EVIDENCIA ACTIVIDAD N° 1

“REDES Y MODELO OSI”

PARA EL CURSO VIRTUAL DE APRENDIZAJE

“REDES Y SEGURIDAD”

SERVICIO NACIONAL DE APRENDIZAJE

INSTRUCTORA: Ing. Claudia Ramírez Betancourt

ALUMNO: Patricio Pérez Cárcamo

Talcahuano, Chile, 06 de Septiembre de 2015.

MATERIAL DE ANÁLISIS

Caso real: Usted ha sido contratado en una empresa colombiana, llamada “En-core”, que presta servicios de investigación tecnológica para las empresas del país. Su sede principal se encuentra en Medellín, el mismo lugar donde, hipotéticamente, usted residirá. Esta empresa está en un proceso de expansión, por lo que andan construyendo 2 sucursales más en la misma ciudad, y una de ellas en la capital del país, Bogotá. Usted ha sido contratado para gestionar la seguridad de las redes de esta empresa, debido a que maneja datos críticos y secretos para la competencia. Usted tiene técnicos a su cargo, personal de mantenimiento, y un administrador de red por cada sede (4 en total). De acuerdo a esta situación, responda las siguientes preguntas:

Preguntas interpretativas

1. Antes que nada, un gestor de seguridad debe entender de manera intuitiva los modelos de transmisión y recepción de información. Use una situación de la vida cotidiana, diferente a la expresada en la documentación, para explicarles a sus empleados los elementos del modelo de transmisión-recepción de información.

RESPUESTA:

En este caso, el ejemplo a utilizar es cuando nos sentamos a comer:

Estando en la mesa, alguien inicia una conversación, todas las personas que están en la mesa escuchan atentamente el tema, hasta que la persona que está hablando dirige una pregunta a una persona específica en la mesa. Esa persona, luego de analizar y entender el tema de conversación, contesta la pregunta, la que es oída y recibida por la persona que formuló la pregunta. Acto seguido a esto, una de las personas enciende el televisor, para poder ver las noticias, mientras otras personas en la mesa siguen su tema de conversación; a pesar de que existe ruido por la periferia, las personas que están en la mesa con su tema de conversación, siguen sin ningún problema. Luego, una de las personas se levanta de la mesa, y genera una pregunta a todos “alguien quiere postre??”, de las cuales, dos personas contestan que sí y otra no contesta; acto seguido a esto, la persona trae los postres a todos, excepto a la persona que no contesto.

La persona que no recibe postre, pregunta porque no se lo trajeron, y la persona que traía los mismos, contesta que no había recibido confirmación de su pregunta, por lo tanto asumió que no estaba interesada en dicho postre, por lo que regresa a la cocina y trae el postre a la persona que no lo había recibido.

Mientras miran la TV, aparece un spot en inglés, y una de las personas comenta de que no entiende lo que dicen, por lo que una de las personas pregunta a otra que está en la otra sala (que entiende el idioma) si puede traducirle lo que decía el comercial; esta persona traduce de manera rápida lo que dice, le da la información a la persona que preguntó y ésta le da la información a la persona que no había entendido el spot.

2. Es objetivo principal del gestor de seguridad explicar el efecto de las políticas de seguridad informática. Explique a los directores de la empresa la siguiente expresión “Las PSI no generan un sistema más óptimo, ni más rápido, ni más eficiente a la hora de procesar información, pero son vitales para la organización”

RESPUESTA:

Resulta imprescindible que contemos con un sistema de gestión y de respuesta ante incidentes, desastres o pérdidas, generar políticas de resguardo y concentración de la información, resulta en una “inversión a futuro”, dado que podremos mantener la organización y estructura administrativa-funcional de la organización. Estas políticas no interferirán en el plan de trabajo ya existente, ni modificarán ni mejorarán los cursos de acción preestablecidos, sino más bien los reforzarán y entregarán una línea redundante en caso de ser requerida alguna acción especial que no haya sido contemplada en el plan de trabajo normal.

Preguntas argumentativas

1. La gestión principal de seguridad de una red se da en la capa 4 cuando se habla de elementos técnicos, y en la capa 8 cuando se habla de elementos administrativos. ¿Por qué?

RESPUESTA:

Dado de que la mayoría de los procesos, industriales, informáticos, financieros, etc. Son procesados, finalmente, por un eslabón humano, se habla de aplicaciones que transportan (capa 4) información generada desde un ente humano, fuera del modelo de referencias (el ser humano como capa 8).

