Rodrigo Bolaos Portilla Febrero 14 de 2013 Semana 2 Polticas generales de seguridad Fecha Actividad Tema

Nombre

Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado degenerar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las recomendaciones para mostrar las polticas. RTA: Se debe garantizar la seguridad de los sistemas informticos y eliminar el mal uso de los datos, algunos de ellos tales como acceso no autorizado a la informacin o venta de datos a la competencia. La responsabilidad del manejo las PSI recae en los encargados de esta rea, pero el cumplimiento de estos debe ser de toda la gente que trabaja en la empresa inclusive los altos mandos. 2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red. RTA: Un recurso fsico afectado puede ser un router ya que puede presentar una des configuracin y no transmitir apropiadamente as que no enva la informacin. Un recurso lgico puede ser un virus, la informacin ha sido corrompida y no se puede acceder a ella.

RECURSO AFECTADO NOMBRE

CAUSA

EFECTO

Lgico

Instalacin de un Ingresos por programa que Aparece la cuenta de la compaa consignaciones arroja con fondos no reales. bancarias consignaciones no realizadas Acceso proveedores Acceso no autorizado por contrasea robada Generacin de informacin falsa de los proveedores, as como el estado actual de los pagos de los mismos.

Servicios

Preguntas argumentativas 1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topologa, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. Nombre Riesgo Evaluado Importancia(R) Prdida(W) (R*W) 6 Routers 6 Fibras Opticas 7 Bridge 7 Servidor 10 5 7 3 10 30 30 49 21 100

Computadores 5

La fibra ptica es de mayor importancia pues si colapsa o es interrumpida de alguna forma ser un problema para transmitir la informacin y mantener en contacto la empresa y el servidor es un 100 por obvias razones, es el que contiene los datos de la empresa y por lo tanto el segundo recurso en importancia luego del recurso humano por supuesto. Tanto computadores como routers y brige tienen ese puntaje por q son reemplazables y la informacin que podra estar en los pc tambin se encontrara en el servidor.

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de sus privilegios. RTA: Oficina Principal RECURSO DEL SISTEMA Nmero Nombre Cuarto de 1 Servidores 2 3 4 Software contable Archivo Base de datos Clientes

Riesgo Grupo de Mantenimiento Grupo de Contadores, auditores Grupo de Recursos Humanos

Tipo de Acceso Local Local Local

Permisos Otorgados Lectura y escritura Lectura Lectura y Escritura Lectura y Escritura

Grupo de Ventas Local y Remoto y Cobros

Sucursal RECURSO DEL SISTEMA Riesgo Nmero Nombre Bases de datos Grupo de Cobro 1 clientes en Jurdico mora Aplicacin Grupo de 2 de Gerentes inventarios

Tipo de Acceso Remoto

Permisos Otorgados Lectura Lectura y Escritura

Remoto

Preguntas propositivas

1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que sustentarn el manual de procedimientos que se disear luego. RTA: Programa de seguridad Una PSI debe abarcar: Responsabilidad en todos los niveles de la empresa y en cada uno de los servicios, recursos que esta ofrece. Responsables de los usuarios con respecto a la informacin que generan y a la que tienen acceso. Se debe debe especificar la autoridad que maneja los correctivos y actuaciones que se deben tomar contra los empleados que cometen faltas, as podremos dar indicaciones sobre las sanciones pertinentes en cada caso. Constante Auditoria y supervisin para el cumplimiento constante de estas sin afectar la operacin. Plan de accin Se debe seguir un proceso de mejoras y actualizacin, sujeto a los constantes cambios corporativos de la empresa tales como crecimiento de la planta de personal o nuevos equipos. Definicin de violaciones y las consecuencias del no cumplimiento de la poltica. Aplicar los requerimientos mnimos para la configuracin de la seguridad de los sistemas.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teora. RTA: Procedimiento para la instalacin y utilizacin de nuevos software Procedimiento de alta de cuenta de usuario Procedimiento de baja de cuenta de usuario

Procedimiento de contrasea segura Procedimiento de conectividad en rede inalmbricas Procedimiento de recuperacin de informacin Procedimiento para actualizacin de contraseas