Nombre: Jacksson Sonny González Bayona

Fecha: 27 de junio de 2019

Actividad: Actividad_2_CRS
Tema: Políticas generales de seguridad
PREGUNTAS INTERPRETATIVAS
1. Como gestor de la seguridad de la red de la empresa, usted es el
encargado de generar las PSI de la misma. Desarrolle, basado en su
plan anteriormente diseñado, otro plan para presentar las PSI a los
miembros de la organización en donde se evidencie la interpretación
de las recomendaciones para mostrar las políticas.
Como primera medida, se debe comenzar con:
Elaborar un cronograma de actividades donde se programe cada una de las
acciones a realizar, y lo actores involucrados.
Estructurar las capacitaciones a realizar, teniendo en cuenta los niveles de
conocimiento y labores de cada miembro o grupos de la organización.
Evidenciar con casos reales, en la medida de lo posible las consecuencias de la
falta de una política de seguridad de la información.
Generar constantemente mensajes y publicidad alusivos a una adecuada
implementación de la política de seguridad informática, sus beneficios y
consecuencias para la organización.
2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al
plan de presentación a los miembros de la organización, al menos 2
eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos
de alteraciones principales de una red.
3.
INTERRUPCION
RECURSO NOMBRE CAUSA EFECTO
AFECTADO
Los equipos no reciben IP para conectarse a
Físico Daño fuente de internet. No hay servicio de correo. No se alimenta
Servidor DHCP
poder bases de datos en red.

Licencia corporativa Vencimiento de

Servicio
office licencia No abren los procesadores de texto.

INTERCEPCIÓN
Servidor de respaldo Se colgó a la red un Ingreso a la base de datos y saca información
Físico
bases de datos equipo no autorizado confidencial
Personal no
Informe semanal del autorizado recoge
Lógico Fuga de información a la competencia
grupo de desarrollo informe dejado sobre
escritorio
 MODIFICACIÓN
Servicio de Active Ingreso personal no
Modifica policitas y restricciones a usuarios no
Lógico Directory servidor autorizado
autorizados.
Principal remotamente
Alguien asigna
dirección de puerta
Físico Servidor DHCP de enlace a nuevo No hay salida a la nube (se cae el internet)
nodo de manera
estática
PRODUCCIÓN IMPROPIA DE INFORMACIÓN
Base de datos Alguien modifica el
El contador no se percata de lo que la empresa
Lógico aplicativo de pagos valor de las
obtuvo realmente por los servicios.
en línea Ganancias
Ingreso no
Archivo plano para el autorizado al equipo
Se consigna el valor a terceras personas (hurto del
Servicio descargue y pago de de tesorería y
sueldo)
la nómina mensual modifican los
números de cuentas
4.

PREGUNTAS ARGUMENTATIVAS
1. Su empresa debe tener, de acuerdo a la topología de red definida
anteriormente, un conjunto de elementos que permitan el funcionamiento
de esa topología, como routers, servidores, terminales, etc. Genere una
tabla como la presentada en la teoría, en la que tabule al menos 5
elementos por sucursal. El puntaje asignado a cada elemento debe ser
explicado en detalle.

Recursos del sistema Riesgo (R) Importancia (W) Riego

Evaluado
numero nombre
1 Servidor 10 10 100
2 Modem principal 10 10 100
3 Switch 6 7 42
4 Terminales 7 8 56
5 impresoras 2 1 2

El servidor y el modem principal son los más importantes y por lo cual son
de mucho riesgo esto porque si no funcionan bien no abra sistemas, correo
electrónico e internet.

El Switch y el pc o terminales son elementos importantes a para la red, pero

no tan relevaste porque se debe garantizar su buen funcionamiento y
establecer su seguridad, pero ese sistema no se encuentra en tan alto
riesgo

La impresora no es un elemento tan importante y no es tan riegos.

2. Para generar la vigilancia del plan de acción y del programa de seguridad,
es necesario diseñar grupos de usuarios para acceder a determinados
recursos de la organización. Defina una tabla para cada sucursal en la que
explique los grupos de usuarios definidos y el porqué de sus privilegios.

