Actividad 2 Recomendaciones para presentar la Actividad: Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente: Nombre Fecha Actividad Tema Alejandro Sarabia Arango Agosto 27 de 2012 2 Plan de Sistemas de Información Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a través del cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del manual. Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las PSI a los miembros de la organización en donde se evidencie la interpretación de las recomendaciones para mostrar las políticas. El Plan de Sistemas de Información tiene como objetivo la obtención de un marco de referencia para el desarrollo de sistemas de información que responda a los objetivos Estratégicos de la organización. Este marco de referencia consta de: - Una descripción de la situación actual, que constituirá el punto de partida del Plan de Sistemas de Información. Dicha descripción incluirá un análisis técnico de puntos fuertes Y riesgos, así como el análisis de servicio a los objetivos de la organización. - Un conjunto de modelos que constituya la arquitectura de información. - Una propuesta de proyectos a desarrollar en los próximos años, así como la prioridad de Realización de cada proyecto. 1 Redes y seguridad Actividad 2 - Una propuesta de calendario para la ejecución de dichos proyectos. - La evaluación de los recursos necesarios para los proyectos a desarrollar en el próximo Año, con el objetivo de tenerlos en cuenta en los presupuestos. Para el resto de Proyectos, bastará con una estimación de alto nivel. - Un plan de seguimiento y cumplimiento de todo lo propuesto mediante unos mecanismos De evaluación adecuados. La perspectiva del plan debe ser estratégica y operativa, no tecnológica. La presentación del Plan de Sistemas de Información y la constitución del equipo supone el arranque del proyecto y es fundamental que las más altas instancias de la organización Estén implicadas en ambos, dando el apoyo necesario y aportando todo tipo de medios. Explicar el plan a las personas de la organización y a las unidades organizativas afectadas sobre las que recaerá el Plan, el apoyo de los altos directivos y la cualificación de los recursos de las distintas unidades implicadas, serán factores críticos de éxito del Plan de Sistemas de Información. A continuación se incluye un gráfico que representa la secuencia de actividades del Proceso PSI. 2 Redes y seguridad Actividad 2 2. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red. Recursos Afectados Nombre Causa Efecto Servicio Servidor Web para transacciones Bancarias Ataque por medio de Man–in–TheMiddle Ó Phishing Servicio Servicio Web Ataque Dos Físico Servicio Telefónico Cable de Cortado Físico Servicio Computador Servidor de Bases de Datos Fuerte de Poder Ingreso no autorizado Se conoce la Información del Cliente y le Violan la Información Personal. No hay acceso a la página Internet Bloqueado No hay comunicación con la empresa No enciende en pc Violan la seguridad de la compañía y se modifica la base de datos de forma no Autorizada ADSL Preguntas argumentativas 1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topología, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. 3 Redes y seguridad Actividad 2 Lo Primero que se debe hacer es un plan de contingencia ya que debemos saber cuáles son los mayores riesgos para nuestra compañía la calificación se hará de 1 al 10 donde 1 es el riesgo mínimo y 10 será el recurso con más riesgo lo cual se deduce que 1 es el riesgo de importancia mínimo y 10 es el riesgo con mayor importancia. NOMBRE RIESGO (R) IMPORTANCIA (W) RIESGO EVALUADO (RXW) DETALLE Base de Datos 10 10 100 Servidor Web 8 10 80 Swith 3 5 15 PC 7 3 21 Impresora 2 1 2 Esta es la razón de ser de la empresa porque allí están almacenados los detalles de los clientes y los productos de la empresa. Es un Equipo costoso por el tema de los servicios que están montados. El swith es un equipo activo que se puede cambiar, resetear y volver a configurar. Son los equipos lo cual los empleados procesan información se puede modificar y cambiar piezas fácilmente. Recurso para la elaboración de trabajos lo cual si se 4 Redes y seguridad Actividad 2 daña se cambia con facilidad. 2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios. NOMBRE GRUPO USUARIOS Base de Datos Empleados y Administración Clientes, Producto y Presupuesto Usuario Técnicos de Mantenimiento Administradores de red Técnicos de Sistemas Base de Datos Acceso a Internet Servidor Pagina Web Acceso a Servidor, Router y Swith Acceso a Equipos DE TIPO ACCESO DE PRIVILEGIOS Local Solo Lectura Local Solo Lectura Local Local Local y Remoto Solo Lectura Lectura y Escritura. Lectura y Escritura Local Todos Preguntas propositivas 1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que sustentarán el manual de procedimientos que se diseñará luego. Procedimiento de buenas contraseñas: Determinar buenas contraseñas de usuario que deben contener letras, números y caracteres para que sea más difícil de descifrar para que sea más tedioso para el software que descifran las claves. Procedimiento de actualización de normas: debemos tener en cuenta que diariamente surgen nuevos ataques en la parte informática y podemos tener vulnerabilidad al ataque de nuestro sistema. Procedimiento de alta cuenta de usuarios: se lleva a cabo cuando se crea una cuenta de usuario teniendo en cuenta datos personales, cargo y funciones a realizar. 5 Redes y seguridad Actividad 2 2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teoría. Procedimiento para Acceso a la red Procedimiento de chequeo del sistema Procedimiento constante de cambio de contraseña segura con combinación de letras, números y caracteres. Procedimiento para el mantenimiento de Servidores Procedimiento para la modificación de las bases de datos Procedimiento para el mantenimiento de los equipos activos de la red Procedimiento para verificar el tráfico de la red. Procedimiento para guardar las copias de seguridad. Procedimiento para la recuperación de información. Procedimiento Monitorio de conexiones activas 6 Redes y seguridad Actividad 2 7 Redes y seguridad Actividad 2