Toda forma de envío o transporte de información, recae en el hecho de que pasará en algún momento por una capa administrativa, la que genera dicha información, la que sí es mal generada, el medio tan solo la transmitirá, se asegurará de que llegue a destino y sea decodificada (si corresponde). Si esta información está mal expresada (como el ejemplo del documento), esta llegará a destino de manera mal expresada.

2. ¿Por qué debemos tener en cuenta la capa 8 a la hora de generar una política de seguridad informática?

RESPUESTA:

Porque el eslabón más débil en la cadena de la seguridad es el usuario (capa 8), es aquí en donde se generan la mayoría de los problemas de seguridad en una organización.

Preguntas propositivas

1. De acuerdo con los tipos de redes existentes, y la estructura de la empresa en la que se encuentra, proponga la forma en la que los elementos deben interconectarse entre sí, tanto en los edificios, como entre las sedes de una misma ciudad, y a su vez con la sucursal en la capital. Defina el tipo de red por alcance, por topología, por dirección de los datos, y todas las características que considere deban tener la definición de la misma.

RESPUESTA:

Primero definimos la estructura y arquitectura de red de la empresa, la que corresponde a una LAN. La LAN de la empresa, deberá contar con canales de comunicación full dúplex, en una topología BUS, redundante y enlaces ETHERCHANNEL, la idea es aprovechar las velocidades de los anchos de banda existentes en el mercado. Esta LAN deberá tener una salida hacia el exterior, por un equipo de capa 3 (Router o Switch L3), este equipo actuará como “Border Gateway”, efectuará las comunicaciones con la red LOCAL y la red EXTERNA, desde donde se podrá conectar una CAN, con un máximo de alcance de unos 4 KM, en una VLAN exclusiva que permita el envío de tráfico desde y hacia internet; teniendo en cuenta que la topología externa deberá ser en ESTRELLA, se mantendrá un enlace hacia internet (idealmente dos o tres enlaces, para redundancia y disponibilidad), esto permitirá mantener contacto con la LAN remota que se encuentra en la sucursal, por medio de MPLS, o tal vez por medio de una MAN configurada en VPN, ambos con conexión sincrónica (mismo downlink – uplink) con enlace dedicado de unos 10 Mbps. En cada extremo, se tendrá una conexión cliente-servidor, cada server actuará como el administrador de conexión, detrás de cada equipo capa 3, con direccionamiento ESTÁTICO. El método a utilizar para el enlace de la LAN-CAN será guiado (fibra óptica – UTP) y para el enlace entre CAMPUS – MAN será de manera inalámbrica en 3 ó 5 Ghz (enlace punto a punto). (VER HOJA SIGUIENTE),

2. Proponga un plan de trabajo de comunicación inicial, teniendo en cuenta los diversos problemas en capa 8, para explicar las medidas de seguridad que se impondrán. Tenga en cuenta que en este plan no debe estar incluído lo que se dirá, ni el porqué, sino solo los pasos a seguir para comunicar las PSI, las personas involucradas y prioritarias, los tipos de problemas que se cubrirán, etc.

RESPUESTA:

Un plan de trabajo puede considerar lo siguiente:

Crear consciencia en el empleado por medio de charlas y ejemplos gráficos.

Incentivar la reserva de la información por medio de motivación. Capacitación del personal (cursos, charlas, presentaciones). Evaluaciones constantes de desempeño. Diseñar perfiles de usuario por medio de cédulas de ciudadanía y password

único e intransferible. Limitar el acceso hacia la red exterior, esto debe quedar reservado solo

para gerentes y supervisores de área. Crear roles de responsabilidad física en los distintos departamentos. Crear un ciclo de relevos de cargos controlados Evitar el recargo de trabajo, creando comité de trabajo común. Activación de DLP para uso de dispositivos extraíbles. Cifrado de discos en sectores sensibles. Amonestación verbal en una primera instancia (si ocurre un incidente). Amonestación con suspensión de sueldo (si reincide por 2ª vez). Suspensión / despido de funciones (reincidente 3ª vez). Informar de manera personal a cada uno de los trabajadores del plan de

trabajo creado. Incentivar actividades recreativas para el personal, a fin de que estos

trabajen en un ambiente ameno y agradable.