Nombre
Fecha
01 06 2016
Actividad
EVIDENCIAS 2
Tema
EVIDENCIAS 2
1.
Comogestordelaseguridaddelareddelaempresa,ustedeselencargadodegenerarlas
PSIdelamisma.Desarrolle,basadoensuplananteriormentediseado,otroplanparapresentarlas
PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las
recomendacionesparamostrarlaspolticas.
ElPlandeSistemasdeInformacindeberesponderalosobjetivosestratgicosdelaorganizacin.
Seincluirunadescripcindelasituacinactual(DOFA).
Ejemplosdeloquepuedepasar(Peoresescenarios)partiendodelpuntoanterior.
Seproponenlosproyectosquemejorarnlasituacinactual.
Enlos3puntosanterioressedeberhacernfasisdelcomolaspolticaspodranayudaramejorar
lassituaciones.
2.
LasPSItienencomobasetericaimplcitaelalgoritmoPC.Agreguealplandepresentacin
alosmiembrosdelaorganizacin,almenos2eventosdiferentesalosdelateora,enlosquese
evidencienlos4tiposdealteracionesprincipalesdeunared:
EjemploN1Modificacin
RECURSOAFECTADO
NOMBRE
Lgico
DatosdeNmina
Servicio
Programamanejo
mquinadeimpresin
CAUSA
Accesoalabasede
datos
Cambiodeparmetros
deconfiguracin
EFECTO
Pagoserrneos
Todalaproduccinde
1daafectada.
EjemploN2Intercepcin
RECURSOAFECTADO
NOMBRE
CAUSA
Lgico
Datostarjetas
Interceptacinde
Correo
Fsico
Snifferparaeltrfico
delacompaa
Accesoalservidore
instalacinde
software
EFECTO
Robosobrecuenta
corrientedela
empresa
Robodeinformacin.
EjemploN3Produccin.
RECURSOAFECTADO
Lgico
Inventario
NOMBRE
Creacinde
Proveedoresy
serviciosno
existentes
AumentodeInsumos
CAUSA
EFECTO
Inyeccinalabasede
datosdeinformacin
fraudulenta.
Sepagaronservicios
noexistentesa
proveedoresfalsos
Aumentodel150%
dedesperdicios
aumentandolos
insumosnecesarios
Mayorconsumode
insumosparalos
proyectosdebidoal
roboprogramado
3.
Suempresadebetener,deacuerdoalatopologadereddefinidaanteriormente,unconjuntodeelementos
quepermitanelfuncionamientodeesatopologa,comorouters,servidores,terminales,etc.Genereunatabla
comolapresentadaenlateora,enlaquetabulealmenos5elementosporsucursal.Elpuntajeasignadoa
cadaelementodebeserexplicadoendetalle.
Nombre
1
2
Computadores
Impresoras
Disco
almacenamiento
de copias
Bases de datos
clientes
3
4
5
6
Importancia(R)
Prdida(W)
5
4
8
9
Riesgo
Evaluado
(R*W)
40
36
10
10
100
10
80
Redes
10
10
100
Servidores
10
10
100
Recurso:
7
8
8
64
Humano
Equipos respaldo
8
10
10
100
NUBE
Enprimerlugar,especficoquesoloesunatabladebidoaqueenlassedessemanejarnlosmismos
equiposhardwareynohabrunajerarquizacin.
N1:EsterecursotieneunR=5yaqueesorientadoaservicioynoaguardarinformacin.Sepuede
reemplazarfcilmente,peroesuncostoaasumirparalaempresayporconsiguientelepuntajede
W=8.
N2:SeleasignunR=4dadoquesonnecesariaseneltrabajodiarioperolainformacinesen
mediosdigitales.TieneunW=9,yaquesepuedenreemplazarencuestindetiempofcilmentepero
sucostoesalto.
