Actividad 2

Recomendaciones para presentar la Actividad:

Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarásEvidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Sandra Jaramillo moreno

Fecha 4/12/2013
Actividad Evidencia 2
Tema Políticas generales de seguridad

Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia
sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear
un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de
vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo
diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del
manual.

Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI
de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las
PSI a los miembros de la organización en donde se evidencie la interpretación de las
recomendaciones para mostrar las políticas.
RESPUESTA

a. Panorama actual sobre la seguridad informática en Colombia.

La seguridad informática ha sido un tema que ha cobrado importancia recientemente, entre otras
cosas, gracias a escándalos internacionales sobre1ciberespionaje, o violaciones en la web a
multinacionales.
Pese a la sonoridad de estos casos es poca la importancia que los colombianos le dan a
la seguridad en la web, es por ello que varias compañías especializadas en seguridad
informática han intentado divulgar cifras que alerten sobre las tácticas utilizadas para la extorsión y
el robo en la web.
Las empresas colombianas están perdiendo cerca de 40 millones de dólares por estos delitos 2.0,
una realidad que seguirá creciendo dado que en el último año esta modalidad aumentó del 36% al
56%, debido a que las empresas no toman las medidas necesarias para blindarse frente a los
delincuentes que ahora navegan en internet para saquear las empresas.
Según datos de la compañía Andina Digital Security en el último año cerca de 10 millones de
colombianos han sido víctimas de algún delito informático. Pero la problemática va más allá, el

1
Datos de “ANDINA DIGITAL SECURITY”
1 Redes y seguridad
Actividad 2
99.9% de las víctimas de estas modalidades delictivas no las denuncian, entendiendo así que las
denuncias por esta causa no superan la cifra de 23.000, según el Colegio Colombiano de
Juristas.
Estudios recientes revelan que el 77% de los colombianos (36 millones de personas) en algún
momento de sus vidas han sido víctimas de delincuentes informáticos. Así las pérdidas
financieras por ciberataques en los últimos doce meses ascienden a un monto de 79.180
millones de pesos.

b. Introducción de lo que es seguridad informática: Seguridad Informática se refiere a las

características y condiciones de sistemas de procesamiento de datos y su almacenamiento.
Donde, garantiza:

Confidencialidad.
Integridad.
Tiempo.
Costos.
Accesibilidad y disponibilidad.
No repudio.

c. Gestión de riesgo: Para cumplir con los propósitos anteriores se deben seguir unos
lineamientos como:

La Gestión de Riesgo es un método para determinar, analizar, valorar y clasificar el riesgo, para
posteriormente implementar mecanismos que permitan controlarlo.
En su forma general contiene cuatro fases
Análisis: Determina los componentes de un sistema que requiere protección, sus
vulnerabilidades que lo debilitan y las amenazas que lo ponen en peligro, con el resultado de
revelar su grado de riesgo.
Clasificación: Determina si los riesgos encontrados y los riesgos restantes son aceptables.
Reducción: Define e implementa las medidas de protección. Además sensibiliza y capacita los
usuarios conforme a las medidas.
Control: Analiza el funcionamiento, la efectividad y el cumplimiento de las medidas, para
determinar y ajustar las medidas deficientes y sanciona el incumplimiento.

d. Las políticas deben:

Definir qué es seguridad de la información, cuáles son sus objetivos principales y su

importancia dentro de la organización
Mostrar el compromiso de sus altos cargos con la misma
Definir la filosofía respecto al acceso a los datos
Establecer responsabilidades inherentes al tema
Establecer la base para poder diseñar normas y procedimientos referidos a
o Organización de la seguridad
o Clasificación y control de los datos

2 Redes y seguridad
Actividad 2
 o Seguridad de las personas
o Seguridad física y ambiental
o Plan de contingencia
o Prevención y detección de virus
o Administración de los computadores

e. A partir de las políticas se podrá comenzar a desarrollar, primero las normas, y luego los
procedimientos de seguridad que serán la guía para la realización de las actividades.

