EVIDENCIA ACTIVIDAD N° 2“SEGURIDAD Y POLÍTICAS” PARA EL CURSO VIRTUAL DE APRENDIZAJE “REDES Y SEGURIDAD” SERVICIO NACIONAL DE APRENDIZAJE INSTRUCTORA: Ing. Claudia Ramírez Betancourt ALUMNO: Patricio Pérez Cárcamo Talcahuano, Chile, 13 de Septiembre de 2015. Para cumplir con los propósitos anteriores se deben seguir unos lineamientos como: a) Estudios de cada uno de los riesgos de carácter informático que sean propensos a afectar la funcionalidad de un elemento.Luego de estructurar el tipo de red a usar en la compañía y hacer su plan para hablar a la gerencia sobre las razones para instaurar políticas de seguridad informáticas (PSI). de entender que es importante el aseguramiento de los activos de la misma. PRESENTACIÓN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIÓN Para alcanzar la competitividad requerida en la actualidad en el ámbito comercial y demás. lo cual ayudará en la determinación de los pasos a seguir para la implementación de las PSI. se hace necesario la implementación y el cumplimiento efectivo de una serie de normas que minimicen el impacto de los riesgos que amenazan el funcionamiento de nuestra organización. dado que no siempre se está excepto de incidentes externos e internos que afecten la organización y su funcionalidad. basado en su plan anteriormente diseñado. para llegar a este manual de procedimientos. a través del cual la proteja todo tipo de vulnerabilidades. Es por todo lo anterior que se requiere un compromiso total para crear confianza en nuestros clientes y en los proveedores. para lo cual se debe demostrar la fiabilidad de los procesos que se realizan en la compañía. y se debe entender la forma en la que se hacen los procedimientos del manual. Desarrolle. sin embargo. sobre el mismo. se deben llevar a cabo diversas actividades previas. otro plan para presentar las PSI a los miembros de la organización en donde se evidencie la interpretación de las recomendaciones para mostrar las políticas. . partiendo. usted es el encargado de generar las PSI de la misma. es su objetivo actual crear un manual de procedimientos para su empresa. Preguntas Interpretativas 1 Como gestor de la seguridad de la red de la empresa. y determinar la minimización de riesgos a los que están sometidos los procesos de la misma. para darle soporte en la funcionalidad de las PSI y como utilizarlas en los procesos de cada recurso. y como este afecta al resto de la organización si llegará a caer. a su respectivo ente regulador y/o administrador. así como la aceptación de responsabilidades por parte de los operadores de los elementos. en los que se evidencien los 4 tipos de alteraciones principales de una red.D. e) Quizás uno de los aspectos más importantes es la monitorización y/o vigilancia cada recurso identificado como posible receptor de riesgos informáticos.b) Relacionar a él o los elementos identificados como posibles destinos de riesgo informático. d) Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo. pero con la ayudad de evidencia de cada proceso realizado antes de la actualización programada. en cada uno de los elementos anteriormente identificados. al menos 2 eventos diferentes a los de la teoría. Agregue al plan de presentación a los miembros de la organización. pero de igual forma se debe mencionar cada uno de los riesgos a los cuales están expuesto para concientizar a la empresa de lo importante que la implementación de las PSI. también se deben otorgar las responsabilidades en la utilización de los elementos señalados.E(Programa Diseñador de Equipos) Dispositivo controlador Producción errónea . Ejemplo 1: Modificación. en el momento que sea necesario. dado que este es quién posee la facultad para explicar la funcionalidad del mismo. lo cual se ejecutan con la simple finalidad de realizar una actualización completa y fácil de las PSI. c) Exposición de los beneficios para la organización. de igual forma el seguimiento a las operadores directos e indirectos de los mismos. 