Actividad 2

Recomendaciones para presentar la Actividad:

• Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás

Evidencias 2.
• Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre MARIANO JOSE ROMERO GUTIERREZ

Fecha 12-08-2018
Actividad
Actividad 2

Tema Políticas generales de seguridad

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual
crear un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a
cabo diversas actividades previas, y se debe entender la forma en la que se hacen los
procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente
diseñado, otro plan para presentar las PSI a los miembros de la organización en
donde se evidencie la interpretación de las recomendaciones para mostrar las
políticas.
R/ Para la implementación de este plan tendremos en cuenta para su elaboración las
principales recomendaciones a la hora de llevar a cabo esta acción lo primero sería
hacer una evaluación de riesgos informáticos, para valorar los elementos sobre los
cuales serán aplicadas las PSI.
Tenemos la siguiente información de la organización:
Nombre: En-core
Localización principal: Medellín, Colombia.
Servicio prestado: investigación tecnológica para las empresas del país.
Objeto de las PSI: maneja datos críticos y secretos para la competencia. Con esta
información podemos dar un informe de los riesgos informático, teniendo claro, que
por el servicio prestado por la empresa su fuente de capital y en si su principal
recurso es la información obtenida en sus investigaciones.
 Recomendaciones para llevar a cabo la implementación de las PSI:

1. Estudios de cada uno de los riesgos de carácter informático que sean propensos a
afectar la funcionalidad de un elemento.
2. Identificar quienes dirigen u operan los recursos con factores de riesgo, para darle
soporte en la funcionalidad de las PSI y como utilizarlas en los proceso de cada
recurso.
3. Importante monitorizar y vigilar cada recurso identificado como posible receptor de
riesgo informático, en el momento que sea necesario.

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a
los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales
de una red.

Ejemplo 1: Modificación.

Recurso afectado Nombre Causa Efecto

lógico Listado de partes Instalación de Conflicto de partes

pendientes programas piratas pendientes y partes
con virus por no comprar

Servicio P.D.E(programa Dispositivo Producción errónea

diseñador de controlador
equipos)

Ejemplo 2: Intercepción

Recurso afectado Nombre Causa Efecto

lógico Base de datos Software espía Robo de información

clientes e identidad

Servicio Suministro de Conector de señal Lentitud en la

internet y telefonía ilegal conexiona internet

Ejemplo 2: Producción

Recurso afectado Nombre Causa Efecto

lógico Ingresos por Instalación de Aparición de fondos

consignaciones software que que no reales
bancarias arroja
consignaciones no
autorizadas

Servicio Acceso a Acceso no autorizada Generación de

proveedores por robo de información falsa por
contraseña parte de los
proveedores
 1 Redes y seguridad
Actividad 2

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente,

un conjunto de elementos que permitan el funcionamiento de esa topología,
como routers, servidores, terminales, etc. Genere una tabla como la presentada
en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje
asignado a cada elemento debe ser explicado en detalle.
R/
 Computadoras de backup: r=3 w 1, 3*1=3
 Impresoras: r=6 w=3 6*3=18
 Redes: r=10 w=10 10*10=100
 Servidores: r=10 w=10 10*10=100
 Recursos humanos: r=10 w=10 10*10=100
 Equipos de climatización: r=10 w=7 10*7=70
 Bases de datos de las contraseñas de acceso: r=10 w=8 10*8=80

Recursos del Importancia (R) Perdida (W) Riesgo elevado

sistema (R*W)
# Número
1 Equipos backup 3 1
2 impresoras 6 3
3 Equipo de 10 7
climatización
4 Bases de datos 10 8
5 redes 10 10
6 servidores 10 10
7 Recurso 10 10
humano

N°1: Este recurso un R=3 porque dado que la información contenida en ellos tiene un
respaldo se pueden reemplazar fácilmente, y su puntaje es w=1.
N°2: Se le asignó un R=6 dado que atraes de ellas se obtienen evidencias físicas de las
operaciones realizadas en la organización y tiene un W=3 ya que se pueden
reemplazar en cuestión de tiempo cortó.

