Nombre ANGELA BIVIANA CARVAJAL MANCHEGO Fecha 31 DE

Anuncio
Nombre
Fecha
Actividad
Tema
ANGELA BIVIANA CARVAJAL MANCHEGO
31 DE OCTUBRE DEL 2012
ACTIVIDAD 2
POLITICAS GENERALES DE LA SEGURIDAD
PREGUNTAS INTERPRETATIVAS
1.
Como gestor de la seguridad de la red de la empresa, usted es el encargado de
generar las PSI de la misma. Desarrolle, basado en su plan anteriormente
diseñado, otro plan para presentar las PSI a los miembros de la organización en
donde se evidencie la interpretación de las recomendaciones para mostrar las
políticas.
R/ta Es importante que al momento de formular las políticas de seguridad informática,
se consideren por o menos los siguientes aspectos:* Efectuar un análisis de riesgos
informáticos, para valorar los activos y así adecuar las políticas a la realidad de la
empresa.
* Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las violaciones
a
las
políticas.
* Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,
incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos
de
seguridad.
* Identificar quién tiene la autoridad para tomar decisiones en cada departamento,
pues son ellos los interesados en salvaguardar los activos críticos su área.
* Monitorear periódicamente los procedimientos y operaciones de la empresa, de
forma tal, que ante cambios las políticas puedan actualizarse oportunamente.
* Detallar explícita y concretamente el alcance de las políticas con el propósito de
evitar situaciones de tensión al momento de establecer los mecanismos de seguridad
que respondan a las políticas trazadas.
2.
Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de
presentación a los miembros de la organización, al menos 2 eventos diferentes
a los de la teoría, en los que se evidencien los 4 tipos de alteraciones
principales de una red.
1. Siendo como tema principal la protección, manejo y fluidez de información vital para la
compañía, debemos hacer análisis de acuerdo a los riesgos que en una compañía
podrían presentar. Sin ellos nos quedaríamos rápidamente fuera del negocio y por tal
razón la Presidencia y la Junta Directiva tienen el deber de preservarlos, utilizarlos y
mejorarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar
que la información y los sistemas informáticos estén apropiadamente protegidos de
muchas clases de amenazas y riesgos tales como fraude, sabotaje, espionaje industrial,
extorsión, violación de la privacidad, intrusos, hackers, interrupción de servicio,
accidentes
y
desastres
naturales.
La información perteneciente a La compañía debe protegerse de acuerdo a su valor e
importancia. Deben emplearse medidas de seguridad sin importar cómo la
información se guarda (en papel o en forma electrónica), o como se procesa (PCs,
servidores, correo de voz, etc.), o cómo se transmite (correo electrónico, conversación
telefónica). Tal protección incluye restricciones de acceso a los usuarios de acuerdo a
su cargo.
PREGUNTAS ARGUMENTATIVAS
1. Su empresa debe tener, de acuerdo a la topología de red definida
anteriormente, un conjunto de elementos que permitan el funcionamiento de
esa topología, como routers, servidores, terminales, etc. Genere una tabla
como la presentada en la teoría, en la que tabule al menos 5 elementos por
sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.
Modem: R1=7 W1=5 WR1 =R1*W1= 7*5=35
Ruteador: R2=7 W2=4 WR2 =R2*W2= 7*4=28
Switch:
R3=3 W3=4 WR3= R3*W3= 3*4=12
Servidor: R4=10 W4=10 WR4= R4*W4= 10*10 =100
Terminales: R5=4 W5=3 WR5= R5*W5= 4*3 =12
RECURSO DEL SISTEMA | RIESGO (R) | IMPORTANCIA (W) | RIESGO EVALUDADO(R*W)
| NUMERO | NOMBRE |
1 | MODEM
| 5 | 7 | 35 |
2 | RUTEADOR | 4 | 7 | 28 |
3 | SWITCH
| 3 | 4 | 12 |
4 | SERVIDOR | 10 | 10 | 100|
5 | TERMINALES | 4 | 3 | 12 |
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es
necesario diseñar grupos de usuarios para acceder a determinados recursos de
la organización. Defina una tabla para cada sucursal en la que explique los
grupos de usuarios definidos y el porqué de sus privilegios.
