PLAN DE SEGURIDAD

PREGUNTAS INTERPRETATIVAS 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las recomendaciones para mostrar las polticas. Solucin PLAN DE TRABAJO En la actualidad a pesar de la gran cantidad de virus que asechan en la RED, las personas parecen no darle importancia a tener los niveles de seguridad necesarios para poder combatir estos problemas; que si bien causan bastante problemas a personas comunes, tambin lo son para las grandes empresas ante el peligro de que informacin secreta de la empresa como lo es la base de datos de la empresa donde se encuentran todos los datos personales de los clientes (cuantas bancarias y contraseas) De igual forma la informacin que se robada puede caer en manos de empresas competidoras que al usar esa informacin podran ocasionar la cada de su competidor. Objetivos de la poltica: Bridar una proteccin segura ante los posibles atacantes o personas malintencionadas que intente acceder a la informacin privada de la empresa. Evitar el uso no autorizada de la informacin de la empresa, as como el abuso por parte de los mismos empleados.

La planificacin de la actuacin preventiva Las polticas de seguridad deben realizar y documentar anualmente la actuacin preventiva que tenga en cuenta los resultados de la ltima evaluacin y las circunstancias que posteriormente se hayan producido que puedan afectar a los resultados de la misma (cambios en las condiciones de trabajo, accidentes, ejecucin de medidas preventivas, etc.). La planificacin tiene que contemplar todas las medidas o actividades preventivas legalmente exigibles para eliminar, reducir o controlar los riesgos evaluados.

Las medidas o actividades preventivas planificadas pueden ser de distintos tipos: Modificaciones organizativas para la integracin de la prevencin. Modificacin de condiciones "materiales" de trabajo (de los lugares de trabajo, de las instalaciones de servicio o proteccin, de los medios de trabajo o proteccin, o del medio ambiente fsico, qumico o biolgico). Modificacin de la organizacin o de los procedimientos de trabajo. Formacin e informacin. Controles (peridicos u ocasionales) de las condiciones de trabajo (del buen estado o funcionamiento de elementos crticos para la seguridad, de las concentraciones o intensidades de algunos agentes qumicos o fsicos, etc.). Vigilancia de la salud. Investigacin y notificacin de accidentes y otros daos para la salud (respecto a los cuales la planificacin slo puede establecer "previsiones de actuacin"). Revisiones (totales o parciales) de la evaluacin de riesgos.

En general, los tres primeros tipos de medidas (que son modificaciones de las condiciones trabajo) slo pueden ser ejecutados (y planificados) por el empresario. En la planificacin "definitiva" (una vez acordada con la gerencia o altos mandos de la empresa) para cada una de las medidas o actividades preventivas incluidas en el Programa Anual debe indicarse: Deben indicarse tambin los recursos necesarios para realizar el conjunto de las actividades programadas. Medidas de actuacin en casos de emergencia A menudo, la evaluacin o anlisis de las posibles situaciones de emergencia y la determinacin de las medidas que deben adoptarse frente a tales situaciones tienen un tratamiento particular y se recogen en documento o documentos especficos. En cualquier caso, en relacin con las medidas de actuacin en casos de emergencia la documentacin debe incluir, para cada situacin de emergencia: Las actividades a desarrollar en tales casos. Las personas encargadas de desarrollarlas. La formacin de que deben disponer. Los medios de que deben disponer. La organizacin de las relaciones con los organismos externos cuya colaboracin se espera obtener en caso de producirse la emergencia.

La forma de comprobacin peridica del correcto desarrollo de las actividades a desarrollar.

Hay dos tipos de emergencias que pueden presentarse en prcticamente cualquier tipo de empresa y que, por tanto, deben estar sistemticamente contempladas: Accidentes (primeros auxilios y/o atencin mdica de urgencia). Incendios (intervencin y/o de evacuacin).

