Académique Documents
Professionnel Documents
Culture Documents
de Seguridad Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para hablar a la gerencia sobre las razones para instaurar polticas de seguridad informticas (PSI), es su objetivo actual crear un manual de procedimientos para su empresa, a travs del cual la proteja todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se hacen los procedimientos del manual.
Preguntas interpretativas 1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseado, otro plan para presentar las PSI a los miembros de la organizacin en donde se evidencie la interpretacin de las recomendaciones para mostrar las polticas. Respuesta:
Plan de comunicacin de las PSI El Administrador de red deber presentar un informe semanal sobre el estado de la red empresarial, adems se ordenaran los permisos administrativos de tal manera que el personal pueda trabajar de una manera cmoda pero a la vez segura, con contraseas de autentificacin al momento de iniciar la sesin laboral, adems de un firewall individual en cada ordenador. Los tcnicos debern presentar los proyectos de investigacin al gerente de seguridad antes de ser finalizados y enviados, estos no se podrn distribuir y solo tendrn acceso a l los tcnicos involucrados y el gerente de seguridad, adems quedaran guardadas las sesiones como evidencia de las personas que estuvieron trabajando con el proyecto en los diferentes horarios. El personal de mantenimiento solo podr trabajar en horas estipuladas en las que habr supervisores ratificando la correcta ejecucin de la tarea. 1 Redes y seguridad
Actividad 2
Con este plan se erradicaran: Los problemas de desaparicin de datos La insegura transmisin de la informacin La proliferacin de la informacin La incertidumbre sobre los horarios de las personas involucradas en una problemtica.
Ejemplificando un poco el planteamiento de estas polticas solo pensemos esta situacin, imaginmonos que en un da de trabajo normal, llega el gerente general de la empresa a su oficina y de repente su secretaria le dice que tiene una llamada al telfono, esta le comenta que lo solicitan desde presidencia, cuando llega a la junta directiva, la presidenta le dice que es necesario que se haga una transaccin bancaria desde un fondo a otro(el fondo monetario de la empresa)Si analizamos cmo va el proceso hasta aqu, podemos darnos cuenta de que le acaba de ser asignada una gran responsabilidad al gerente general de la empresa, nada ms y nada menos que el FME(Fondo monetario empresarial), con el cual trabaja la entidad y presta todos sus servicios En este caso se podran presentar falencias como: Ingresar mal el nmero a la hora de digitar la cuenta del fondo Que el computador donde se realiza la transaccin este interceptado Que el gerente general tenga malas intenciones con el dinero del fondo Que alguno de la junta directiva sea malintencionado con el fondo
Un sinfn de casos se nos puede presentar a la hora de realizar una accin que represente riesgos para una entidad en particular. Para esto hoy, queridos empleados, directivos y altos mandos les presentamos as polticas de seguridad informtica, con el nico fin de contrarrestar todo este tipo de ataques y ms que todo evitar, CLARO ESTA, no se garantiza la proteccin de la informacin de la empresa o entidad en cuestin si las PSI no son eficientemente aplicadas.
2 Redes y seguridad
Actividad 2
2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al plan de presentacin a los miembros de la organizacin, al menos 2 eventos diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones principales de una red.
Respuesta:
Interrupcin
Evento usuario causal Una persona dao la tarjeta electrnica Alguien apago el servidor bancario Alguien ataco mediante DoS el Host Por error se fisuro el cableado de la empresa
Efecto No poder acceder a la informacin No poder acceder a las cuentas No poder acceder a la Informacin No poder establecer conexiones entre empleados.
