SOLUCION DE LA ACTIVIDAD 2_CRS

*Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de

generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado,
otro plan para presentar las PSI a los miembros de la organización en donde se
evidencie la interpretación de las recomendaciones para mostrar las políticas.

RTA=

Primeramente se debe dar una buena y larga preparación a los gerentes y encargados de
las distintas áreas para que estén capacitados para resolver cualquier duda que tengan
sus empleados. Como segunda acción se debe hacer una evaluación de riesgos
informáticos, para valorarlos elementos sobre los cuales serán aplicadas las PSI. Luego,
deben involucrarse, en cada elemento valorado, la entidad que maneja o posee el
recurso, ya que ellos son los que tienen el conocimiento y la experiencia manejando ese
elemento particular.

Después de valorar los elementos e involucrar al personal, explicarles cuales son las
ventajas de establecer PSI sobre los elementos valorados, así como los riesgos a los
cuales están expuestos y las responsabilidades que les serán otorgadas. El siguiente
paso es determinar quiénes son las personas que dan las órdenes sobre los elementos
valorados en la empresa. Ellos deben conocer el proceso de las PSI, ya que sobre ellos
recae la responsabilidad de los activos críticos.

Y Finalmente, deben crearse mecanismos para monitorear a los elementos valorados, las
personas involucradas y los altos mandos directores de los elementos. Esto con el
objetivo de actualizar fácilmente las PSI cuando sea necesario. Para alcanzar la
competitividad requerida en la actualidad en el ámbito comercial y demás, se hace
necesario la implementación y el cumplimiento efectivo de una serie de normas que
minimicen el impacto de los riesgos que amenazan el funcionamiento de nuestra
organización, partiendo, de entender que es importante el aseguramiento de los activos
de la misma. Es por todo lo anterior que se requiere un compromiso total para crear
confianza en nuestros clientes y en los proveedores, para lo cual se debe demostrar la
fiabilidad de los procesos que se realizan en la compañía, y determinar la minimización de
riesgos a los que están sometidos los procesos de la misma, dado que no siempre se está
excepto de incidentes externos e internos que afecten la organización y su funcionalidad

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la
teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red.
RTA=

Mi plan de presentación a los miembros de la organización de los 4 tipos de alteraciones

de una res son los siguientes:

INTERRUPCIÓN

RECURSO AFECTADO NOMBRE CAUSA EFECTO

No hay
Se
Físico Switch acceso a
quemó
la red
No se
No
Servicio Word puede
ejecuta
redactar

INTERCEPCIÓN

RECURSO
NOMBRE CAUSA EFECTO
AFECTADO

Utilizando la Tienen acceso

red, se a la máquina y
Físico Computador conectaron ver
sin documentación
autorización privada.

Se presentan
Se ha malos
Chat suplantado la entendidos
Servicio
corporativo identidad del tanto a nivel
usuario personal como
profesional

MODIFICACIÓN

RECURSO AFECTADO NOMBRE CAUSA EFECTO

 Se presenta
problemas al
Alguien a equipo que se
Físico Switch modificado uno encontraba
de los puertos conectado por
medio de un cable
a ese puerto.

Como la
contraseña para
ingresar a este Contraseñas y/o
Directorio servicio no era Logins no válidos,
Servicio
Activo óptima, alguien usuarios quedan
ingresó y por fuera de la red.
modificó algunos
perfiles

PRODUCCIÓN

RECURSO AFECTADO NOMBRE CAUSA EFECTO

Se deja a un
Se gasta una usuario sin poder
licencia del trabajar con dicho
Lógico ArcGIS
ArcGIS ArcEditor software y por lo
sin necesidad. mismo retrasando
su trabajo.
Permisos y
privilegios a ciertos
Alguien logró usuarios para
Directorio ingresar como el poder ingresar a
Servicio
Activo administrador del ciertos recuros
D/A privados y libre
navegación en la
web.

* Preguntas argumentativas:

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un

conjunto de elementos que permitan el funcionamiento de esa topología, como routers,
servidores, terminales, etc. Genere una tabla como la presentada en la teoría, en la que
tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser
explicado en detalle.
RTA=

Servidor:
R1= 10 W1= 10

Servidor Espejo.
R2= 10 W2= 10

Estaciones de Trabajo:
R3= 9 W3= 10

Routers:
R4= 8 W4=9

Impresoras:
R5= 7 W5= 8

RECURSO DEL SISTEMA RIESGO IMPORTANCIA RIESGO EVALUADO

NÚMERO NOMBRE (R,) (W,) (R,*W,)
1 Servidor R1= 10 W1= 10 100
2 Servidor Espejo R1= 10 W1= 10 100
3 Estaciones de Trabajo R3= 9 W3= 10 90
4 Routers R4= 8 W4=9 72
5 Impresoras R5= 7 W5= 8 56

-Tanto el servidor como su espejo son activos importantes ya que sin estos una empresa
queda paralizada. Si se presentara alguna falla en el servidor, su espejo lo reemplazaría
evitando caídas y/o pérdida de información.

Las estaciones de trabajo son necesarios para la producción en una empresa, pues un
usuario sin poder trabajar representa pérdidas económicas, para cubrir cualquier falla en
este sentido es bueno tener máquinas que sirvan de contingencia.

 Routers: Creo que hoy día la internet se ha vuelto un factor muy importante tanto en la
vida de una persona como en las grandes compañías, pues para hacer pagos,
transacciones en línea, consultas de todo tipo este recurso es algo indispensable en el
funcionamiento de una empresa sin olvidar también lo importante de este dispositivo que
permite hacer interconexiones de redes y direccionar los paquetes de datos.

