Nombre EULOGIO DUARTE

Fecha 06 / 27 / 2017
Actividad EVIDENCIA 2
Tema POLITICAS GENERALES DE SEGURIDAD

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la
gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a través del cual la
proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de
procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender
la forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente
diseñado, otro plan para presentar las PSI a los miembros de la organización en
donde se evidencie la interpretación de las recomendaciones para mostrar las
políticas.

R/

Para alcanzar la competitividad requerida en la actualidad en el ámbito comercial y

demás, se hace necesario la implementación y el cumplimiento efectivo de una serie
de normas que minimicen el impacto de los riesgos que amenazan el funcionamiento
de la organización, partiendo, de entender que es importante el aseguramiento de los
activos de la misma. Es por todo lo anterior que se requiere un compromiso total
para crear confianza en nuestros clientes y en nuestros proveedores, para lo cual se
debe demostrar la fiabilidad de los procesos que se realizan en la compañía, y
determinar la minimización de riesgos a los que están sometidos los procesos de la
misma, dado que no siempre se está excepto de incidentes externos e internos que
afecten la organización y su funcionalidad.

Para cumplir con los propósitos anteriores se deben seguir unos lineamientos como:

1 Redes y seguridad
Actividad 2
  Estudios de cada uno de los riesgos de carácter informático que sean
propensos a afectar la funcionalidad de un elemento, lo cual a ayudará en la
determinación de los pasos a seguir para la implementación de las PSI, sobre
el mismo.
 Relacionar él o los elementos identificados como posibles destinos de riesgo
informático, a su respectivo ente regulador y/o administrador, dado que este
es quien posee la facultad para explicar la funcionalidad del mismo, y como
esto afecta al resto de la organización si llegara a caer.
 Exposición de los beneficios para la organización, después de implementar
las PSI, en cada uno de los elementos anteriormente identificados, pero de
igual forma se debe mencionar cada uno de los riesgos a los cuales están
expuestos para concientizar a la empresa de lo importante que la
implementación de las PSI también se deben otorgar las responsabilidades
en la utilización de los elementos señalados.
 Identificar quienes dirigir u operan lo recursos o elementos con factores de
riesgo, para darle soporte en la funcionalidad de las PSI y como utilizarlas
en el proceso de cada recurso, así como aceptación de responsabilidades por
parte de los operadores de los elementos, dado que él tiene el mayor
compromiso de preservar la funcionalidad y el respaldo de los recursos a su
cargo.
 Quizás uno de los aspectos más importantes es la monitorización y/ o
vigilancia cada recurso identificado como posible receptor de riesgos
informáticos, de igual forma a los operadores directos e indirectos de los
mismos, lo cual se ejecutan con la simple finalidad de realizar una
actualización completa y fácil de las PSI, en el momento que sea necesario,
pero con la ayuda de evidencia de cada proceso realizado antes de la
actualización programada.

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a
los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales
de una red.

R/

Recursos Nombre Causa Efecto

Afectados
Servicio Servidor Web para Ataque por medio Se conoce la
transacciones de Man–in–The- Información del
Bancarias Middle Ó Phishing Cliente y le Violan

2 Redes y seguridad
Actividad 2
 la Información
Personal.
Servicio Servicio Web Ataque Dos No hay acceso a la
página Internet
Bloqueado
Físico Servicio Telefónico Cable de ADSL No hay
Cortado comunicación con
la empresa
Físico Computador Fuente de Poder No enciende en pc
Servicio Servidor de Bases Ingreso no Violan la seguridad
de Datos autorizado de la compañía y se
modifica la base de
datos de forma no
Autorizada

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente,

un conjunto de elementos que permitan el funcionamiento de esa topología,
como routers, servidores, terminales, etc. Genere una tabla como la presentada
en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje
asignado a cada elemento debe ser explicado en detalle.