La planificacin de las actividades necesarias para la implantacin de las medidas antes citadas (por ejemplo, para la formacin de los trabajadores designados para la lucha contra incendios) debe realizarse de la misma forma que la del resto de actividades preventivas y puede estar incluida en la documentacin general sobre la planificacin o en la documentacin especfica sobre las medidas de actuacin en casos de emergencia. La ejecucin de las actividades preventivas y los registros Segn el tipo de actividad preventiva desarrollada (y la normativa especficamente aplicable) puede ser necesario elaborar un informe de ejecucin (en el que se incluyan los datos referentes a la actividad y los resultados de la misma) y/o actualizar un determinado registro. El acceso a los informes o registros debe estar restringido al personal autorizado cuando la informacin tenga carcter confidencial (como en el caso de la vigilancia de la salud). Con independencia de cmo se estructuren dichos informes y registros la organizacin de la informacin contenida en los mismos debe permitir conocer fcilmente: Los riesgos existentes y las medidas de prevencin o proteccin (incluido, en su caso, el uso de EPI) correspondientes a cualquier puesto de trabajo. La formacin e informacin que se haya proporcionado a cualquier trabajador (incluidos, en su caso, los delegados de prevencin, los trabajadores designados de "nivel bsico" y los trabajadores designados para actuar en casos de emergencia). Las revisiones, inspecciones o controles a las que (por razones de seguridad) haya sido sometido cualquier equipo de trabajo, instalacin o condicin ambiental. Los reconocimientos mdicos a que haya sido sometido cualquier trabajador. Los accidentes de trabajo y enfermedades profesionales ocurridos / notificados (y sus causas, al menos cuando sean graves o mortales y hayan ocurrido en el centro de trabajo).

La documentacin

A continuacin se presentan, de forma resumida, los distintos documentos a que se ha hecho referencia en los apartados anteriores: Programa Anual de actividades preventivas de la empresa. Documentacin (adicional) sobre la planificacin de la actuacin preventiva (exigible cuando en los documentos anteriores no se incluyan los datos - sobre "responsables", "plazos" y "procedimientos. Documentacin actualizada sobre la evaluacin de los riesgos (evaluacin inicial y revisiones de la misma). Documentacin sobre las medidas de actuacin en casos de emergencia. Informes de ejecucin de las actividades preventivas realizadas y sistema de registros (que, en conjunto, permitan conocer los datos a que se ha hecho referencia en el apartado 6). Memoria Anual de actividades preventivas de la empresa.

2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red. Solucin RECURSO AFECTADO Nombre causa Efecto

Fsico: Computador, Fuente elctrica, No enciende Servicio Pagina web: El servidor de la pagina esta cado, No deja entrar a la pgina
NOMBRE Computador CAUSA Disco duro aado EFECTO El equipo no puede ser usado. No deja entrar a la pgina

RECURSO AFECTADO FSICO

SERVICIO

Pgina WEB

EL servidor de la pgina esta cado.

PREGUNTAS ARGUMENTATIVAS 1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topologa, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. Solucin
N NOMBRE RIESGO (R1) 5 4 6 6 10 IMPORTANCIA (W1) 7 5 7 4 10 RIESGO EVALUADO (R1*W1) 35 20 42 24 100

1 2 3 4 5

Computador Swicth Router Bridge Servidor

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de sus privilegios. Solucin

RECURSO DE SISTEMA USUARIOS N 1 2 NOMBRE Base de datos Servidor pgina Web Empleados administrativos Tcnicos de mantenimiento de comunicaciones Local Local TIPO DE ACCESO

PERMISOS OTORGADOS

Slo lectura Lectura y escritura

PREGUNTAS PROPOSITIVAS

1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que sustentarn el manual de procedimientos que se disear luego. Solucin Programa de seguridad y plan de accin Para proteger y contrarrestar las violaciones a las PSI se tomaran estas medidas: Procedimiento de chequeo de eventos en el sistema: estar pendiente de todos los eventos o notificaciones que nos muestra el sistema. Procedimiento de alta d cuenta de usuario: cuando un elemento de la organizacin requiere una cuenta de operacin en el sistema. Procedimiento de baja de cuenta de usuario este procedimiento es el que se lleva a cabo cuando se aleja un elemento de la organizacin o cuando alguien deja de trabajar por un determinado tiempo. Procedimiento para determinar buenas contraseas

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teora. Solucin Procedimiento de alta d cuenta de usuario Procedimiento de baja de cuenta de usuario Procedimiento para determinar los buenos Passwords. Procedimientos de verificacin de accesos Procedimiento para el monitoreo de los volmenes de correo Procedimientos para el monitoreo de conexiones activas Procedimiento de modificacin de archivos Procedimientos para el resguardado de copias de seguridad Procedimientos para la verificacin de las maquinas de los usuarios

Procedimientos para el monitoreo de los puertos en la red Procedimientos de cmo dar a publicidad las nuevas Normas de seguridad Procedimientos para la determinacin de identificacin de usuarios y grupo de pertenencia por defecto Procedimientos para recuperar informacin