Actividad 2_CRS

Anuncio
Actividad 2
Recomendaciones para presentar la Actividad:
 Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Evidencias 2.
 Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema
Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la
gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a través del cual la proteja
todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se
deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se
hacen los procedimientos del manual.
Preguntas interpretativas
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar
las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan
para presentar las PSI a los miembros de la organización en donde se evidencie la
interpretación de las recomendaciones para mostrar las políticas.
PLAN DE TRABAJO
Presentación de las PSI mediante un plan de trabajo:
El alcance de las PSI es entorno a todo el personal que conforma la organización, para que
reconozcan que la información es uno de sus principales activos y un motor en el ámbito de los
negocios.
Objetivos de la política:
Garantizar la seguridad de los sistemas informáticos
Eliminar el mal uso de los datos, tales como acceso no autorizado a información de la empresa o
venta de datos a la competencia.
La responsabilidad del manejo las PSI recae en los ingenieros o técnicos encargados de esta área
1 Redes y seguridad
Actividad 2
Requerimientos como un cuarto de comunicaciones que cuente con los equipos mínimos de
redes que garanticen el buen manejo de los datos
2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes a los de
la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red.
Ejemplo N° 1 Modificación
RECURSO
AFECTADO
NOMBRE
CAUSA
EFECTO
Lógico
Listado partes por
comprar
Instalación de
software
malintencionado
Conflicto partes por
comprar y partes
por no comprar
Servicio
P.D.E(Programa
Diseñador de
Equipos)
Dispositivo
controlador
Producción errónea
Ejemplo N° 2 Intercepción
RECURSO
AFECTADO
NOMBRE
CAUSA
Lógico
Base de datos
Clientes
Software espía
Físico
Suministro de
Internet y telefonía
Conector de señal
ilegal e I
interceptación ilegal
EFECTO
Robo de
información
Lentitud en la
conexión a internet
e interceptación de
teléfonos.
Ejemplo N° 3 Producción.
RECURSO
AFECTADO
NOMBRE
CAUSA
EFECTO
Lógico
Ingresos por
consignaciones
bancarias
Instalación de un
programa que
arroja
consignaciones no
realizadas
Aparece la cuenta
de la compañía con
fondos no reales.
Acceso no
autorizado por
contraseña robada
Generación de
información falsa
de los proveedores,
así como el estado
actual de los pagos
de los mismos.
Servicios
Preguntas argumentativas
2 Redes y seguridad
Actividad 2
Acceso
proveedores
1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un
conjunto de elementos que permitan el funcionamiento de esa topología, como
routers, servidores, terminales, etc. Genere una tabla como la presentada en la
teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.






Computadores con respaldo de Disco duro R= 3, w= 1 3*1=3
Impresoras R= 6, W= 3
6*3=18
Redes= R=10, W=10
10*10=100
Servidores R=10, W=10
10*10=100
Recurso: Humano R=10, W=10
10*10=100
Equipos de refrigeración de
recursos informáticos R=10, W=8
 Bases de datos de las contraseñas
de acceso R=10, W=8
Recursos del
Sistema
N°
Nombre
Equipo. Con
1
resp. D.D
2
Impresoras
Equipo. de
3
Refrigeración
Bases de
4
Datos
Redes
5
Servidores
6
7
Recurso:
Humano
10*7=70
10*8=80
Importancia(R)
Pérdida(W)
Riesgo
Evaluado
(R*W)
3
1
3
6
3
18
10
7
70
10
8
80
10
10
10
10
100
100
10
10
100
N°1: Este recurso tiene un R= 3 porque dado que la información contenida en ellos
tiene un respaldo se pueden remplazar fácilmente, y por consiguiente le puntaje de
W=1.
N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias físicas de
las operaciones realizadas en la organización, y tiene un W=3, ya que se pueden
reemplazar en cuestión de tiempo fácilmente.
N°3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el
recalentamiento de los equipos informáticos, y su W=7, dado que se pueden reemplazar
por el personal técnico.
N°4: El R=10, porque en ellas se encuentra la información de todos los relacionado a la
empresa, y su W=8, dado que existe un respaldo anteriormente mencionado que
almacena copias de las mismas.
3 Redes y seguridad
Actividad 2
N°5 Su R=10, por la sencillas razón de que son el medio de conexión entre los
diferentes entes de la organización, y su W=10, debido a que con su ausencia la
organización pierde funcionalidad por cuanta de la falta de comunicación.
N°6: El R=10, porque es el centro de toda la operatividad de la organización y la
información contenida en él es vital para la funcionalidad de la misma, y por ende, su
W= 10.
N°7: Su R=10, porque es uno de los recursos más valiosos de una organización, dado
que conoce cómo funciona la operación de dicha compañía. Su W= 10, porque sin este
recurso la organización pierde operatividad en los diferentes procesos para los cuales se
ha implementado las PSI.
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es
necesario diseñar grupos de usuarios para acceder a determinados recursos de la
organización. Defina una tabla para cada sucursal en la que explique los grupos de
usuarios definidos y el porqué de sus privilegios.
Oficina Principal
RECURSO DEL
SISTEMA
Número Nombre
Cuarto de
1
Servidores
2
Software
contable
3
Archivo
4
Base de
datos
Clientes
4 Redes y seguridad
Actividad 2
Riesgo
Grupo de
Mantenimiento
Grupo de
Contadores,
auditores
Grupo de
Recursos
Humanos
Grupo de Ventas
y Cobros
Tipo de
Acceso
Permisos
Otorgados
Local
Lectura y
escritura
Local
Lectura
Local
Lectura y
Escritura
Local y
Remoto
Lectura y
Escritura
Sucursal
RECURSO DEL
SISTEMA
Número
Nombre
Bases de
datos
1
clientes en
mora
Aplicación
2
de
inventarios
Riesgo
Tipo de
Acceso
Permisos
Otorgados
Grupo de
Cobro Jurídico
Remoto
Lectura
Grupo de
Gerentes
Remoto
Lectura y
Escritura
Preguntas propositivas
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en
cuenta las características aprendidas de las PSI, cree el programa de seguridad y el
plan de acción que sustentarán el manual de procedimientos que se diseñará luego.
PROGRAMA DE SEGURIDAD Y PLAN DE ACCION
Para proteger y contrarrestar las violaciones a las PSI se tomaran estas medidas:






Procedimiento de chequeo de eventos en el sistema
Procedimiento de alta dé cuenta de usuario:
Cuando un elemento de la organización requiere una cuenta de operación en el
sistema
Procedimiento de baja dé cuenta de usuario
Este procedimiento es el que se lleva a cabo cuando se aleja un elemento de la
organización o cuando alguien deja de trabajar por un determinado tiempo
Procedimiento para determinar buenas contraseñas
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser
desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teoría.
PROCEDIMIENTOS
Procedimiento de alta dé cuenta de usuario
Procedimiento de baja de cuenta de usuario
Procedimiento para determinar las buenas passwords
Procedimientos de verificación de accesos
Procedimiento para el chequeo del tráfico de la red
Procedimiento para el monitoreo de los volúmenes de correo
Procedimientos para el monitoreo de conexiones activas
5 Redes y seguridad
Actividad 2
Procedimiento de modificación de archivos
Procedimientos para el resguardo de copias de seguridad
Procedimientos para la verificación de las máquinas de los
Usuarios
Procedimientos para el monitoreo de los puertos en la red
Procedimientos de cómo dar a publicidad las nuevas
Normas de seguridad
Procedimientos para la determinación de identificación de
Usuario y grupo de pertenencia por defecto
Procedimientos para recuperar información
6 Redes y seguridad
Actividad 2
Descargar