R/

Lo Primero que se debe hacer es un plan de contingencia ya que debemos saber cuáles
son los mayores riesgos para nuestra compañía la calificación se hará de 1 al 10 donde
1 es el riesgo mínimo y 10 será el recurso con más riesgo lo cual se deduce que 1 es el
riesgo de importancia mínimo y 10 es el riesgo con mayor importancia.

NOMBRE RIESGO IMPORTANCIA RIESGO DETALLE

(R) (W) EVALUADO
(RXW)
Base de 10 10 100 Esta es la
Datos razón de ser
de la
empresa
porque allí
están
almacenados
los detalles
de los
3 Redes y seguridad
Actividad 2
 clientes y los
productos de
la empresa.
Servidor 8 10 80 Es un Equipo
Web costoso por
el tema de
los servicios
que están
montados.
Swith 3 5 15 El swith es
un equipo
activo que se
puede
cambiar,
resetear y
volver a
configurar.
PC 7 3 21 Son los
equipos lo
cual los
empleados
procesan
información
se puede
modificar y
cambiar
piezas
fácilmente.
Impresora 2 1 2 Recurso para
la
elaboración
de trabajos lo
cual si se
daña se
cambia con
facilidad.

2. Para generar la vigilancia del plan de acción y del programa de seguridad, es

necesario diseñar grupos de usuarios para acceder a determinados recursos de la
organización. Defina una tabla para cada sucursal en la que explique los grupos
de usuarios definidos y el porqué de sus privilegios.

R/

4 Redes y seguridad
Actividad 2
 NOMBRE GRUPO DE TIPO DE PRIVILEGIOS
USUARIOS ACCESO
Base de Datos Empleados y Local Solo Lectura
Administración
Base de Datos Clientes, Producto Local Solo Lectura
y Presupuesto
Acceso a Internet Usuario Local Solo Lectura
Servidor Pagina Técnicos de Local Lectura y
Web Mantenimiento Escritura.
Acceso a Administradores Local y Remoto Lectura y
Servidor, Router y de red Escritura
Swith
Acceso a Equipos Técnicos de Local Todos
Sistemas

Preguntas propositivas

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en

cuenta las características aprendidas de las PSI, cree el programa de seguridad y
el plan de acción que sustentarán el manual de procedimientos que se diseñará
luego.

R/

PROGRAMA DE SEGURIDAD

 Separación de labores (control y vigilancia) entre los departamentos y/o

partes involucradas en la operatividad de a organización.
 Creación de grupos de grupos de trabajos con funciones determinadas.
 Firma de acuerdos de confidencialidad.
 Protocolos para manejo de información de forma segura.
 Encriptación de datos.
 Generación de contraseñas de acceso con beneficios específicos y
restringidos a ciertos grupos.
 Auditorías internas programadas secuencialmente.
 Vigilancia de los procesos realizados en los diferentes estamentos de la
compañía permanentemente.

5 Redes y seguridad
Actividad 2
  Realización de Backups permanentemente en servidores diferentes a los que
se encuentra en la misma organización.
 Documentación de todos los procesos realizados den la misma.

PLAN DE ACCIÓN

 Monitoreo de procesos.
 Actualización y/o nueva actualización de contraseñas de acceso.
 Socialización y fijación de nuevas metas para brindar cada uno de los
procesos ante los ataques informáticos.
 Auditorias
 Capacitaciones permanentes en aplicación de la política de seguridad
informática y como esta influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teoría.

R/

 Procedimiento para Acceso a la red

 Procedimiento de chequeo del sistema
 Procedimiento constante de cambio de contraseña segura con combinación de
letras, números y caracteres.
 Procedimiento para el mantenimiento de Servidores
 Procedimiento para la modificación de las bases de datos
 Procedimiento para el mantenimiento de los equipos activos de la red
 Procedimiento para verificar el tráfico de la red.
 Procedimiento para guardar las copias de seguridad.
 Procedimiento para la recuperación de información.
 Procedimiento Monitorio de conexiones activas

6 Redes y seguridad
Actividad 2