Jaime Alberto Salamanca Maquin

11/03/2019
ACTIVIDAD 2
POLITICAS GENERALES DE SEGURIDAD

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar
a la gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI),
es su objetivo actual crear un manual de procedimientos para su empresa, a través del
cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual
de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe
entender la forma en la que se hacen los procedimientos del manual.

PREGUNTAS INTERPRETATIVAS

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado,
otro plan para presentar las PSI a los miembros de la organización en donde se
evidencie la interpretación de las recomendaciones para mostrar las políticas.

PRESENTACIÓN DE LAS PSI

Para logar la competencia requerida en el ámbito comercial y demás, se hace
necesario la ejecución y el cumplimiento de unas normas que reduzcan el impacto
de los peligros que amenazan el trabajo de nuestra organización, hay que
entender que es importante el aseguramiento de los activos de la misma. Es por
todo esto que se requiere un compromiso para generar esa confianza en nuestros
clientes y en los proveedores, para lo cual se debe demostrar la confiabilidad de
los procesos que se realizan en la compañía, y establecer la reducción de peligros
a los que están sometidos los procesos de la misma, dado que no siempre se está
excepto de incidentes externos e internos que afecten la organización y su
funcionalidad. Para cumplir con los propósitos anteriores se deben seguir unos
lineamientos como:
a) Estudiar los riesgos de carácter informático que sean vulnerables a afectar la
funcionalidad de un elemento, lo que ayudará en la consecución de los pasos a
seguir para la implementación de las PSI, sobre el mismo.
b) Relacionar los elementos identificados como posibles destinos de riesgo
informático, a su respectivo ente regulador y/o administrador, dado que este es
quién posee la facultad para explicar la funcionalidad del mismo, y como este
afecta al resto de la organización si llegará a caer.
c) Dar a conocer de los beneficios para la empresa, después de realizar las PSI,
en cada uno de los elementos anteriormente identificados, pero de igual también
se deben dar las responsabilidades en el uso de los elementos señalados.
d) Identificar la forma como se debe indicar cada uno de los riesgos a los
cuales están expuesto para concientizar a la empresa de lo importante que es la
 ejecución de las PSI, dirigen y/o operan los recursos o elementos con factores de
riesgo, para darle soporte en la funcionalidad de las PSI y como utilizarlas en los
procesos de cada recurso, así como la aceptación de responsabilidades por parte
de los operadores de los elementos, dado que ellos tienen el mayor compromiso
de preservar la funcionalidad y el respaldo de los recursos a su cargo.
e) Posiblemente una del las características más importantes a tener en cuenta
es la monitorización y/o vigilancia de cada recurso identificado como posible
receptor de riesgos informáticos, de igual forma el rastreo a las operadores
directos e indirectos de los mismos, esto se ejecutan con la simple finalidad de
realizar una actualización completa y fácil de las PSI, en el momento que sea
necesario, pero con la ayuda de evidencia de cada proceso realizado antes de la
actualización programada

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a los de
la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red.

Ejemplo 1: Modificación. RECURSO AFECTADO NOMBRE CAUSA EFECTO Lógico

Listado partes por comprar Instalación de software malintencionado Conflicto
partes por comprar y partes por no comprar Servicio P.D.E (Programa Diseñador
de Equipos) Dispositivo controlador Producción errónea Ejemplo N° 2 Intercepción.
RECURSO AFECTADO NOMBRE CAUSA EFECTO Lógico Base de datos Clientes
Software espía Robo de información Servicio Suministro de Internet y telefonía
Conector de señal ilegal e I interceptación ilegal Lentitud en la conexión a internet
e interceptación de teléfonos. Ejemplo N° 3 Producción. RECURSO AFECTADO
NOMBRE CAUSA EFECTO Lógico Ingresos por consignaciones bancarias Instalación
de un programa que arroja consignaciones no realizadas Aparece la cuenta de la
compañía con fondos no reales.
Servicio Acceso proveedores Acceso no autorizado por contraseña robada
Generación de información falsa de los proveedores, así como el estado actual de
los pagos de los mismos.

PREGUNTAS ARGUMENTATIVAS

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un

conjunto de elementos que permitan el funcionamiento de esa topología, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la teoría,
en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada
elemento debe ser explicado en detalle.

