Grupo de Cobro Jurdico

| Grupo de Gerentes

| Remoto

| Remoto |
| Lectura y

Sede Ciudad de Bogot

RECURSO DEL SISTEMA | Riesgo
Nmero

| Nombre

| Tipo de Acceso

| Permisos Otorgados |

||||

| Software contable

| Grupo de Contadores, auditores

| Cuarto de Servidores | Grupo de Mantenimiento

|

3
| Bases de datos clientes en mora
Lectura |
4
| Aplicacin de inventarios
Escritura
|

| Local | Lectura |

| Local | Lectura y escritura

| Grupo de Cobro Jurdico

| Grupo de Gerentes

| Remoto

| Remoto |
| Lectura y

Preguntas propositivas
1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las
caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que
sustentarn
el manual de procedimientos que se disear luego.
Programa de seguridad
* Separacin de labores (control y vigilancia) entre los departamentos y/o partes involucradas
en la operatividad de la organizacin.
* Creacin de grupos de trabajos con funciones determinadas.
* Firma de acuerdos de confidencialidad.
* Protocolos para manejo de informacin de forma segura.
* Encriptacin de datos.
* Generacin de contraseas de accesos con beneficios especficos y restricciones a ciertos
grupos.
* Auditoras internas programadas secuencialmente.
* Vigilancia de los procesos realizados en los diferentes estamentos de la compaa
permanentemente.
* Realizacin de backups permanentes en servidores diferentes a los que se encuentran en la
misma organizacin.
* Documentacin de todos los procesos realizados en la misma.
Plan de accin
* Monitoreo de procesos.

* Actualizacin y/o nueva asignacin de contraseas de acceso.

* Socializacin y fijacin de nuevas metas para blindar cada uno de los procesos ante ataques
informticos.
* Auditorias.
* Capacitaciones permanentes en aplicacin de las polticas de seguridad informtica y cmo
ests influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de
La teora.

Procedimientos
* Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios y
restricciones en los sistemas de la empresa.
* Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado
inactiva por un lapso de tiempo prolongado.
* Procedimiento de verificacin de acceso: obtener informacin de cada uno de los procesos
realizados por dicho usuario, y detectar ciertas irregularidades de navegabilidad.
* Procedimiento para el chequeo de trfico de red: Obtener informacin referente a la
anomala en la utilizacin de programas no autorizados.
* Procedimiento para chequeo de volmenes de correo: Entre otras la vigilancia en la
informacin que se transmite.
* Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de
usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar posibles
fraudes.
* Procedimiento de modificacin de archivos: realiza el seguimiento a los archivos
modificados, as como genera avisos al momento en que se intenta modificar un archivo no
permitido.
* Procedimiento para resguardo de copias de seguridad: determina la ubicacin exacta de las
copias de seguridad para su integridad por si ocurre un accidente.
* Procedimiento para la verificacin de mquinas de usuarios: realizar vigilancia sobre el
equipo de un usuario y as detectar posibles amenazas.
*
Procedimiento para el monitoreo de los puertos en la red: idntica la habilitacin de los
puertos y su funcionalidad.

* Procedimiento para dar a conocer las nuevas normas de seguridad: participa de manera
anticipa la implementacin de las nuevas normas, y su funcin dentro de la organizacin.
* Procedimiento para la determinacin de identificacin del usuario y para el grupo de
pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos
beneficios y restricciones.
* Procedimiento para recuperar informacin: Indispensable a la hora de preservar la
informacin par cuando se necesite abrir un backups para restaurar la informacin que se
necesita revisar.
* Procedimiento para la deteccin de usuarios no autorizados: genera aviso al sistema del
ingreso de usuarios no autorizados a la red.
* Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios
especiales para ingresar a la plataforma.
* Procedimiento para actualizacin de contraseas de acceso: es recomendable actualizar
contraseas de acceso para evitar posibles fraudes.
* Procedimiento para la instalacin y utilizacin de nuevos software: verificar la
compatibilidad y seguridad de los mismos en un ambiente seguro antes de implementarlos en
la organizacin.
* Procedimiento de conectividad en rede inalmbricas: Permitir conexin de redes
inalmbricas a usuarios con esos beneficio