1. Actividad 2
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarásEvidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema
Sandra Jaramillo moreno
4/12/2013
Evidencia 2
Políticas generales de seguridad
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear
un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo
diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del
manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI
de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las
PSI a los miembros de la organización en donde se evidencie la interpretación de las
recomendaciones para mostrar las políticas.
RESPUESTA
a. Panorama actual sobre la seguridad informática en Colombia.
La seguridad informática ha sido un tema que ha cobrado importancia recientemente, entre otras
cosas, gracias a escándalos internacionales sobre1ciberespionaje, o violaciones en la web a
multinacionales.
Pese a la sonoridad de estos casos es poca la importancia que los colombianos le dan a
la seguridad en la web, es por ello que varias compañías especializadas en seguridad
informática han intentado divulgar cifras que alerten sobre las tácticas utilizadas para la extorsión y
el robo en la web.
Las empresas colombianas están perdiendo cerca de 40 millones de dólares por estos delitos 2.0,
una realidad que seguirá creciendo dado que en el último año esta modalidad aumentó del 36% al
56%, debido a que las empresas no toman las medidas necesarias para blindarse frente a los
delincuentes que ahora navegan en internet para saquear las empresas.
Según datos de la compañía Andina Digital Security en el último año cerca de 10 millones de
colombianos han sido víctimas de algún delito informático. Pero la problemática va más allá, el
1
Datos de “ANDINA DIGITAL SECURITY”
1 Redes y seguridad
Actividad 2
2. 99.9% de las víctimas de estas modalidades delictivas no las denuncian, entendiendo así que las
denuncias por esta causa no superan la cifra de 23.000, según el Colegio Colombiano de
Juristas.
Estudios recientes revelan que el 77% de los colombianos (36 millones de personas) en algún
momento de sus vidas han sido víctimas de delincuentes informáticos. Así las pérdidas
financieras por ciberataques en los últimos doce meses ascienden a un monto de 79.180
millones de pesos.
b. Introducción de lo que es seguridad informática: Seguridad Informática se refiere a las
características y condiciones de sistemas de procesamiento de datos y su almacenamiento.
Donde, garantiza:
Confidencialidad.
Integridad.
Tiempo.
Costos.
Accesibilidad y disponibilidad.
No repudio.
c. Gestión de riesgo: Para cumplir con los propósitos anteriores se deben seguir unos
lineamientos como:
La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.
En su forma general contiene cuatro fases
Análisis: Determina los componentes de un sistema que requiere protección, sus
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de
revelar su grado de riesgo.
Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los
usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
d. Las políticas deben:
Definir qué es seguridad de la información, cuáles son sus objetivos principales y su
importancia dentro de la organización
Mostrar el compromiso de sus altos cargos con la misma
Definir la filosofía respecto al acceso a los datos
Establecer responsabilidades inherentes al tema
Establecer la base para poder diseñar normas y procedimientos referidos a
o Organización de la seguridad
o Clasificación y control de los datos
2 Redes y seguridad
Actividad 2
3. o
o
o
o
o
Seguridad de las personas
Seguridad física y ambiental
Plan de contingencia
Prevención y detección de virus
Administración de los computadores
e. A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que serán la guía para la realización de las actividades.
Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía
y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente (el objetivo es que no llegue hasta ese punto)
Un sistema documentado actualizado
El proceso de monitoreo y evaluación, para dar seguimiento a los planes operativos está
deficiente y no integrado en estos: Implementar procesos y medidas de protección, para
garantizar la seguridad, no es una cosa que se hace una vez y después se olvide, sino
requiere un control continuo de cumplimiento, funcionalidad y una adaptación periódica, de
las medidas de protección implementadas, al entorno cambiante.
f. Hacer referencia el costo-beneficio para implementar las PSI. según lo mencionado
anteriormente se debe realizar amenazar potenciales que pueden sufrir con la perdidas que
puede generar adicionando la probabilidad de ocurrencia y de ahí empieza a ejecutarse los
mecanismo de seguridad.
2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la
organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones
principales de una red.
Tipos de recursos
Según los tipo de alteraciones
Interrupción
Intercepción
Modificación
Producción
ALTERACION
Físicos
Lógicos
Servicios
RECURSO
AFECTADO
SERVICIO
NOMBRE
CAUSA
EFECTO
CORREO INTERNO
FISICO
COMPUTADORES
CORTO EN LA RED
ELECTRICA Y EL
SERVIDOS DE DAÑO
FALTA DE
ALIMENTACION
ELECTRICA
NO ENVIAR
CORREOS POR LA
INTRANET
NO FUNCIONA LOS
COMPUTADORES
INTERRUPCCION
3 Redes y seguridad
Actividad 2
4. ALTERACION
RECURSO
AFECTADO
SERVICIO
NOMBRE
CAUSA
EFECTO
CORREO
ELECTONICO
PERMITE ACCESO
A LA
CORRESPONDECIA
TANTO INTERNA Y
EXTERNA
INTERCEPCIÓN
LOGICO
BASE DE DATOS
DE LOS CLIENTES
SE INSTALO UN VIRUS
QUE PERMITE
LIBERACION
DE LOS PUERTOS Y
LIBRE ACCESO A
ARCHIVOS
SE INSTALO UN
TROYANO QUE
PERMITE DUPLICAR
CONTRASEÑAS Y
ALMACENARLAS EN
UN CORREO EXTERNO.