Un mecanismo de seguridad física y lógica que se adapte a las necesidades de la compañía

y al uso de los empleados
Un procedimiento para administrar las actualizaciones
Una estrategia de realización de copias de seguridad planificada adecuadamente
Un plan de recuperación luego de un incidente (el objetivo es que no llegue hasta ese punto)
Un sistema documentado actualizado
El proceso de monitoreo y evaluación, para dar seguimiento a los planes operativos está
deficiente y no integrado en estos: Implementar procesos y medidas de protección, para
garantizar la seguridad, no es una cosa que se hace una vez y después se olvide, sino
requiere un control continuo de cumplimiento, funcionalidad y una adaptación periódica, de
las medidas de protección implementadas, al entorno cambiante.

f. Hacer referencia el costo-beneficio para implementar las PSI. según lo mencionado

anteriormente se debe realizar amenazar potenciales que pueden sufrir con la perdidas que
puede generar adicionando la probabilidad de ocurrencia y de ahí empieza a ejecutarse los
mecanismo de seguridad.

2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la
organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones
principales de una red.
Según los tipo de alteraciones Tipos de recursos
Interrupción Físicos
Intercepción Lógicos
Modificación Servicios
Producción

ALTERACION RECURSO NOMBRE CAUSA EFECTO

AFECTADO
SERVICIO CORREO INTERNO CORTO EN LA RED NO ENVIAR
ELECTRICA Y EL CORREOS POR LA
SERVIDOS DE DAÑO INTRANET
FISICO COMPUTADORES FALTA DE NO FUNCIONA LOS
ALIMENTACION COMPUTADORES
INTERRUPCCION
ELECTRICA

3 Redes y seguridad
Actividad 2
ALTERACION RECURSO NOMBRE CAUSA EFECTO
AFECTADO
SERVICIO CORREO SE INSTALO UN VIRUS PERMITE ACCESO
ELECTONICO QUE PERMITE A LA
LIBERACION CORRESPONDECIA
DE LOS PUERTOS Y TANTO INTERNA Y
LIBRE ACCESO A EXTERNA
ARCHIVOS
INTERCEPCIÓN LOGICO BASE DE DATOS SE INSTALO UN URTAR
DE LOS CLIENTES TROYANO QUE INFORMACION DE
PERMITE DUPLICAR LOS CLIENTES Y
CONTRASEÑAS Y EMPLEADOS Y
ALMACENARLAS EN MANEJO
UN CORREO EXTERNO. CONTABLES

ALTERACION RECURSO NOMBRE CAUSA EFECTO

AFECTADO
SERVICIO PAGINA WEB INGRESO Y ALTERO SE COLOCA
MALINTESIONADAMEN INFORMACION QUE
TE LA PRESENTACION DESPRESTIGIA LA
DE LA PAGINA Y EMPRESA E
INHABILITO ACCESO INCOMUNICA EN
POR REDES TODA SU GESTION
INTERNAS(INTRASNET) ABMINISTRATIVA Y
MODIFICACION
Y EXTERNAS PRODUCTIVA
(INTERNET)
LOGICO ACCESO A SE INSTAURO UN INHABILITA A LA
INGRESO DE SOFTWARE QUE ADMINISTRACION
DATOS PAGINA INHABILITA PUERTOS DE LA PAGINA WEB
WEB DE ENTRADA Y SALIDA DE LA COMPAÑÍA

ALTERACION RECURSO NOMBRE CAUSA EFECTO

AFECTADO
SERVICIO INTERNET MODIFICA GENERA
RESTRICCIONES DE INFORMACION
SERVIDOR Y ENRUTA REAL COMO UN
LA INFORMACION A HECHO.
OTRO LADO PRODUCCION
INCORRECTA
LOGICO DATOS DE LAS CREAN RUTAS SE GENERA UN
PRODUCCIÓN
TRANSACCIONES ALTERNAS LOGICAS BASE DE DATOS DE
CONTABLES EN PARA QUE LOS TRANSACCIONES
MERCADO RECURSOS LLEGEN A COMO SI FUERAN
INTERNACIOANL OTRO SITIO VIRTUAL REALES, ES
FANTASMA DETECTABLE SOLO
CUANDO HAGA
RECLAMOS.