N3:SuR=10porqueespolticaimportantelosbackupdeinformacin,contables,basesdedatosya
queesinformacinquecambiaconstantemente.SuW=10,dadoquesepuedenreemplazarporel
conelbackupenlanube,perosepuedeperderinformacinenelproceso.
N4:ElR=10,porqueenellasseencuentralainformacindelgranactivodelaempresa.SuW=10,
dadoqueexisteelrespaldonoesalmomentosinodiariamentepudiendoperdereltrabajodiariodel
reacomercial.
N5 SuR=10ya que hoy enda se funciona con ellas. Su W=10, debido a quecon suausencia la
organizacinpierdefuncionalidadporcuantadelafaltadecomunicacin.
N6:ElR=10porqueellossonlosmotoresenelmundodigital.SuW=10yaqueelreemplazodejara
solounservidoronlineytoma1dacompletoparael100%defuncionamiento.
N7:ElR=8yaque,aunqueposeenelconocimiento,todoslosprocedimientosestndocumentados
yaldadigitalmente.SuW=8yaquesoloimportaraelreemplazodelpersonal.
N8:ElR=10yaquesernunacopiadelainformacindelacompaa.SuW=10debidoaqueencaso
defalloalimentartodoelbackupdesdelosfsicostomara1semanacompleta.
2.
Paragenerarlavigilanciadelplandeaccinydelprogramadeseguridad,esnecesariodiseargrupos
deusuariosparaaccederadeterminadosrecursosdelaorganizacin.Definaunatablaparacadasucursalen
laqueexpliquelosgruposdeusuariosdefinidosyelporqudesusprivilegios.
Enprimerlugar,especficoquesoloesunatabladebidoaqueenlassedessemanejarnlosmismos
equiposdeusuariosynohabrunajerarquizacin.
RECURSO DEL
SISTEMA
Nmero Nombre
Riesgo
Tipo de Acceso
Infra
Grupo de
Informtica
Local y Remoto
Software
contable
Grupo de
Contadores,
auditores
Local
Archivo
Grupo de
Recursos
Humanos
Local
Base de
datos
Clientes
Grupo de Ventas
y Cobros
Local y Remoto
Permisos
Otorgados
Lectura General
Escritura config.
informtica
Lectura y
escritura
Contable
Lectura y
Escritura
Recursos
Humanos
Lectura y
Escritura Base
Clientes
1.
Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las
caractersticasaprendidasdelasPSI,creeelprogramadeseguridadyelplandeaccinquesustentarnel
manualdeprocedimientosquesedisearluego.
ProcedimientodecreacindeRegistrosdeeventosdetodoelsistema.
ProcedimientodeanlisisdelosRegistrosygeneracindealarmassiesrequerido.
Procedimientodealta,ausenciaybajadeusuarios.
Procedimientodecreacinyverificacindeseguridaddecontraseasparatodosycadaunodelos
procesosoendondeseanecesario.
Procedimientodeactualizacindenormasyprocedimientos.
ProcedimientodeBackupinternoyexterno.
Procedimientosdecontingencia.
2.
Enuncietodoslosprocedimientosquedebetenerensuempresa,yquedebenserdesarrolladosen
el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos
diferentesalosdelateora.
ProcedimientoparaAccesoalared
Procedimientodechequeodelsistema
Procedimiento constante de cambio de contrasea segura con combinacin de letras, nmeros y
caracteres.
ProcedimientoparaactualizacinymantenimientodeServidoresonpremiseyCloud.
Procedimientoparalamodificacin(actualizacin)delasbasesdedatos.
Procedimientoparaelmantenimientodelosequiposactivosdelared
Procedimientoparaverificareltrficodelared,porusuarioverhistorialyactualnavegacin.
Procedimientoparalascopiasdeseguridad,creacin,guardadoyrestauracin.
Procedimientoparalarecuperacindeinformacin,tipo,ubicacin,tamao,total,parcial,Historial
yversiones.
Procedimientoregistrodeincidencias,solucin.