N°3: Su W=10 porque al no estar funcionando por mucho tiempo provocan el

recalentamiento de los equipos informáticos y a su W=7 dado que se pueden
reemplazar por el personal técnico.

N°4: El R=10 porque en ellas se encuentra la información de todo lo relacionado a la

empresa y su W=8 dado que existe un respaldo anteriormente mencionado que
almacena copias de las mismas.
N°5: Su R=10 porque son medios de conexión entre diferentes entes de la organización y
su W=10 debido a que con su ausencia la organización pierde funcionalidad por cuenta
de la falta de comunicación.

N°6: El r=10 porque es el centro de toda la operatividad de la organización y la información

contenida es vital para la funcionalidad de la misma, y por ende su W=10.

N°7: Su R=10, porque es uno de los recursos más valiosos de una organización dado que
conoce cómo funciona la operación de dicha compañía. Su W=10 porque sin este
recurso la organización pierde eficiencia y operatividad en los diferentes procesos para
los cuales se ha implementado las PSI.

2. Para generar la vigilancia del plan de acción y del programa de seguridad, es

necesario diseñar grupos de usuarios para acceder a determinados recursos de
la organización. Defina una tabla para cada sucursal en la que explique los grupos
de usuarios definidos y el porqué de sus privilegios.

 Oficina principal

Recurso del sistema Riesgo Tipo de Permisos

Numero Nombre acceso otorgados

1 Cuarto de Grupo de local Lectura y

servidores mantenimiento escritura
2 Software Grupo de local lectura
contable contadores y
auditores
3 archivo Grupo de Local Lectura y
recursos escritura
humanos
4 Bases de Grupo de ventas Local y Lectura y
datos y cobros remoto escritura
clientes

 sucursal
Riesgo Tipo de Permisos
numero Nombre acceso otorgados
1 Bases de datos Grupo remoto lectura
de clientes en de cobro
mora jurídico
2 Aplicación de Grupo remoto Lectura y
inventarios de escritura
gerentes
Preguntas propositivas

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en

cuenta las características aprendidas de las PSI, cree el programa de seguridad
y el plan de acción que sustentarán el manual de procedimientos que se diseñará
luego.
Programa de seguridad
 Separación de labores (control y vigilancia) entre los departamentos
 Creación de grupos de trabajo con funciones determinadas
 Firma de acuerdo de confidencialidad
 Protocolos para manejo de información segura
 Encriptación de datos
 Generación de contraseña de acceso con beneficios específicos
 Vigilancia de los diferentes procesos en los departamentos
 Respaldo de información permanentes en servidores
 Documentación de todos los procesos realizados en la misma.

Plan de acción

 Monitoreo de procesos
 Actualización y nueva asignación de contraseñas de acceso
 Socialización y fijación de nuevas metas para brindar cada uno de los procesos
ante ataques informáticos.
 Auditorias
 Capacitaciones permanentes en aplicación de las políticas de seguridad
informática y como estas influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben
ser desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teoría.

Procedimientos

 Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con

beneficios y restricciones en los sistemas de la empresa
 Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha
estado inactiva por un lapso de tiempo prolongado.
 Procedimiento para el chequeo de tráfico de la red: obtener información
referente a la anomalía en la utilización de programas no autorizados.
 Procedimiento de modificación de archivo: se realiza el seguimiento a los
archivos modificados, así como genera avisos al momento en que se intenta
modificar un archivo no permitido.
 Procedimiento para el monitoreo de conexiones activas: detecta cuando una
cuenta de usuario ha permanecido cierto tiempo inactiva, para su posterior
inhabilidad y evitar posibles fraudes.
 Procedimiento para chequeo de volúmenes de correo: entre otras la vigilancia
en la información que se trasmite.
 Procedimiento para respaldo de copias de seguridad: determina la ubicación
exacta de las copias de seguridad para su integridad por si ocurre un accidente