Retroalimentación / Ayuda Ejercicios Semana 2

SENA. De clase mundial Developed by Roymer Romero Algarín - [email protected] - 2012

SENA Centro Comercio y Servicios – Regional Atlántico

RETROALIMENTACIÓN DE LOS EJERCICIOS DE LA SEMANA 2 USANDO LAS

EVIDENCIAS DE ALGUNOS COMPAÑEROS

El este documento encontrará los ejercicios de la semana 2, realizados por algunos compañeros,

los cuales les recomiendo leer, utilizar para guiarse en el desarrollo de estas actividades y adquirir

una retroalimentación extra.

HAROLD AGUIRRE ARCILA

EJERCICIO 1

FACTORES DE RIESGO:

Interrupción

RECURSO AFECTADO NOMBRE CAUSA EFECTO

Servicio

Comunicación en general (tanto dentro de cada sucursal como

entre ellas)

El sistema de software que administraba la información fue

infiltrado y ralentizado.

Colapso, no se puede prestar el servicio ya que no se puede ver la

información ni modificarla

Físico Cableado y sistema de antenas.

La falta de mantenimiento del

cableado y las antenas.

No se puede enviar ni recibir información.

Intercepción


Lógico Infiltración al servidor

central. Espías en el sistema. Duplicado de la

información con fines malintencionados.

Servicio No llega al receptor la

información. Instalación de software de re‐

direccionamiento.

Inconformismo de los usuarios.



Modificación


Servicio Pagina web. Infiltración y

manipulación de la misma.

Los usuarios no pueden ingresar ni

observar la información deseada.

Lógico Error en la relación de

datos. Virus.

Información no correspondiente al usuario en cuestión.

Producción


Servicio Pagina web Infiltración y

manipulación de la misma.

Alteración en los precios de los

servicios que ofrece la empresa

Lógico Software de la

empresa.

Hay logrado romper la seguridad y ralentizar todos los procesos

que se llevan

Lentitud en el servicio al cliente

ALGORITMO P‐C

WRi=Ri*Wi

RECURSO DEL SISTEMA Riesgo (Ri)

Importancia

(Wi)

Riesgo evaluado

(Ri*wi) Numero Nombre

1 Servidor central

* 8 1 8

2 Antenas 5 0.3 1.5

3 Equipos de

computo 5 0.3 1.5



4 cableado 7 0.3 2.1

5 Conexión

eléctrica 6 0.2 1.2

6 Personal propio 7 0.5 3.5

*servidor central: existen varios servidores centrales en nuestro sistema de red

hay uno por cada sucursal, uno por cada ciudad para reunir la información de las sucursales de esta ciudad y hay otro para la información general del país. O sea nuestro sistema puede llegar a ser vulnerable.

EJERCICIO 2

EQUIPO (PROTECCIÓN FÍSICA):

Alcance:

� Estas directrices se implementaran en toda la planta y a todas las sucursales de la empresa

con vinculación a las áreas que interactúan con los equipos de cómputo.

Objetivo:

� Prestar seguridad física a los equipos de cómputo de la empresa tanto de amenazas

internas como de amenazas externas para así garantizar la confiabilidad de la información

evitando su alteración o posible duplicación lo que conllevaría a graves consecuencias de

seguridad para los clientes como para la empresa.

Responsables:

� La seguridad de cada equipo recae principalmente sobre el personal al cual se le ha

confiado este para su uso y trabajo, ya que la integridad física del equipo beneficia o perjudica su

labor, además de tener seguridad privada y todo un sistema de monitoreo al servicio de la

empresa para conservar sus recursos y activos fijos intactos.



POLITICAS:

1. Todos los equipos de cómputo tienen un responsable el que deberá velar por su buen uso.

2. Las áreas donde se tiene equipo de propósito general cuya misión es critica estarán sujetas

a los requerimientos de la dirección o administración de la empresa.

3. Los accesos a las áreas críticas deben ser solo permitidos al personal autorizado por la

dirección o administración de la empresa.

4. La dirección o la administración será la única que tendrá acceso a los demás equipos de

cómputo que están unidos a la red sin ninguna restricción.

5. Considerando la gran importancia de la información que almacenan los equipos como los

servidores de la empresa, las oficinas van a ser protegidas por medio de cámaras de seguridad

ubicadas en lugares estratégicos, más puertas eléctricas que se abrirán desde adentro y que solo

algunas personas (las más confiables) conservaran las llaves de acceso desde el exterior.

