Actividad 2

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Evidencias 2. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema Diego Omar Gil Varga 2013-02-17 Actividad 2 Plan de Seguridad Informtica

Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para hablar a la gerencia sobre las razones para instaurar polticas de seguridad informticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a travs del cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del manual.

Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las recomendaciones para mostrar las polticas. Rta:/ La empresa, consciente de que la informacin de la Entidad y sus Clientes es un activo esencial para el normal desarrollo de las actividades comerciales y operativas, promueve la implementacin, ejecucin y mejora continua de un Sistema de Gestin de Seguridad de la Informacin que garantice la integridad, disponibilidad, confidencialidad y calidad de la misma y de esta forma garantizar altos estndares de seguridad y calidad a nuestra informacin y la de nuestros Clientes. Polticas de Gestin de seguridad de informacin: a) Se implementara bajo el marco de la norma ISO/IEC 27001:2005, la norma PCI. b) Se elaborara un plan de comunicaciones y socializacin de las polticas a todos los interesados en la empresa. c) Para garantizar los niveles de seguridad de la informacin, se debe cumplir con los siguientes criterios : a. Criterio de Seguridad: Confidencialidad, Integridad, y disponibilidad

1 Redes y seguridad
Actividad 2

b. Criterio de Calidad: Efectividad, Eficiencia, Confiabilidad d) Todos los documentos del plan de seguridad deben ser revisados el comit de seguridad elegido para este fin. e) Los archivos con informacin sensible que se intercambien deben venir cifrados y con firma digital. Adicionalmente, cualquier transmisin de intercambio de archivo se realizara de forma segura (https, ftps, sftp). f) No se almacenara en base de datos por ningn motivo informacin sensible por ejemplo PINESm claves, y contraseas. g) Es obligatorio el uso de certificados digitales con servidores donde sea necesario constatar la identidad del usuario. 2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red. INTERRUPCION Recurso Afectado Servicio Nombre Tarjetas Chip Causa Se ingreso un nuevo producto para las tarjetas Chip de la franquicia XXXXX No se tiene dispositivo de alta disponibilidad. Efecto No se estn autorizando transacciones por error en el software Ocasiona una desconexin parcial con el host central.

Fsico

Contingencia del Router

INTERCEPCION Recurso Afectado Lgico Nombre Informacin confidencial las tarjetas Causa Al crear nuevas tarjetas se guarda la informacin de la pista II y Offset No se valida el cdigo de seguridad de las TC Efecto Puede provocar fraude en la clonacin de tarjetas No hay seguridad en las transacc, no presenciales.

de

Servicio

Validacin cdigo seguridad

del de

MODIFICACION Recurso Afectado Lgico Nombre Cambio longitud de de Causa Se cambi de 8 decimales a 16 Efecto Los datos pueden ocasionar

2 Redes y seguridad
Actividad 2

decimales UVR

del

decimales

Servicio

Servicio de des marcacin en centrales de riesgo

Se pudo ingresar y desmarcar a varios clientes en centrales de riesgo

desbordamiento en los procesos de clculo de intereses. Los datos fueron modificados y no existe control de riesgo crediticio.

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topologa, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

Grupo
Informacin Informacin

Nombre
Estructurada (DBs) No Estructurada (Exc Pdfs el, , Docs, txts, htmls) Informacin en medio fsico (impresa) Sistemas de informacin del Negocio Sistemas Operativos Bases de Datos Centros de cmputo y tele comunicaciones Oficina, superficies de trabajo normal Archivo Fsico Servidores Impresoras Red POS, ATMS LAN,

Riesgo 7 5 5 7 7 7 7 5 7

Importancia 3 3 3 5 5 5 5 6 7 10 5 5 10 10

Riesgo Evaluado 21 15 15 35 35 35 35 30 49 100 25 25 100 100

Informacin

Software

Software Software Locacin Fsica Locacin Fsica Locacin Fsica Hardware Hardware Hardware Hardware Red

Porttiles , PCs

10 5 en 5 10 10

WAN---

3 Redes y seguridad
Actividad 2

Humanos

RO, SW, AP Roles Funcionales (usuarios, consultores, ingenieros) Roles de Soporte y Mantenimiento IT Utilities, Acceso a Internet, Sitio Web, Correo-e (Yahoo)

25

Humanos

5 7

5 3

25 21

Servicio

2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de sus privilegios. Grupo Administrador Descripcin Administradores, Privilegios Todos Comentarios Este perfil permite el acceso a todas las partes de la red y aplicacin. Este perfil permite dar acceso no permitidos o es especiales a otros usuarios Este perfil tiene permisos de revisin y monitoreo de procesos Este perfil no tiene permisos para cambio de seguridad, es solo operativo. Revisin de problemas en aplicativos.

Seguridades

Seguridad

Acceso, ejecucin

sin

Monitoreo

Monitoreo

Acceso para reiniciar procesos que hayan tenido alertas Solo ejecutan procesos

Computo

Centro de computo

Desarrollador

Desarrolladores

Acceso de consulta y revisin de problemas de aplicativos

Preguntas propositivas

4 Redes y seguridad
Actividad 2

1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que sustentarn el manual de procedimientos que se disear luego. 2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teora. Seguridad de la informacin. Provee todos los procedimientos gestin, revisin, y organizacin de la poltica de seguridad. Riesgos de la informacin. Procedimientos para evaluacin peridica de los activos de la empresa. Seguridad de personal. Comprende procedimientos relacionados gestin de la confidencialidad de la informacin, terminacin o cambio de empleo de funcionarios, procesos disciplinarios, etc. Seguridad fsica y entorno. Corresponde a accesos permitidos, seguridad en centros de cmputo, cableado, mantenimiento de equipos, etc. Control de acceso. Acceso a usuarios, administracin de contraseas, restriccin de almacenamiento portable, etc. Requisitos legales. Derechos de propiedad horizontal, legislacin, procedimientos de fuga de informacin, etc.

5 Redes y seguridad
Actividad 2

6 Redes y seguridad
Actividad 2