Recursos del sistema Grupo de usuarios Tipo de Permisos

acceso otorgados
numero nombre
1 Sistemas Grupo de usuarios Web Lectura y
institucionales administrativos escritura
2 Servidor de Grupo Local Lectura y
archivos administradores de escritura
recursos
informáticos

PREGUNTAS PROPOSITIVAS
1. Usando el diagrama de análisis para generar un plan de seguridad, y
teniendo en cuenta las características aprendidas de las PSI, cree el
programa de seguridad y el plan de acción que sustentarán el manual
de procedimientos que se diseñará luego.
Programa de seguridad

 Capacitación para la divulgación del programa de seguridad.

 Control de accesos a las instalaciones por dependencias (lector
biométrico).
 Unificación de contraseñas. Solo dos funcionarios (jefe grupo seguridad
de la información y designado por el) tendrá conocimiento de todas las
contraseñas de acceso; además contaran con todos los privilegios para
administrar cuentas de usuarios y privilegios para el resto de empleados
de la empresa.
 Creación de usuarios y contraseñas con privilegios de acuerdo al grupo
de trabajo y funciones realizadas.
 Diligenciamiento de formatos para la entrega de usuario y
confidencialidad.
 Creación de políticas de contraseñas seguras y su cambio periódico.
 Clasificación de la información de acuerdo a su relevancia (confidencial,
reservada, interna) y establecimiento de protocolos para el manejo de la
misma de acuerdo a su clasificación.
 Conexión a la red mediante puntos de cableado estructurado.
 Encriptación de datos para el envió de información mediante correo
electrónico y medios de almacenamiento masivo.
 Revistas a los equipos de cómputo trimestrales.
  Realización de backups diarios a los servidores que almacenan la
información.
 Vigilancia de los procesos realizados en los diferentes estamentos de la
compañía permanentemente y almacenamiento de los .log
 Documentación de todos los procesos realizados en la misma.

2. Enuncie todos los procedimientos que debe tener en su empresa, y

que deben ser desarrollados en el manual de procedimientos. Agregue
los que considere necesarios, principalmente procedimientos
diferentes a los de la teoría.

PROCEDIMIENTOS
 Ingreso a la empresa: Todo funcionario para el ingreso a la empresa
debe acercarse al grupo de seguridad de la información para el registro
de su huella y asi obtener ingreso de acuerdo a su dependencia.

 Usuarios empresariales: Todo funcionario debe contar con un usuario

empresarial para el ingreso a los equipos de cómputo creado en el grupo
de seguridad de la información

 Creación de Usuarios: Los usuarios se crearán siguiendo la sintaxis

primera letra de primer nombre seguido del primer apellido; en caso de
homónimos se asignarán números al final del nombre para
diferenciarlos. Dichos usuarios contaran con restricciones de acuerdo al
grupo donde vaya a adelantar sus labores.

 Entrega de usuarios: Todo funcionario deberá diligenciar los formatos

“entrega de usuario SO-ES-001 y confidencialidad de la información SO-
ES-002”. Así mismo, antes de salir a comisión, vacaciones o retiro de la
empresa deberá entregar el usuario a la oficina de seguridad de la
información para su respectiva inhabilitación o eliminación.

 Conexión de equipos a la red: Todo equipo debe conectarse a la red

mediante cableado estructurado categoría 6ª. La asignación de IP Se
realizará mediante servidor DHCP. El administrador de la red realizará
las reservas activas y mantendrá el segmento cerrado.

 Atención y soporte a requerimientos técnicos: Diligenciara formato

de registro de requerimientos, donde quedara plasmado el tipo de
 soporte, solución brindada y observaciones de las novedades
encontradas.

 Asignación de usuarios para aplicativos: El grupo de seguridad de la

información creara y asignara usuarios para el ingreso alimentación y
modificación de los aplicativos de la empresa.

 Respaldo de la información en servidor: Se debe realizar diariamente

en horas de la noche por un funcionario designado por el grupo de
seguridad de la información.

 Almacenamiento de cintas de respaldo: Se guardarán en un espacio

que cumpla con los estándares de seguridad.

 Configuración de equipos e instalación de software: Se realizará por

funcionarios con contraseñas administradoras del grupo de atención a
soporte a requerimientos técnicos.

 Revista a equipos de cómputo: Se realizará una revista trimestral a

todos los equipos de cómputo. Se diligenciará el formato de lista de
chequeo donde quedaran registrado los datos del computador y las
novedades encontradas

 Envió de información mediante correos electrónicos: Se debe

mediante la cuenta de correo oficial de la empresa, encriptada mediante
software autorizado.

 Equipos en dominio: Todos los computadores se deben subir al

dominio de la empresa.
Interacción son el simulador