2 Las PSI tienen como base teórica implícita el algoritmo P-C. RECURSO AFECTADO NOMBRE CAUSA EFECTO Lógico Listado partes por comprar Instalación de software malintencionado Conflicto partes por comprar y partes por no comprar Servicio P. después de implementar las PSI. dado que ellos tienen el mayor compromiso de preservar la funcionalidad y el respaldo de los recursos a su cargo. Acceso no autorizado por contraseña robada Generación de información falsa de los proveedores. Genere una tabla como la presentada en la teoría. como routers. así como el estado actual de los pagos de los mismos. servidores. RECURSO AFECTADO Lógico Servicio NOMBRE Base de Clientes datos CAUSA EFECTO Robo información Lentitud en Conector de señal conexión Suministro de ilegal e I internet Internet y telefonía interceptación interceptación ilegal teléfonos. en la que tabule .Ejemplo N° 2 Intercepción. de acuerdo a la topología de red definida anteriormente. PREGUNTAS ARGUMENTATIVAS 1 Su empresa debe tener. RECURSO AFECTADO Lógico Servicio NOMBRE Ingresos por consignaciones bancarias Acceso proveedores CAUSA EFECTO Instalación de un programa que arroja consignaciones no realizadas Aparece la cuenta de la compañía con fondos no reales. terminales. Software espía de la a e de Ejemplo N° 3 Producción. etc. un conjunto de elementos que permitan el funcionamiento de esa topología. W=8 10*7=70 Bases de datos de las contraseñas de acceso R=10. W=10 10*10=100 Equipos de refrigeración de recursos informáticos R=10. . ya que se pueden reemplazar en cuestión de tiempo fácilmente. w= 1 3*1=3 Impresoras R= 6.al menos 5 elementos por sucursal. W= 3 6*3=18 Redes R=10. W=8 Recursos del Sistema N° 2 3 4 5 6 7 Pérdida (W) Riesgo Evaluado (R*W) 3 1 6 3 10 7 10 10 10 10 8 10 10 10 Nombre 1 Importancia (R) Equipo. y por consiguiente la asignación de puntaje es de W=1. D. El puntaje asignado a cada elemento debe ser explicado en detalle. N°2: Se le asignó un R= 6 dado que a través de ellas se obtienen evidencias físicas de las operaciones realizadas en la organización. Con resp. Computadores con respaldo de Disco duro R= 3. y tiene un W=3. W=10 10*10=100 Recurso Humano R=10. W=10 10*10=100 Servidores R=10. de Refrigeración Bases de Datos Redes Servidores Recurso: Humano 10*8=80 N°1: Este recurso tiene un R= 3 porque dado que la información contenida en ellos tiene un respaldo se pueden remplazar fácilmente.D Impresoras Equipo. y su W=10. dado que existe un respaldo anteriormente mencionado que almacena copias de las mismas. N°6: El R=10. dado que se pueden reemplazar por el personal técnico. y por ende. y su W=7. su W= 10. Su W= 10. porque es uno de los recursos más valiosos de una organización. y su W=8. N°5: Su R=10. N°7: Su R=10. N°4: El R=10. dado que conoce cómo funciona la operación de dicha compañía. N°3: Su R=10 porque al no estar funcionando por mucho tiempo provocan el recalentamiento de los equipos informáticos. debido a que con su ausencia la organización pierde funcionalidad por cuanta de la falta de comunicación. por la sencillas razón de que son el medio de conexión entre los diferentes entes de la organización. porque es el centro de toda la operatividad de la organización y la información contenida en él es vital para la funcionalidad de la misma. . porque sin este recurso la organización pierde operatividad en los diferentes procesos para los cuales se ha implementado las PSI. porque en ellas se encuentra la información de todos los relacionado a la empresa. Oficina Principal RECURSO DEL SISTEMA Númer o Riesgo Nombre Tipo de Acceso Permisos Otorgados Local Lectura y escritura 1 Cuarto de Grupo de Servidore Mantenimiento s 2 Software contable Grupo de Contadores.2 Para generar la vigilancia del plan de acción y del programa de seguridad. auditores Local Lectura 3 Archivo Grupo de Recursos Humanos Local Lectura y Escritura 4 Base de datos Clientes Grupo de Ventas y Cobros Local y Remoto Lectura y Escritura Riesgo Tipo de Acceso Permisos Otorgados Grupo de Cobro Jurídico Remoto Lectura Grupo de Remoto Lectura y Sucursal RECURSO DEL SISTEMA Númer o 1 Nombre Bases de datos clientes en mora Aplicación de . Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios. es necesario diseñar grupos de usuarios para acceder a determinados recursos de la organización. Generación de contraseñas de accesos con beneficios específicos y restricciones a ciertos grupos. . Encriptación de datos. cree el programa de seguridad y el plan de acción que sustentarán el manual de procedimientos que se diseñará luego. PROGRAMA DE SEGURIDAD Separación de labores (control y vigilancia) entre los departamentos y/o partes involucradas en la operatividad de la organización. PLAN DE ACCIÓN Monitoreo de procesos. y teniendo en cuenta las características aprendidas de las PSI. Creación de grupos de trabajos con funciones determinadas. Actualización y/o nueva asignación de contraseñas de acceso. Realización de backups permanentes en servidores diferentes a los que se encuentran en la misma organización. Firma de acuerdos de confidencialidad. Documentación de todos los procesos realizados en la misma.2 inventarios Gerentes Escritura PREGUNTAS PROPOSITIVAS 1 Usando el diagrama de análisis para generar un plan de seguridad. Protocolos para manejo de información de forma segura. Socialización y fijación de nuevas metas para blindar cada uno de los procesos ante ataques informáticos. Auditorías internas programadas secuencialmente. Auditorias. Vigilancia de los procesos realizados en los diferentes estamentos de la compañía permanentemente. Capacitaciones permanentes en aplicación de las políticas de seguridad informática y cómo estás influyen sobre la operatividad de la empresa. y que deben ser desarrollados en el manual de procedimientos. Procedimiento para recuperar información: Indispensable a la hora de preservar la información par cuando se necesite abrir un backups para restaurar la información que se necesita revisar. Agregue los que considere necesarios. Procedimiento para la verificación de máquinas de usuarios: realizar vigilancia sobre el equipo de un usuario y así detectar posibles amenazas. Procedimiento para el monitoreo de conexiones activas: detecta cuando una cuenta de usuario ha permanecido cierto tiempo inactiva. Procedimiento de modificación de archivos: realiza el seguimiento a los archivos modificados. Procedimiento de baja de cuenta: para cancelar una cuenta de usuario que ha estado inactiva por un lapso de tiempo prolongado. Procedimiento de verificación de acceso: obtener información de cada uno de los procesos realizados por dicho usuario. Procedimiento para dar a conocer las nuevas normas de seguridad: participa de manera anticipa la implementación de las nuevas normas. para su posterior inhabilidad y evitar posibles fraudes. Procedimiento para chequeo de volúmenes de correo: Entre otras la vigilancia en la información que se transmite. Procedimiento para resguardo de copias de seguridad: determina la ubicación exacta de las copias de seguridad para su integridad por si ocurre un accidente. Procedimiento para el monitoreo de los puertos en la red: idéntica la habilitación de los puertos y su funcionalidad. principalmente procedimientos diferentes a los de la teoría. y detectar ciertas irregularidades de navegabilidad. Procedimiento para el chequeo de tráfico de red: Obtener información referente a la anomalía en la utilización de programas no autorizados. PROCEDIMIENTOS Procedimiento de alta de cuenta: para otorgar acceso a un nuevo usuario con beneficios y restricciones en los sistemas de la empresa. y su función dentro de la organización. así como genera avisos al momento en que se intenta modificar un archivo no permitido. . Procedimiento para la determinación de identificación del usuario y para el grupo de pertenencia por defecto: asigna al usuario un grupo de pertenencia con sus respectivos beneficios y restricciones.2 Enuncie todos los procedimientos que debe tener en su empresa. pdf? MOD=AJPERES&CONVERT_TO=url&CACHEID=b708c1c9-d5f5-4845-b8f9f3485a39a332 .pdf http://www. Fuentes de consulta: http://instituciones.pdf+602+KB). Procedimiento para acceso remoto: genera permisos a ciertos usuarios con beneficios especiales para ingresar a la plataforma.uy/wps/wcm/connect/certuy/b708c1c9-d5f5-4845-b8f9f3485a39a332/politica+de+gestion+de+incidentes+(. Procedimiento para la detección de usuarios no autorizados: genera aviso al sistema del ingreso de usuarios no autorizados a la red. Procedimiento para la instalación y utilización de nuevos software: verificar la compatibilidad y seguridad de los mismos en un ambiente seguro antes de implementarlos en la organización.cu/dnspminsap/files/2013/08/Metodologia-PSI-NUEVAProyecto.cert.sld. Procedimiento de conectividad en rede inalámbricas: Permitir conexión de redes inalámbricas a usuarios con esos beneficios. Procedimiento para actualización de contraseñas de acceso: es recomendable actualizar contraseñas de acceso para evitar posibles fraudes.