4 Redes y seguridad
Actividad 2
Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de

elementos que permitan el funcionamiento de esa topología, como routers, servidores,
terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5
elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

RECURSOS FISICO Y LOGICOS DEL SISTEMA TOTAL

RIESGO IMPORTANCIA
SURCURSAL RIESGO
CANTIDAD NOMBRE R W R*W
1 SERVIDOR ADMINITRADOR DE DATOS 10 10 100
2 SERVIDOR DE RESPALDO 10 10 100
4 SERVIDOR WEB 9 9 81
4 SERVIDOR E-MAL 9 9 81
1 SERVIDOR SISTEMA DE SEGURIDAD 10 10 100
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA,
SEDE CENTRAL TELEFONICA (PBX))
PRINCIPAL
6 SWITCH 8 7 56
EN-CORE
6 ROUTERS 8 7 56
12 ACCESS POINT 10 10 100
4 MODEMS 6 6 36
12 COMPUTADORAS 10 10 100
3 EQUIPO SISTEMA DE REFRIERACION 10 10 100
5 TELEFONOS IP 7 8 56
3 SOFTWARE BASE DE DATOS 10 10 100
2 RECURSO HUMANO (ADMINISTRADORES) 10 10 100
5 Redes y seguridad
Actividad 2
 RECURSOS FISICO Y LOGICOS DEL SISTEMA TOTAL
RIESGO IMPORTANCIA
SURCURSAL RIESGO
CANTIDAD NOMBRE R W R*W
1 SERVIDOR ADMINITRADOR DE DATOS 10 10 100
1 SERVIDOR WEB 9 9 81
1 SERVIDOR SISTEMA DE SEGURIDAD 10 10 100
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA)
SUCURSAL 3 SWITCH 8 7 56
1 2 ROUTERS 8 7 56
MEDELLIN 4 ACCESS POINT 10 10 100
2 MODEMS 6 6 36
5 COMPUTADORAS 10 10 100
1 EQUIPO SISTEMA DE REFRIERACION 10 10 100
2 TELEFONOS IP 7 8 56
2 SOFTWARE BASE DE DATOS 10 10 100
1 RECURSO HUMANO (ADMIISTRADOR) 10 10 100

RECURSOS FISICO Y LOGICOS DEL SISTEMA TOTAL

RIESGO IMPORTANCIA
SURCURSAL RIESGO
CANTIDAD NOMBRE R W R*W
1 SERVIDOR ADMINITRADOR DE DATOS 10 10 100
2 SERVIDOR DE RESPALDO 10 10 100
4 SERVIDOR WEB 9 9 81
4 SERVIDOR E-MAL 9 9 81
1 SERVIDOR SISTEMA DE SEGURIDAD 10 10 100
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
SUCURSAL PUERTAS, CAMARA DE VIGILANCIA,
2 CENTRAL TELEFONICA (PBX))
BOGOTA 3 SWITCH 8 7 56
3 ROUTERS 8 7 56
10 ACCESS POINT 10 10 100
4 MODEMS 6 6 36
6 COMPUTADORAS 10 10 100
2 EQUIPO SISTEMA DE REFRIERACION 10 10 100
3 TELEFONOS IP 7 8 56
3 SOFTWARE BASE DE DATOS 10 10 100
1 RECURSO HUMANO (ADMINISTRADORES) 10 10 100

6 Redes y seguridad
Actividad 2
 RECURSOS FISICO Y LOGICOS DEL SISTEMA TOTAL
RIESGO IMPORTANCIA
SURCURSAL RIESGO
CANTIDAD NOMBRE R W R*W
1 SERVIDOR ADMINITRADOR DE DATOS 10 10 100
1 SERVIDOR WEB 9 9 81
1 SERVIDOR SISTEMA DE SEGURIDAD 10 10 100
(ALARMA DE INCEDIOS, HURTO FISICO,
ACTUDORES PARA ABRIR Y CERRAR
PUERTAS, CAMARA DE VIGILANCIA)
SUCURSAL 3 SWITCH 8 7 56
3 2 ROUTERS 8 7 56
MEDELLIN 4 ACCESS POINT 10 10 100
2 MODEMS 6 6 36
5 COMPUTADORAS 10 10 100
1 EQUIPO SISTEMA DE REFRIERACION 10 10 100
2 TELEFONOS IP 7 8 56
2 SOFTWARE BASE DE DATOS 10 10 100
1 RECURSO HUMANO (ADMIISTRADOR) 10 10 100
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar
grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para
cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios.

