Actividad 2 Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente: Nombre Fecha Actividad Tema
Héctor Triana 5/VIII/2014 Evidencias 2 Seguridad y políticas
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las PSI a los miembros de la organización en donde se evidencie la interpretación de las recomendaciones para mostrar las políticas. R/
PRESENTACIÓN PSI ORGANIZACIONAL Con el fin de alcanzar una competitividad demandada en estos tiempos por el mercado, es muy importante una implementación eficiente para que la legislación concerniente se aplique y minimice el impacto de amenazas presentes y futuras. Por esta y otras causas que favorezcan la permanencia el ámbito comercial, se necesita que cada miembro del personal ponga de su parte en cada parte del proceso para evitar problemas externos como internos y generando lazos de confianza entre cada jerarquía de la compañía y de igual forma, con los clientes. Lo anterior, es posible si se cumplen los siguientes puntos: -Analizar posibles amenazas informáticas que puedan afectar el funcionamiento general de la organización, para poder tener un bosquejo previo al plan último.
1
Redes y seguridad Actividad 2
- Realizar mapas conceptuales para detallar relación de los posibles riesgos informáticos para designar responsabilidades seccionadas y saber que personal está capacitado para atender dichos riesgos. -Estudiar posibles impactos en caso que algún riesgo sea factible, para establecer planes de contingencia y contramedidas concernientes. -Capacitar al personal para los beneficios del establecimiento PSI, del mismo modo, los riesgos a los que se expone la organización en caso que algún punto del plan no se cumpla. -Tener presente quienes son los responsables operativos de recursos expuestos a riesgos, para poder ejecutar a plenitud el PSI, tener bien especificado como poder usarlo en los momentos correctos con el fin que todas las funciones seccionadas prevalezcan. -Establecer mecanismos de control, vigilancia y monitoreo para estar atento ante riesgos presentes y latentes que atenten a la estabilidad organizacional, a su vez se debe haber seguimiento constante a los operadores para hacer respectivas validaciones y actualizaciones con el fin de preservar el PSI. -El PSI debe revisarse periódicamente, para tener presente nuevos riesgos y optimizar nuevos métodos para que el plan de seguridad responda a ellos. Todos estos puntos deben cumplir el siguiente esquema PSI :
2
Redes y seguridad Actividad 2
2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red.
R/
Ejemplo 1: Modificación. RECURSO AFECTADO
NOMBRE
CAUSA
EFECTO
Hub
Daño en Hub por un cortocircuito
Sección de red corporativa dañada, requiere cambio de Hub
Ofimática: Excel
No ejecuta debido a falta de validación de licencia
No se pueden hacer procesos contables
Físico
Servicio
Ejemplo 2: Intercepción. RECURSO AFECTADO
NOMBRE
CAUSA
EFECTO
Servicio
Servidor Web para transacciones bancarias
Ataque por medio de software malicioso
Datos de los clientes se hallan expuestos
Servicio
3
Servidor de Ingreso Bases de Datos autorizado, posible suplantación personal seguridad infiltración
Redes y seguridad Actividad 2
no
de de o
Violan la seguridad de la compañía y se modifica la base de datos de forma no Autorizada
Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topología, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. R/
NOMBRE
RIESGO (R)
IMPORTANCIA (W)
RIESGO EVALUADO (RXW)
DETALLE
Base de Datos
10
10
100
Servidor Web
9
10
90
Switch
5
5
25
PC
8
4
32
Impresora
2
2
4
Equipos de refrigeración
10
9
90
Los datos de toda la empresa se hallan almacenados , los datos de clientes, operaciones, etc. Este equipo mantiene a la compañía tener contacto con los usuarios por internet, esta infraestructura es vital El switch es un equipo activo que permite la conexión de varios equipos, a su vez puede configurarse Son equipos por donde los empleados pueden trabajar y cumplir las responsabilidades Dispositivo que permite tener en físico documentos importantes. Mantienen los equipos a un
4
Redes y seguridad Actividad 2
buen clima para evitar recalentamiento
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué d e sus privilegios.
R/
NOMBRE
GRUPO USUARIOS
Software contable
Grupo de auditores y contadores Clientes, Producto y Presupuesto Recursos humanos Técnicos de Mantenimiento Administradores de red Técnicos de Sistemas Grupo de HelpDesk
Base de Datos Archivos Servidor Pagina Web Acceso a Servidor, Router y Switch Acceso a Equipos Servidor de Aplicaciones Página web de la corporación Navegación web
DE
TIPO DE ACCESO
PRIVILEGIOS (PERMISOS OTORGADOS)
Local
Lectura
Local
Lectura
Local Local
Lectura y Escritura Lectura y Escritura.
Local y Remoto
Lectura y Escritura
Local
Todos
Local y remoto
Lectura y Escritura
Web master
Local y remoto
Lectura y Escritura
Personal al cliente
Local
Lectura
atención
Preguntas propositivas
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que sustentarán el manual de procedimientos que se diseñará luego. R/
Plan de seguridad
Separación de labores (control y vigilancia) por secciones de trabajo Protocolos para manejo de información de forma segura. Encriptación de datos. Generación de contraseñas de accesos con beneficios específicos y restricciones a ciertos grupos. Uso de llave privada y PGP.
5
Redes y seguridad Actividad 2
Auditorías internas programadas secuencialmente. Procedimiento de actualización de normas
Plan de Acción
Monitoreo de procesos. Actualización de contraseñas para Log-in. Capacitación constante para advertir al personal sobre amenazas presentes y futuras..
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teoría.
R/ MANUAL DE PROCEDIMIENTOS -Creación de cuentas para el correo corporativo. -Procedimiento para crear cuentas -Procedimiento de flujo de correo anti-spam -Procedimiento de protección de back-ups -Procedimiento de verificación de acceso para personal y privilegios -Procedimiento de control de flujo de datos -Procedimiento de conexión de redes inalámbricas -Procedimiento para detección de suplantación de personal -Procedimiento de chequeo de tráfico de red -Procedimiento de mantenimiento de servidores -Procedimiento de recuperación de información corporativa -Procedimiento para operar base de datos.
6
Redes y seguridad Actividad 2
Evidencia simulador Juego 1 redes
Pasos completos
Misión cumplida
7
Redes y seguridad Actividad 2