SUCURSAL PRINCIPAL
RECURSO DEL SISTEMA | RIESGO | TIPO DE ACCESO | PRIVILEGIOS OTORGADOS |
NOMBRE | | | |
Servidores/Administración de privilegios/instalación –Eliminación de Software | Grupo
de Ingenieros y soporte de RED | Local y Remoto | Lectura /Escritura |
Bases de Datos/Textos y documentación | Personal Operativo | Local |
Lectura/Escritura |
Verificación de Procesos y procedimientos | Auditoria /jefe de Seguridad | Local |
Lectura |
Autorización y dominio de recursos corporativos | Personal Administrativo | Local |
Lectura |
SUCURSALES METROPOLITANAS
RECURSO DEL SISTEMA | RIESGO | TIPO DE ACCESO | PRIVILEGIOS OTORGADOS |
NOMBRE | | | |
Servidores/ instalación –Eliminación de Software | Soporte de RED y Tecnología | Local
y Remoto | Lectura /Escritura |
Bases de Datos/Textos y documentación | Personal Operativo | Local |
Lectura/Escritura |
Autorización y dominio de recursos corporativos | Personal Administrativo | Local |
Lectura |
SUCURSALES NACIONALES
RECURSO DEL SISTEMA | RIESGO | TIPO DE ACCESO | PRIVILEGIOS OTORGADOS |
NOMBRE | | | |
Servidores/ instalación –Eliminación de Software | Soporte de RED y Tecnología | Local
y Remoto | Lectura /Escritura |
Bases de Datos/Textos y documentación | Personal Operativo | Local |
Lectura/Escritura | Autorización y dominio de recursos corporativos | Personal
Administrativo | Local | Lectura |
Grupo de Ingenieros y soporte de RED
Se les otorga Administración completa de la Red ya que son el grupo especializado en
mantener el óptimo funcionamiento de los recursos físicos de la compañía, así mismo
en coordinación con la jefatura de seguridad informática se supervisa
El pleno cumplimiento de los protocolos para el manejo de la red y la información
interna como externa de la corporación.
Personal Operativo
Se les otorga lectura y escritura con un nivel más bajo de privilegios ya que manejan
bases de Datos y sistemas de consulta como su actualización esto en registro de datos
como clientes e inventarios de la corporación.
Personal Administrativo
Se les otorga lectura ya que no están a cargo de modificación de Bases de Datos o
administración del sistema, delegan funciones y responsabilidades de acuerdo a los
procesos y procedimientos establecidos.
PREGUNTAS PROPOSITIVAS
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en
cuenta las características aprendidas de las PSI, cree el programa de seguridad y el plan
de acción que sustentarán el manual de procedimientos que se diseñará luego.
Una PSI deberá abarcar:
* Alcance de la política, incluyendo sistemas y personal sobre el cual aplica.
* Objetivos de la política y descripción clara de los elementos involucrados en su
definición.
* Responsabilidad de cada uno de los servicios, recursos y responsables en todos los
niveles de la organización.
* Responsables de los usuarios con respecto a la información que generan y a la que
tienen acceso.
* Requerimientos mínimos para la configuración de la seguridad de los sistemas al
alcance de lo especificado en la política.
* Definición de violaciones y las consecuencias del no cumplimiento de la política.
* Por otro lado la política debe especificar la autoridad que debe hacer que las cosas
ocurran, el rango, el cargo de los correctivos y sus actuaciones, así podremos dar
indicaciones sobre las sanciones pertinentes en cada caso.
* Explicaciones sobre las PSI libres de tecnicismos y términos legales siempre y
cuando no sacrifiquen el entendimiento de las mismas.
* Constante Auditoria y supervisión para el cumplimiento constante de estas sin
afectar la operación.
* Finalmente como proceso de la compañía deberá seguir un proceso de mejoras y
actualización, sujeto a los constantes cambios corporativos de la empresa tales como
crecimiento de la planta de personal o nuevos equipos.
2…... Enuncie todos los procedimientos que debe tener en su empresa, y que deben
ser desarrollados en el manual de procedimientos. Agregue los que considere
necesarios, principalmente procedimientos diferentes a los de la teoría.
A continuación expreso las que a mi parecer deberían tenerse en cuenta a parte de las
que ya se ven en la teoría ya que son muy generalizadas.
* El desarrollo de instrucciones para controlar incidentes
* Creación del sector o determinación del responsable: Designación del administrador
de seguridad.
* La identificación de las herramientas de software para responder a incidentes y
eventos.
* La investigación y desarrollo de nuevas políticas de seguridad informática.
* La realización de actividades formativas y de motivación
* La realización de investigaciones acerca de virus
* La ejecución de estudios relativos a ataques de sistema
* La investigación constante de personal que está manipulando de forma negativa las
herramientas informáticas de la compañía.
Descargar