Beruflich Dokumente
Kultur Dokumente
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear
un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo
diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del
manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI
de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las
PSI a los miembros de la organización en donde se evidencie la interpretación de las
recomendaciones para mostrar las políticas.
RESPUESTA
La seguridad informática ha sido un tema que ha cobrado importancia recientemente, entre otras
cosas, gracias a escándalos internacionales sobre1ciberespionaje, o violaciones en la web a
multinacionales.
Pese a la sonoridad de estos casos es poca la importancia que los colombianos le dan a
la seguridad en la web, es por ello que varias compañías especializadas en seguridad
informática han intentado divulgar cifras que alerten sobre las tácticas utilizadas para la extorsión y
el robo en la web.
Las empresas colombianas están perdiendo cerca de 40 millones de dólares por estos delitos 2.0,
una realidad que seguirá creciendo dado que en el último año esta modalidad aumentó del 36% al
56%, debido a que las empresas no toman las medidas necesarias para blindarse frente a los
delincuentes que ahora navegan en internet para saquear las empresas.
Según datos de la compañía Andina Digital Security en el último año cerca de 10 millones de
colombianos han sido víctimas de algún delito informático. Pero la problemática va más allá, el
1
Datos de “ANDINA DIGITAL SECURITY”
1 Redes y seguridad
Actividad 2
99.9% de las víctimas de estas modalidades delictivas no las denuncian, entendiendo así que las
denuncias por esta causa no superan la cifra de 23.000, según el Colegio Colombiano de
Juristas.
Estudios recientes revelan que el 77% de los colombianos (36 millones de personas) en algún
momento de sus vidas han sido víctimas de delincuentes informáticos. Así las pérdidas
financieras por ciberataques en los últimos doce meses ascienden a un monto de 79.180
millones de pesos.
Confidencialidad.
Integridad.
Tiempo.
Costos.
Accesibilidad y disponibilidad.
No repudio.
c. Gestión de riesgo: Para cumplir con los propósitos anteriores se deben seguir unos
lineamientos como:
La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.
En su forma general contiene cuatro fases
Análisis: Determina los componentes de un sistema que requiere protección, sus
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de
revelar su grado de riesgo.
Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los
usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.
2 Redes y seguridad
Actividad 2
o Seguridad de las personas
o Seguridad física y ambiental
o Plan de contingencia
o Prevención y detección de virus
o Administración de los computadores
e. A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que serán la guía para la realización de las actividades.
2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la
organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones
principales de una red.
Según los tipo de alteraciones Tipos de recursos
Interrupción Físicos
Intercepción Lógicos
Modificación Servicios
Producción
3 Redes y seguridad
Actividad 2
ALTERACION RECURSO NOMBRE CAUSA EFECTO
AFECTADO
SERVICIO CORREO SE INSTALO UN VIRUS PERMITE ACCESO
ELECTONICO QUE PERMITE A LA
LIBERACION CORRESPONDECIA
DE LOS PUERTOS Y TANTO INTERNA Y
LIBRE ACCESO A EXTERNA
ARCHIVOS
INTERCEPCIÓN LOGICO BASE DE DATOS SE INSTALO UN URTAR
DE LOS CLIENTES TROYANO QUE INFORMACION DE
PERMITE DUPLICAR LOS CLIENTES Y
CONTRASEÑAS Y EMPLEADOS Y
ALMACENARLAS EN MANEJO
UN CORREO EXTERNO. CONTABLES
4 Redes y seguridad
Actividad 2
Preguntas argumentativas
6 Redes y seguridad
Actividad 2
RECURSOS FISICO Y LOGICOS DEL SISTEMA TOTAL
RIESGO IMPORTANCIA
SURCURSAL RIESGO
CANTIDAD NOMBRE R W R*W
1 SERVIDOR ADMINITRADOR DE DATOS 10 10 100
1 SERVIDOR WEB 9 9 81
1 SERVIDOR SISTEMA DE SEGURIDAD 10 10 100
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA)
SUCURSAL 3 SWITCH 8 7 56
3 2 ROUTERS 8 7 56
MEDELLIN 4 ACCESS POINT 10 10 100
2 MODEMS 6 6 36
5 COMPUTADORAS 10 10 100
1 EQUIPO SISTEMA DE REFRIERACION 10 10 100
2 TELEFONOS IP 7 8 56
2 SOFTWARE BASE DE DATOS 10 10 100
1 RECURSO HUMANO (ADMIISTRADOR) 10 10 100
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar
grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para
cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios.
7 Redes y seguridad
Actividad 2
RECURSO DEL SISTEMA
SUCURSAL NÚMERO NOMBRE TIPO DE PERMISOS
RIESGO
ACCESO OTORGADOS
Grupo de
Bases de datos
1 clientes en mora
Cobro Remoto Lectura
1 Jurídico
2
Aplicación de Grupo de Lectura y
Remoto
3 inventarios Gerentes Escritura
2
Preguntas propositivas
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las
características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que
sustentarán el manual de procedimientos que se diseñará luego.
PROGRAMA DE SEGURIDAD
8 Redes y seguridad
Actividad 2
planta de personal, cambio en la infraestructura computacional, alta y rotación de personal,
desarrollo de nuevos servicios, cambio o diversificación de negocios.
PLAN DE ACCIÓN
Monitoreo y evaluación de los proceso procesos.
Estar latente y conocimiento de los nuevos y posibles ciberataques y generar cambios en
infraestructura y software.
Actualización y/o nueva asignación de contraseñas de acceso.
Auditorias.
Capacitaciones permanentes en aplicación de las políticas de seguridad informática y cómo
estás influyen sobre la operatividad de la empresa.
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría.
9 Redes y seguridad
Actividad 2