Las impresoras son un recurso necesario de toda entidad pues permite entregar
información con ciertos documentos que aún los exige de este modo, no se puede parar
un proyecto por falta del contrato impreso.

2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario
diseñar grupos de usuarios para acceder a determinados recursos de la organización.
Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y
el porqué de sus privilegios.
 RTA= Mi tabla para cada sucursal la define asi:

-OFICINA PRINCIPAL:

RECURSOS DEL SISTEMA RIESGOS TIPO DE ACCESO PERMISOS OTORGADOS

Numero Nombre
1 CUARTO DE SERVIDORES GRUPO DE MANTENIMIENTO LOCAL LECTURA Y ESCRITURA
2 SOFTWARE CONTABLE GRUPO DE CONTADORES, AUDITORES LOCAL LECTURA
3 ARCHIVO GRUPO DE RECURSOS HUMANOS LOCAL LECTURA Y ESCRITURA
4 BASE DE DATOS CLIENTES GRUPO DE VENTAS Y COBROS LOCAL Y REMOTO LECTURA Y ESCRITURA

-SUCURSAL:

RECURSOS DEL SISTEMA RIESGOS TIPO DE ACCESO PERMISOS OTORGADOS

Numero Nombre
1 BASE DE DATOS CLIENTES GRUPO DE COBRO JURIDICO REMOTO LECTURA
EN MORA
2 APLICACIÓN DE GRUPO DE GERENTES REMOTO LECTURA Y
INVENTARIOS ESCRITURA

*Preguntas propositivas:

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta

las características aprendidas de las PSI, cree el programa de seguridad y el plan de acción
que sustentarán el manual de procedimientos que se diseñará luego.

RTA=

Mi programa de seguridad y el plan de acción de este programa es el siguiente:

PROGRAMA DE SEGURIDAD

-Separación de labores (control y vigilancia) entre los departamentos y/o partes

involucradas en la operatividad de la organización.

-Creación de grupos de trabajos con funciones determinadas.

-Firma de acuerdos de confidencialidad.

-Protocolos para manejo de información de forma segura.

-Encriptación de datos.

-Generación de contraseñas de accesos con beneficios específicos y restricciones a

ciertos grupos.
-Auditorías internas programadas secuencialmente.

-Vigilancia de los procesos realizados en los diferentes estamentos de la compañía

permanentemente.

-Realización de backups permanentes en servidores diferentes a los que se encuentran

en la misma organización.

-Documentación de todos los procesos realizados en la misma

PLAN DE ACCIÓN:

-Monitoreo de procesos.

-Actualización y/o nueva asignación de contraseñas de acceso.

-Socialización y fijación de nuevas metas para blindar cada uno de los procesos ante
ataques informáticos.

-Auditorias.

-Capacitaciones permanentes en aplicación de las políticas de seguridad informática y

cómo estás influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría.

RTA=

PROCEDIMIENTOS

-Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios
y restricciones en los sistemas de la empresa.

-Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado
inactiva por un lapso de tiempo prolongado.

-Procedimiento de verificación de acceso: obtener información de cada uno de los

procesos realizados por dicho usuario, y detectar ciertas irregularidades de navegabilidad.

-Procedimiento para el chequeo de tráfico de red: Obtener información referente a la

anomalía en la utilización de programas no autorizados.

-Procedimiento para chequeo de volúmenes de correo: Entre otras la vigilancia en la

información que se transmite.

-Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de

usuario ha permanecido cierto tiempo inactiva, para su posterior inhabilidad y evitar
posibles fraudes.
 -Procedimiento de modificación de archivos: realiza el seguimiento a los archivos
modificados, así como genera avisos al momento en que se intenta modificar un archivo
no permitido.

-Procedimiento para resguardo de copias de seguridad: determina la ubicación exacta de

las copias de seguridad para su integridad por si ocurre un accidente.

-Procedimiento para la verificación de máquinas de usuarios: realizar vigilancia sobre el

equipo de un usuario y así detectar posibles amenazas.

-Procedimiento para el monitoreo de los puertos en la red: idéntica la habilitación de los

puertos y su funcionalidad.

-Procedimiento para dar a conocer las nuevas normas de seguridad: participa de manera
anticipa la implementación de las nuevas normas, y su función dentro de la organización.

-Procedimiento para la determinación de identificación del usuario y para el grupo de

pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos
beneficios y restricciones.

-Procedimiento para recuperar información: Indispensable a la hora de preservar la

información par cuando se necesite abrir un backups para restaurar la información que se
necesita revisar.

-Procedimiento para la detección de usuarios no autorizados: genera aviso al sistema del

ingreso de usuarios no autorizados a la red.

-Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios
especiales para ingresar a la plataforma.

-Procedimiento para actualización de contraseñas de acceso: es recomendable actualizar

contraseñas de acceso para evitar posibles fraudes.

-Procedimiento para la instalación y utilización de nuevos software: verificar la

compatibilidad y seguridad de los mismos en un ambiente seguro antes de
implementarlos en la organización.

-Procedimiento de conectividad en rede inalámbricas: Permitir conexión de redes

inalámbricas a usuarios con esos beneficios.

- Procedimiento para desinstalar software sin licenciamiento.

- Procedimiento para el grupo de mantenimiento (bienes informáticos).