SUCURSAL RECURSO DEL SISTEMA TIPO DE PERMISOS

RIESGO
NÚMERO NOMBRE ACCESO OTORGADOS
Infraestructura
Equipos de red cableada
(servidores ,routers, etc) Grupo de Lectura y
1 Equipos de red Mantenimiento
Local
escritura
inalámbricas (routers y
punto de acceso)
SEDE Programas de
PRINCIPAL administración Grupo de
EN-CORE 2 (contabilidad, tesorería y , Local Lectura
manejo de personal, auditores
Software contable…etc.)
Grupo de
Archivo (base de datos Lectura y
3 internos y externos)
insumos y Local
Escritura
producción
Grupo de
Local y Lectura y
4 Base de datos Clientes Ventas y
Remoto Escritura
Cobros

7 Redes y seguridad
Actividad 2
 RECURSO DEL SISTEMA
SUCURSAL NÚMERO NOMBRE TIPO DE PERMISOS
RIESGO
ACCESO OTORGADOS
Grupo de
Bases de datos
1 clientes en mora
Cobro Remoto Lectura
1 Jurídico

2
Aplicación de Grupo de Lectura y
Remoto
3 inventarios Gerentes Escritura
2

Preguntas propositivas

1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las
características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que
sustentarán el manual de procedimientos que se diseñará luego.

PROGRAMA DE SEGURIDAD

Alcance de la política se refiere en cuanto se restringe el acceso de información a las personas

o personal por los tanto se crean grupos de trabajos con funciones determinadas.
Separación de labores (control y vigilancia) entre los departamentos y/o partes involucradas en
la operatividad de la organización.
Dispositivos de biométricos o sensores de seguridad
Generación de contraseñas de accesos con beneficios específicos y restricciones a ciertos
grupos.
Firma de acuerdos de confidencialidad.
Programas que generen restricciones o utilice protocolos para manejo de información de forma
segura.
Codificación y Encriptación de datos.
Realización de Auditorías internas programadas y no programadas.
Vigilancia de los procesos realizados en los diferentes estamentos de la compañía
permanentemente.
Ejecución de backups permanentes en servidores diferentes a los que se encuentran en la
misma organización.
Finalmente, como documento dinámico de la organización, deben seguir un proceso de
actualización periódica sujeto a los cambios organizacionales relevantes: crecimiento de la

8 Redes y seguridad
Actividad 2
 planta de personal, cambio en la infraestructura computacional, alta y rotación de personal,
desarrollo de nuevos servicios, cambio o diversificación de negocios.

PLAN DE ACCIÓN
Monitoreo y evaluación de los proceso procesos.
Estar latente y conocimiento de los nuevos y posibles ciberataques y generar cambios en
infraestructura y software.
Actualización y/o nueva asignación de contraseñas de acceso.
Auditorias.
Capacitaciones permanentes en aplicación de las políticas de seguridad informática y cómo
estás influyen sobre la operatividad de la empresa.

2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere necesarios,
principalmente procedimientos diferentes a los de la teoría.

Procedimiento de Control de cuentas

ProcedimientoOtorgar o retirar: el acceso de personas a las tecnologías de información y como
se controla el mismo. Incluyendo derechos y permisos sobre los ficheros y datos a los
usuarios.
Procedimiento de definir perfiles de trabajo.
Autorización y control de la entrada/salida de las tecnologías de información.
Gestionar las claves de acceso considerando para cada nivel el tipo de clave atendiendo a su
longitud y composición, la frecuencia de actualización, quién debe cambiarla, su custodia, etc.
Realización de copias de respaldo, según el régimen de trabajo de las áreas, de forma que las
copias se mantengan actualizadas, y las acciones que se garanticen el acceso de información
y el compartimiento de esta según el nivel confidencialidad.
Procedimiento control del tráfico de red: Obtener información referente a la anomalía en la
utilización de programas no autorizados.
o Almacenamiento y análisis de registros de auditoria, especificando quien lo realiza y
con qué frecuencia
o El monitoreo de los puertos en la red: idéntica la habilitación de los puertos y su
funcionalidad
Identificación de tipos de ataques: (pasivos o activos)
o Pasivos: Se observa solo los datos sin alterarlos
o Activos: Modifica y afecta la información.

9 Redes y seguridad
Actividad 2