Intercepcin
Evento usuario causal Se ha instalado un filtro Se ha filtrado un Spyware en la red Se ha instalado un Troyano en un file Se han instalado Spliters a lo largo de los cables
Efecto Monitoreo de trfico entre el D.A y el user Copia de todas las acciones realizadas Envo de informacin desautorizada Conocimiento del trfico de info interna por externos
3 Redes y seguridad
Actividad 2
ModificacinIntegridad
Evento usuario causal Alguien ingreso al IoS del D.A Alguien modifico un numero de la cuenta Alguien cambio un bloque de cdigo Alguien cambio un cable ptico por uno ADSL
Efecto Se cambi info binaria vital Se transfiere a otra cuenta el dinero El hosting cambio su apariencia La conexin entre dispositivos carece de velocidad
Evento usuario causal Cambio de dispositivo Cambio de nmero de cuenta Redireccin hacia otra ip Instalacin de filtrerchips en los cables
Efecto Acceso a info Diferente a la original Deposicin bancaria en cuenta errnea Vista de otro hosting que difiere al real Emulacin de una conexin irreal entre ordenadores.
4 Redes y seguridad
Actividad 2
Preguntas argumentativas
1. Su empresa debe tener, de acuerdo a la topologa de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topologa, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle. Respuesta: Como es una empresa descentralizada donde todas las sucursales internamente trabajan como un todo, este es el diseo general para las sucursales. R. Sistema Nombre Riesgo (R,) Importancia (W,) R. Evaluado (R,*W,)
Numero
Detalles
Router
32
Terminal
Servidor
10
10
100
Cableado
28
D. Almacenamiento
24
5 Redes y seguridad
Actividad 2
2. Para generar la vigilancia del plan de accin y del programa de seguridad, es necesario disear grupos de usuarios para acceder a determinados recursos de la organizacin. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqu de sus privilegios. Respuesta: Como es una empresa descentralizada donde todas las sucursales internamente trabajan como un todo, este es el diseo general para las sucursales.
Tipo de acceso
Permisos otorgados
Detalles Los administradores solo necesitan acceso de lectura para poder gestionar el control de los datos Los de la junta directiva (altos mandos), tienen el control total sobre el servidor privado de la empresa, pero para evitar malentendidos mejor que se haga local, se puede tener mayor cobertura de monitoreo El personal de mantenimiento necesita diagnosticar y reparar, por eso se le da el acceso de L&E y es conveniente que se haga a nivel local para evitar prdidas, etc.
Cuentas bancarias
Administradores
Local y remoto
Lectura
Servidor privado
Junta directiva
Local
Lectura y Escritura
Terminales
Mantenimiento general
Local
Lectura y Escritura
6 Redes y seguridad
Actividad 2
Preguntas propositivas 1. Usando el diagrama de anlisis para generar un plan de seguridad, y teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de seguridad y el plan de accin que sustentarn el manual de procedimientos que se disear luego. Respuesta:
Los encargados de administrativa llegara y ejecutarn software de seguridad para evitar la intrusin por parte de externos a el sistema sin permiso previo
Se instalara un software de autentificacin donde solo se le otorgaran cuentas administrativas a los de la junta directiva, se pedir, nombre, cargo, entre otros campos para la informacin bsica
Se ejecutara un programa al inicio de cada terminal (como servicio) en el que sean guardadas todas las acciones correspondientes al empleado que uso el terminal.
Todos los usuarios debern al momento de ingresar a la entidad autenticarse mediante id y contrasea
Se implementara el programa de autentificacin en todas las terminales de la organizacin, este requerir Id y pass y automticamente cargar los datos de usuario correspondiente
7 Redes y seguridad
Actividad 2
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos diferentes a los de la teora. Respuesta: A mi parecer estos cuatro procedimientos deberan ser los esenciales en cualquier tipo de organizacin ay que su uso adecuado podra permitir verificar y monitorear todo el control de usuario respecto a la entidad y sus relaciones. Procedimiento de Ingreso de usuario a la entidad en cuestin Procedimiento de accin del usuario en la entidad en cuestin Procedimiento de acceso remoto del usuario a la entidad en cuestin Procedimiento de verificacin de salida del usuario de la entidad en cuestin
8 Redes y seguridad
Actividad 2