Actividad 2 Recomendaciones para presentar la Actividad: Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente: Nombre Fecha Actividad Tema Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del manual. Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las PSI a los miembros de la organización en donde se evidencie la interpretación de las recomendaciones para mostrar las políticas. PLAN DE TRABAJO Presentación de las PSI mediante un plan de trabajo: El alcance de las PSI es entorno a todo el personal que conforma la organización, para que reconozcan que la información es uno de sus principales activos y un motor en el ámbito de los negocios. Objetivos de la política: Garantizar la seguridad de los sistemas informáticos Eliminar el mal uso de los datos, tales como acceso no autorizado a información de la empresa o venta de datos a la competencia. La responsabilidad del manejo las PSI recae en los ingenieros o técnicos encargados de esta área 1 Redes y seguridad Actividad 2 Requerimientos como un cuarto de comunicaciones que cuente con los equipos mínimos de redes que garanticen el buen manejo de los datos 2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red. Ejemplo N° 1 Modificación RECURSO AFECTADO NOMBRE CAUSA EFECTO Lógico Listado partes por comprar Instalación de software malintencionado Conflicto partes por comprar y partes por no comprar Servicio P.D.E(Programa Diseñador de Equipos) Dispositivo controlador Producción errónea Ejemplo N° 2 Intercepción RECURSO AFECTADO NOMBRE CAUSA Lógico Base de datos Clientes Software espía Físico Suministro de Internet y telefonía Conector de señal ilegal e I interceptación ilegal EFECTO Robo de información Lentitud en la conexión a internet e interceptación de teléfonos. Ejemplo N° 3 Producción. RECURSO AFECTADO NOMBRE CAUSA EFECTO Lógico Ingresos por consignaciones bancarias Instalación de un programa que arroja consignaciones no realizadas Aparece la cuenta de la compañía con fondos no reales. Acceso no autorizado por contraseña robada Generación de información falsa de los proveedores, así como el estado actual de los pagos de los mismos. Servicios Preguntas argumentativas 2 Redes y seguridad Actividad 2 Acceso proveedores 1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topología, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. Computadores con respaldo de Disco duro R= 3, w= 1 3*1=3 Impresoras R= 6, W= 3 6*3=18 Redes= R=10, W=10 10*10=100 Servidores R=10, W=10 10*10=100 Recurso: Humano R=10, W=10 10*10=100 Equipos de refrigeración de recursos informáticos R=10, W=8 Bases de datos de las contraseñas de acceso R=10, W=8 Recursos del Sistema N° Nombre Equipo. Con 1 resp. D.D 2 Impresoras Equipo. de 3 Refrigeración Bases de 4 Datos Redes 5 Servidores 6 7 Recurso: Humano 10*7=70 10*8=80 Importancia(R) Pérdida(W) Riesgo Evaluado (R*W) 3 1 3 6 3 18 10 7 70 10 8 80 10 10 10 10 100 100 10 10 100 N°1: Este recurso tiene un R= 3 porque dado que la información contenida en ellos tiene un respaldo se pueden remplazar fácilmente, y por consiguiente le puntaje de W=1. N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias físicas de las operaciones realizadas en la organización, y tiene un W=3, ya que se pueden reemplazar en cuestión de tiempo fácilmente. N°3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el recalentamiento de los equipos informáticos, y su W=7, dado que se pueden reemplazar por el personal técnico. N°4: El R=10, porque en ellas se encuentra la información de todos los relacionado a la empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que almacena copias de las mismas. 3 Redes y seguridad Actividad 2 N°5 Su R=10, por la sencillas razón de que son el medio de conexión entre los diferentes entes de la organización, y su W=10, debido a que con su ausencia la organización pierde funcionalidad por cuanta de la falta de comunicación. N°6: El R=10, porque es el centro de toda la operatividad de la organización y la información contenida en él es vital para la funcionalidad de la misma, y por ende, su W= 10. N°7: Su R=10, porque es uno de los recursos más valiosos de una organización, dado que conoce cómo funciona la operación de dicha compañía. Su W= 10, porque sin este recurso la organización pierde operatividad en los diferentes procesos para los cuales se ha implementado las PSI. 2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios. Oficina Principal RECURSO DEL SISTEMA Número Nombre Cuarto de 1 Servidores 2 Software contable 3 Archivo 4 Base de datos Clientes 4 Redes y seguridad Actividad 2 Riesgo Grupo de Mantenimiento Grupo de Contadores, auditores Grupo de Recursos Humanos Grupo de Ventas y Cobros Tipo de Acceso Permisos Otorgados Local Lectura y escritura Local Lectura Local Lectura y Escritura Local y Remoto Lectura y Escritura Sucursal RECURSO DEL SISTEMA Número Nombre Bases de datos 1 clientes en mora Aplicación 2 de inventarios Riesgo Tipo de Acceso Permisos Otorgados Grupo de Cobro Jurídico Remoto Lectura Grupo de Gerentes Remoto Lectura y Escritura Preguntas propositivas 1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que sustentarán el manual de procedimientos que se diseñará luego. PROGRAMA DE SEGURIDAD Y PLAN DE ACCION Para proteger y contrarrestar las violaciones a las PSI se tomaran estas medidas: Procedimiento de chequeo de eventos en el sistema Procedimiento de alta dé cuenta de usuario: Cuando un elemento de la organización requiere una cuenta de operación en el sistema Procedimiento de baja dé cuenta de usuario Este procedimiento es el que se lleva a cabo cuando se aleja un elemento de la organización o cuando alguien deja de trabajar por un determinado tiempo Procedimiento para determinar buenas contraseñas 2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teoría. PROCEDIMIENTOS Procedimiento de alta dé cuenta de usuario Procedimiento de baja de cuenta de usuario Procedimiento para determinar las buenas passwords Procedimientos de verificación de accesos Procedimiento para el chequeo del tráfico de la red Procedimiento para el monitoreo de los volúmenes de correo Procedimientos para el monitoreo de conexiones activas 5 Redes y seguridad Actividad 2 Procedimiento de modificación de archivos Procedimientos para el resguardo de copias de seguridad Procedimientos para la verificación de las máquinas de los Usuarios Procedimientos para el monitoreo de los puertos en la red Procedimientos de cómo dar a publicidad las nuevas Normas de seguridad Procedimientos para la determinación de identificación de Usuario y grupo de pertenencia por defecto Procedimientos para recuperar información 6 Redes y seguridad Actividad 2