 Computadores con respaldo de Disco duro: R= 3, w= 1 3*1=3  Impresoras:

R= 6, W= 3 6*3=18  Redes: R=10, W=10 10*10=100  Servidores: R=10,
W=10 10*10=100  Recurso: Humano: R=10, W=10 10*10=100  Equipos de
refrigeración de recursos informáticos: R=10,W=810*7=70  Bases de datos
de las contraseñas de acceso: R=10, W=8 10*8=80
 Recursos del Sistema Importancia(R) Pérdida (W) Riesgo Evaluado
(R*W) N° Nombre 1 Equipo. Con resp. D.D 3 1 2 Impresoras 6 3 3
Equipo. de Refrigeración 10 7 4 Bases de Datos 10 8 5 Redes 10 10 6
 Servidores 10 10 7 Recurso: Humano 10 10  N°1: Este recurso tiene un R= 3
porque dado que la información contenida en ellos tiene un respaldo se pueden
remplazar con facilidad, y por lo tanto el puntaje de W=1.  N°2: Se le asignó
un R= 6 dado que a través de ellas se obtienen evidencias físicas de las
operaciones realizadas en la organización, y tiene un W=3, ya que se pueden
sustituir en cuestión de tiempo fácilmente.  N°3: Su R=10 porque al no estar
funcionando por mucho tiempo provocan el recalentamiento de los equipos
informáticos, y su W=7, dado que se pueden reemplazar por el personal
técnico.  N°4: El R=10, porque en ellas se encuentra la información de todos
los relacionado a la empresa, y su W=8, dado que existe un respaldo
anteriormente mencionado que almacena copias de las mismas.  N°5: Su
R=10, por la sencillas razón de que son el medio de conexión entre los
diferentes entes de la organización, y su W=10, debido a que con su ausencia
la organización pierde funcionalidad por cuanta de la falta de comunicación.
 N°6: El R=10, porque es el centro de toda la operatividad de la organización y
la información contenida en él es vital para la funcionalidad de la misma, y por
ende, su W= 10.  N°7: Su R=10, porque es uno de los recursos más valiosos
de una organización, dado que conoce cómo funciona la operación de dicha
compañía. Su W= 10, porque sin este recurso la organización pierde
operatividad en los diferentes procesos para los cuales se ha implementado las
PSI.

2. Para generar la vigilancia del plan de acción y del programa de seguridad, es

necesario diseñar grupos de usuarios para acceder a determinados recursos de la
organización. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqué de sus privilegios.

1. Oficina Principal RECURSO DEL SISTEMA Riesgo Tipo de Acceso Permisos

Otorgados Número Nombre 1 Cuarto de Servidores Grupo de Mantenimiento
Local Lectura y escritura 2 Software contable Grupo de Contadores, auditores
Local Lectura 3 Archivo Grupo de Recursos Humanos Local Lectura y Escritura 4
Base de datos Clientes Grupo de Ventas y Cobros Local y Remoto Lectura y
Escritura
2. Sucursal RECURSO DEL SISTEMA Riesgo Tipo de Acceso Permisos Otorgados
Número Nombre 1 Bases de datos clientes en mora Grupo de Cobro Jurídico
Remoto Lectura 2 Aplicación de inventarios Grupo de Gerentes Remoto Lectura
y Escritura Preguntas propositivas

PREGUNTAS PROPOSITIVAS

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en

cuenta las características aprendidas de las PSI, cree el programa de seguridad y el
plan de acción que sustentarán el manual de procedimientos que se diseñará luego.

Actualización y/o nueva asignación de contraseñas de acceso.  Socialización y fijación

de nuevas metas para blindar cada uno de los procesos ante ataques informáticos. 
Auditorias.  Capacitaciones permanentes en aplicación de las políticas de seguridad
informática y cómo estás influyen sobre la operatividad de la empresa. 2. Enuncie
todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría.

Los procedimientos que debemos tener en cuenta para ser desarrollados en el manual
son

 El manual debe contener la información básica del documento, como es

una portada con identificación y nombre del procedimiento a describir,
así como logotipo de la empresa. Adicionalmente un índice y una
introducción al mismo.

 Para que el manual tenga sentido, debe tener un objetivo claro de los
procedimientos que se detallarán, pues como hemos indicado, es una
descripción de tareas pero que ordenadas y en secuencia nos llevarán a
una meta, la cual desde el principio debe quedar clara para los
empleados y plasmada en el objetivo.

 Todas las tareas debe siempre tener claramente definidos los

responsables y el alcance de las tareas a realizar, esto es, explicar
detenidamente qué personas y/o departamentos de la empresa se
involucrarán y quiénes son los responsables de cada acción a realizarse.

 Ahora bien, ya que tenemos claridad del objetivo a buscar y los

responsables que participarán en las actividades a describir, habrá
entonces que describir las actividades o como se dice correctamente,
explicar el procedimiento. Esto es, describir paso a paso lo que se debe
realizar y quién es el responsable de cada tarea y acción.

 En la empresa, los procesos exigen llevar a cabo el seguimiento de las

acciones a través de una serie de formatos, documentos, mensajes,
comunicados, etcétera. Esto es, para cada una de las acciones puede
corresponder completar un formato, enviar un correo electrónico,
elaborar un oficio, en fin, documentos que sustentan el que las acciones
se hayan llevado a cabo, así que el manual debe contener los formatos
de cada uno de esos documentos que se utilizarán.
 Ya con toda esta información se deben incluir en el manual diagramas de
flujo, que permitan saber cuál es la secuencia de la información o de los
documentos a lo largo del procedimiento que se describe.