ALTERACION
RECURSO
AFECTADO
SERVICIO
NOMBRE
CAUSA
EFECTO
PAGINA WEB
SE
COLOCA
INFORMACION QUE
DESPRESTIGIA LA
EMPRESA
E
INCOMUNICA
EN
TODA SU GESTION
ABMINISTRATIVA Y
PRODUCTIVA
LOGICO
ACCESO A
INGRESO DE
DATOS PAGINA
WEB
INGRESO Y ALTERO
MALINTESIONADAMEN
TE LA PRESENTACION
DE LA PAGINA Y
INHABILITO
ACCESO
POR
REDES
INTERNAS(INTRASNET)
Y
EXTERNAS
(INTERNET)
SE INSTAURO UN
SOFTWARE QUE
INHABILITA PUERTOS
DE ENTRADA Y SALIDA
RECURSO
AFECTADO
SERVICIO
NOMBRE
CAUSA
EFECTO
INTERNET
MODIFICA
RESTRICCIONES
DE
SERVIDOR Y ENRUTA
LA INFORMACION A
OTRO LADO
LOGICO
DATOS DE LAS
TRANSACCIONES
CONTABLES EN
MERCADO
INTERNACIOANL
CREAN RUTAS
ALTERNAS LOGICAS
PARA QUE LOS
RECURSOS LLEGEN A
OTRO SITIO VIRTUAL
FANTASMA
GENERA
INFORMACION
REAL COMO UN
HECHO.
PRODUCCION
INCORRECTA
SE GENERA UN
BASE DE DATOS DE
TRANSACCIONES
COMO SI FUERAN
REALES, ES
DETECTABLE SOLO
CUANDO HAGA
RECLAMOS.
MODIFICACION
ALTERACION
PRODUCCIÓN
4 Redes y seguridad
Actividad 2
URTAR
INFORMACION DE
LOS CLIENTES Y
EMPLEADOS Y
MANEJO
CONTABLES
INHABILITA A LA
ADMINISTRACION
DE LA PAGINA WEB
DE LA COMPAÑÍA
5. Preguntas argumentativas
1.
Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de
elementos que permitan el funcionamiento de esa topología, como routers, servidores,
terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5
elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.
RECURSOS FISICO Y LOGICOS DEL SISTEMA
SURCURSAL
CANTIDAD
1
2
4
4
1
SEDE
PRINCIPAL
EN-CORE
NOMBRE
SERVIDOR ADMINITRADOR DE DATOS
SERVIDOR DE RESPALDO
SERVIDOR WEB
SERVIDOR E-MAL
SERVIDOR SISTEMA DE SEGURIDAD
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA,
CENTRAL TELEFONICA (PBX))
SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE DATOS
RECURSO HUMANO (ADMINISTRADORES)
6
6
12
4
12
3
5
3
2
5 Redes y seguridad
Actividad 2
RIESGO
IMPORTANCIA
R
10
10
9
9
10
W
10
10
9
9
10
TOTAL
RIESGO
R*W
100
100
81
81
100
8
8
10
6
10
10
7
10
10
7
7
10
6
10
10
8
10
10
56
56
100
36
100
100
56
100
100
6. RECURSOS FISICO Y LOGICOS DEL SISTEMA
SURCURSAL
CANTIDAD
1
1
1
SUCURSAL
1
MEDELLIN
NOMBRE
SERVIDOR ADMINITRADOR DE DATOS
SERVIDOR WEB
SERVIDOR SISTEMA DE SEGURIDAD
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA)
SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE DATOS
RECURSO HUMANO (ADMIISTRADOR)
3
2
4
2
5
1
2
2
1
RECURSOS FISICO Y LOGICOS DEL SISTEMA
SURCURSAL
CANTIDAD
1
2
4
4
1
SUCURSAL
2
BOGOTA
NOMBRE
SERVIDOR ADMINITRADOR DE DATOS
SERVIDOR DE RESPALDO
SERVIDOR WEB
SERVIDOR E-MAL
SERVIDOR SISTEMA DE SEGURIDAD
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA,
CENTRAL TELEFONICA (PBX))
SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE DATOS
RECURSO HUMANO (ADMINISTRADORES)
3
3
10
4
6
2
3
3
1
6 Redes y seguridad
Actividad 2
RIESGO
IMPORTANCIA
R
10
9
10
W
10
9
10
TOTAL
RIESGO
R*W
100
81
100
8
8
10
6
10
10
7
10
10
7
7
10
6
10
10
8
10
10
56
56
100
36
100
100
56
100
100
RIESGO
IMPORTANCIA
R
10
10
9
9
10
W
10
10
9
9
10
TOTAL
RIESGO
R*W
100
100
81
81
100
8
8
10
6
10
10
7
10
10
7
7
10
6
10
10
8
10
10
56
56
100
36
100
100
56
100
100
7. RECURSOS FISICO Y LOGICOS DEL SISTEMA
RIESGO
SURCURSAL
CANTIDAD
SUCURSAL
3
MEDELLIN
R
10
9
10
W
10
9
10
TOTAL
RIESGO
R*W
100
81
100
8
8
10
6
10
10
7
10
10
7
7
10
6
10
10
8
10
10
56
56
100
36
100
100
56
100
100
NOMBRE
1
1
1
IMPORTANCIA
SERVIDOR ADMINITRADOR DE DATOS
SERVIDOR WEB
SERVIDOR SISTEMA DE SEGURIDAD
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA)
SWITCH
ROUTERS
ACCESS POINT
MODEMS
COMPUTADORAS
EQUIPO SISTEMA DE REFRIERACION
TELEFONOS IP
SOFTWARE BASE DE DATOS
RECURSO HUMANO (ADMIISTRADOR)
3
2
4
2
5
1
2
2
1
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar
grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para
cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios.