CONTROL DE ACCESOS (TÉCNICAS O LÓGICAS):

Alcances:

� Las siguientes políticas se implementaran a solo aquellas áreas de trabajo donde se tenga

constante contacto con la información clasificada de la empresa que representen un riesgo para la

misma.

Objetivos:

� Minimizar la obtención de información privilegiada por personal no autorizado y no

facilitar las actividades perjudiciales por parte del operario y/o usuario de la empresa.

Responsables:

� El compromiso por parte de los técnicos en soporte y mantenimiento de los equipos debe

ser total, la entrega y la honestidad de estos debe ser irrevocable para que las políticas aquí

consignadas se manejen correctamente.



POLITICAS:

1. Cada usuario y/o operario tendrá una contraseña la cual será en determinados tiempos

modificada.

2. La información que contengan los equipos de cómputo más relevante y que no sea

necesaria para los procesos que lleva a cabo ese operario o usuario serán removidos del equipo

como medida preventiva.

3. Se hará constante monitoreo a la información que maneja cada operario y su computador

para así ir filtrando la información que este maneja y no permitir que se maneje información

indebida en el área que no corresponde que podría ser utilizada con finalidades perversas para la

empresa.

4. Solo el personal de mantenimiento podrá tener conocimiento de las claves de acceso a los

computadores de la empresa o de un área en especial, lo que le atribuye una gran responsabilidad

a estas personas.

5. Se creara una relación muy sincera tanto hasta de confidencialidad entre los trabajadores

para así detectar los posibles malos usos de información clasificada entre área y área de trabajo.

6. Restringir los permisos al personal que no pertenezcan a estas áreas de trabajo solo en las

condiciones excepcionales que consideren la administración y/o la dirección de la empresa.

UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS):

Alcances:

� Todo el personal asignado a las tareas de oficina, ya que son los mas relacionados con la

recepción y emisión de información que se debe prevenir de ser alterada, extraviada u omitida, lo

que los hace el foco de las presentes políticas dirigidas a la utilización de los recursos de la red.

Objetivos:



� Garantizar el mejor flujo posible de información explotando de la mejor forma las

capacidades que nos ofrece el sistema de redes y reduciendo lo máximo posible los errores

humanos para así conseguir la confiabilidad, eficacia y rapidez en el proceso de comunicación.

Responsables:

� La responsabilidad de la correcta implementación de estas políticas es muy general (para

los oficinistas) pero hay personal que tiene un grado mayor de responsabilidad como son el comité

(se podría decir así) de formación y sensibilización, por el rol de difusión que tienen en cada una

de sus áreas de trabajo.

POLITICAS

1. Invalidar las opciones de ingreso por parte de otros usuarios de la empresa a la red por

medio de sus equipos permitiendo ingresar a bases de datos y software con ciertos privilegios y

poder perjudicar considerablemente la empresa.

2. Codificar de maneras diferentes el acceso a los servidores y sistemas que puedan arriesgar

la integridad de la información.

3. Crear un grupo de seguridad compuesto por un representante de cada área de trabajo

para impartir capacitaciones acerca del manejo de la comunicación de la empresa solo para darle

un manejo óptimo a toda la infraestructura de la red.

4. Instalación de antispyware y cortafuegos, mas la constante supervisión de los sistemas de

comunicación para coaptar a posibles infiltrados en el sistema por parte de un cuerpo

especializado en seguridad informática de la empresa.

SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS):

Alcances:

� Todo el personal asignado a las tareas de oficina, ya que son los directamente afectados si

llegara a suceder algo con alguno de los software que utilizan para sus diversos procesos.

Objetivo:



� Garantizar el óptimo rendimiento de los softwares de la empresa vitales para sus

operaciones y funciones tanto al interior, como los ofrecidos.

Responsabilidad:

� El compromiso por parte de los técnicos en soporte y mantenimiento de los equipos debe

ser total, la entrega y la honestidad de estos debe ser irrevocable para que las políticas aquí

consignadas se implementen correctamente.

POLITICAS:

1. Restricción de ingreso a determinados equipos por medio de la red.

2. Contraseñas para el ingreso a los equipos.

3. Minimización de privilegios que el sistema pudiese brindar.

4. Manejar pocos responsables que administren las contraseñas para así aumentar el peso de

su responsabilidad.

5. Mantener actualizado el sistema de antivirus y antispyware.

6. Hacer constantes copias de seguridad de la información.

7. Obtener las últimas versiones estables de los programas utilizados en la empresa.

SUPERVISIÓN Y EVALUACIÓN (AUDITORIAS Y ALARMAS)

Alcance:

� Todos los campos de trabajo puesto que de cada uno se elegirá uno para tener una

persona con los suficientes criterios de evaluación para dar un dictamen de la evolución o por el

contrario del retroceso en la practica de las políticas.

Objetivo:



� Alcanzar la evaluación más profunda posible acerca de cuales son los problemas que

pueden estar presentando alguna de las áreas implicadas con el manejo de la información y la

vulnerabilidad de la empresa frente a ese tipo de información.

Responsables:

� Las directivas, los representantes de cada área de trabajo que se considere que deba

pertenecer al grupo trabajo.

POLITICAS

1. Se creara un grupo de trabajo interdisciplinario para bridar auditoria a las diferentes áreas

de trabajo de la empresa, para así periódicamente hacer evaluaciones y si es necesario crear

nuevas políticas que den respuestas a los inconvenientes que se presentasen en sus respectivas

áreas.

2. Dar informe extraordinario si es el caso de alguna alteración de seguridad sin importar el

área de trabajo que sea, si se ha evaluado su pertinencia para prestarle atención y dar pronta

solución.

3. Dar apoyo entre áreas para la implementación de las políticas y su posterior evaluación.

4. Concebir la mejor metodología para la corrección de algún percance que tenga que ver

con el entendimiento de las políticas y/o su implementación.

EJERCICIO 3

PROCEDIMIENTOS POR CATEGORIAS

EQUIPO (PROTECCIÓN FÍSICA):

1) Campaña de concientización del buen uso de los equipos de cómputo.

2) Diseño de requerimientos y permisos por parte de las directivas y la administración para

el acceso a las oficinas o mas lugares que manipulen computadores.



3) Dar a conocer a la dirección y/o administración de la forma de ingresar a los demás

equipos para las necesidades que se puedan presentar.

4) Instalación de cámaras y software para la administración de la seguridad de ciertos sitios

por parte ya sea de la seguridad privada que se contrate, o por la administración o directivas de la

empresa.

CONTROL DE ACCESOS (TÉCNICAS O LÓGICAS):

1) Impartir capacitaciones a todo aquel personal que tenga una relación directa con los

equipos de cómputo de la empresa acerca de la información que es de interés de otras áreas y así

limitar la entrega de información que entre área y área que no sea necesaria y que represente un

riesgo.

2) Dar a conocer al resto del personal que no interactúa con los sistemas sus restricciones de

ingreso a ciertos lugares.

3) Manejo de contraseñas.

UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS):

1) Conformación de comité de difusión y sensibilización de las políticas concernientes a esta

área.

2) Limitación de privilegios.

3) Diseño de claves de seguridad.

4) Instalación de software contra programas malintencionados (virus).

SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS):

1) Disponer de un equipo de técnicos en soporte y mantenimiento de software.



2) Restringir el ingreso a los diferentes software de tal forma de que personal no autorizado

acceda a información privilegiada.

3) Actualizar el software de trabajo de la empresa en conjunto con los antivirus.

SUPERVISIÓN Y EVALUACIÓN (AUDITORIAS Y ALARMAS):

1) Elegir los individuos que harán parte del grupo de evaluación del proceso de

implementación de políticas.

2) Reuniones periódicas del grupo de evaluación.

3) Socializaciones de las reflexiones y acuerdos a los que se lleguen en las reuniones del

grupo de evaluación.

4) Hacer las correspondientes correcciones a las diferentes situaciones que se expongan.



JUAN CARLOS GUTIERREZ

EJERCICIO 2

Tabla de Contenido

1. Introducción

2. Políticas de Seguridad PSI

a. Equipo (Protección física)

I. Alcance

II. Objetivos de la política

III. Responsabilidades

IV. PSI

b. Control de acceso (Técnicas ó lógicas)

I. Alcance



IV. PSI

c. Utilización de recursos de red (Acceso a los activos y recursos)

I. Alcance



IV. PSI

d. Software (Integridad aplicaciones, ficheros y datos)

I. Alcance





IV. PSI

e. Supervisión y evaluación (Auditoria y alarmas)

I. Alcance



IV. PSI

3. Sanciones

1. Introducción

La falta de políticas y procedimientos en seguridad es uno de los problemas más graves que

confrontan las empresas hoy día en lo que se refiere a la protección de sus activos de información

frente a peligros externos e internos.