SUCURSAL
RECURSO DEL SISTEMA
NÚMERO
NOMBRE
Infraestructura
Equipos de red cableada
(servidores ,routers, etc)
1
Equipos de red
inalámbricas (routers y
punto de acceso)
SEDE
Programas de
PRINCIPAL
administración
EN-CORE
(contabilidad,
2
manejo de personal,
Software contable…etc.)
3
Archivo (base de datos
internos y externos)
4
Base de datos Clientes
7 Redes y seguridad
Actividad 2
RIESGO
TIPO DE
ACCESO
PERMISOS
OTORGADOS
Grupo de
Local
Mantenimiento
Lectura y
escritura
Grupo de
tesorería y ,
auditores
Local
Lectura
Local
Lectura y
Escritura
Local y
Remoto
Lectura y
Escritura
Grupo de
insumos y
producción
Grupo de
Ventas y
Cobros
8. RECURSO DEL SISTEMA
SUCURSAL NÚMERO NOMBRE
1
1
RIESGO
TIPO DE
ACCESO
PERMISOS
OTORGADOS
Bases de datos
clientes en mora
Grupo de
Cobro
Jurídico
Remoto
Lectura
Aplicación de
inventarios
Grupo de
Gerentes
Remoto
Lectura y
Escritura
2
3
2
Preguntas propositivas
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las
características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que
sustentarán el manual de procedimientos que se diseñará luego.
PROGRAMA DE SEGURIDAD
Alcance de la política se refiere en cuanto se restringe el acceso de información a las personas
o personal por los tanto se crean grupos de trabajos con funciones determinadas.
Separación de labores (control y vigilancia) entre los departamentos y/o partes involucradas en
la operatividad de la organización.
Dispositivos de biométricos o sensores de seguridad
Generación de contraseñas de accesos con beneficios específicos y restricciones a ciertos
grupos.
Firma de acuerdos de confidencialidad.
Programas que generen restricciones o utilice protocolos para manejo de información de forma
segura.
Codificación y Encriptación de datos.
Realización de Auditorías internas programadas y no programadas.
Vigilancia de los procesos realizados en los diferentes estamentos de la compañía
permanentemente.
Ejecución de backups permanentes en servidores diferentes a los que se encuentran en la
misma organización.
Finalmente, como documento dinámico de la organización, deben seguir un proceso de
actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la
8 Redes y seguridad
Actividad 2
9. planta de personal, cambio en la infraestructura computacional, alta y rotación de personal,
desarrollo de nuevos servicios, cambio o diversificación de negocios.
PLAN DE ACCIÓN
Monitoreo y evaluación de los proceso procesos.
Estar latente y conocimiento de los nuevos y posibles ciberataques y generar cambios en
infraestructura y software.
Actualización y/o nueva asignación de contraseñas de acceso.
Auditorias.
Capacitaciones permanentes en aplicación de las políticas de seguridad informática y cómo
estás influyen sobre la operatividad de la empresa.
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría.
Procedimiento de Control de cuentas
ProcedimientoOtorgar o retirar: el acceso de personas a las tecnologías de información y como
se controla el mismo. Incluyendo derechos y permisos sobre los ficheros y datos a los
usuarios.
Procedimiento de definir perfiles de trabajo.
Autorización y control de la entrada/salida de las tecnologías de información.
Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su
longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
Realización de copias de respaldo, según el régimen de trabajo de las áreas, de forma que las
copias se mantengan actualizadas, y las acciones que se garanticen el acceso de información
y el compartimiento de esta según el nivel confidencialidad.
Procedimiento control del tráfico de red: Obtener información referente a la anomalía en la
utilización de programas no autorizados.
o Almacenamiento y análisis de registros de auditoria, especificando quien lo realiza y
con qué frecuencia
o El monitoreo de los puertos en la red: idéntica la habilitación de los puertos y su
funcionalidad
Identificación de tipos de ataques: (pasivos o activos)
o Pasivos: Se observa solo los datos sin alterarlos
o Activos: Modifica y afecta la información.
9 Redes y seguridad
Actividad 2