La políticas de seguridad son esencialmente orientaciones e instrucciones que indican cómo

manejar los asuntos de seguridad y forman la base de un plan maestro para la implantación

efectiva de medidas de protección tales como: identificación y control de acceso, respaldo de

datos, planes de contingencia y detección de intrusos.



2. Políticas de seguridad PSI

a. Equipo (Protección física)

I. Alcance

Las políticas de seguridad de la información, en este ámbito deben de ser conocidas y cumplidas

por todos los empleados de “En‐Core” sin importar su rol en la entidad.


La presente Política de Seguridad de la Información está establecida con el objetivo de asignar las

estaciones de trabajo a los usuarios con los menos privilegios posibles tanto física como

lógicamente, previniendo algún tipo de riesgo que pueda ocasionar una estación con acceso

totales a los medios y sistema.


Todo empleado con vínculo laboral será responsable de lo que suceda en su estación de trabajo

sea cual sea su rol en la entidad.

El área de informática, será responsable de que las estaciones de trabajo lleguen a su destino final,

cumpliendo todos los requisitos de la PSI.

IV. PSI

‐ Protección con password para el ingreso a la configuración de la Bios

‐ Bloqueo de puertos y medios magnéticos por Bios

‐ Proteger el acceso al hardware interno de los equipos de computo



b. Control de acceso (Técnicas o lógicas)

I. Alcance


por todos los empleados de “En‐Core” sin importar su rol en la entidad. Exceptuando los

administradores de la infraestructura.


Restringir total ó parcialmente el acceso físico y logico a dispositivos importantes en nuestra red,

tales como: servidores, router, switches, firewall, bases de datos, vpn, etc. Solo los

administradores de la infraestructura contaran con acceso total a estos equipos exceptuando la

base de datos, que solo podrá será accedida por el gerente de informática y el director de

desarrollo.


El área responsable de cumplir esta norma a cabalidad, es el área de informática, quienes

asignaran los roles necesarios según su cargo, de igual forma se auditora cualquier cambio

realizado en cualquiera de estos.

IV. PSI

‐ Crear usuarios de acceso a la red, según sea su rol dentro de la entidad

‐ Bloqueo de cuenta al 5 intento erróneo de contraseña

‐ Configurar contraseñas seguras a todos los equipos sensibles y bases de datos

‐ Implementar sistemas biométricos para controlar y auditar el ingreso a los cuartos de

comunicaciones (centros de cómputos) tanto en la sede principal como en las sucursales

‐ Asegurar la conexión por vpn con listas de control de acceso en los firewall de perímetro



c. Utilización de recursos de la red (Acceso a los activos y recursos)

I. Alcance





El objetivo de esta normativa es garantizar la calidad de los servicios informáticos y de

comunicaciones y regular el uso de los mismos.

Su ámbito de aplicación alcanza a todos los miembros de la entidad




El área de informática, Velara y monitoreara el buen uso de los recursos de red, cualquier

anomalía es causante de sanción.

IV. PSI

‐ Restringir el envió y recepción de correos que sean ajenos a la entidad, exceptuando

aquellos empleados que por su cargo, deben tener constante comunicación con proveedores,

aliados, etc

‐ Restringir a máximo 3MB para el envió y recepción de correos internos

‐ Restringir la navegación en internet, bloqueando paginas de pornografía, juegos, redes

sociales, correos gratuitos, música, videos, chat, programas p2p

‐ Proteger el acceso al hardware interno de los equipos de computo

‐ Restringir el acceso a medios magnéticos, a demás de bloquear estos puertos por la Bios,

se controlara por medio del software DLP (Data Loss Prevention), donde se bloqueara cualquier

intento de uso y este automáticamente enviara notificación a los administradores. Los empleados

que tienen acceso a estos recursos, el DLP le auditara todo lo que sea movido, copiado, grabado

en estos dispositivos.



‐ Bloqueo de la ejecución de cualquier aplicación desde un rol no permitido

‐ Bloqueo de ejecución de procesos e ingreso al registro del sistema operativo

d. Software (Integridad aplicaciones, ficheros y datos)

I. Alcance





Garantizar la integridad, confidencialidad, autenticidad y consistencia de la información y de

nuestras aplicaciones, garantizando la calidad del servicio tanto interno como externo.




El área de informática es el responsable de garantizar la integridad, confidencialidad, autenticidad

y consistencia de la información y de nuestras aplicaciones

IV. PSI

‐ Controlar el acceso a la base de datos, solo podrán acceder a ella, el gerente de

informática y el director de desarrollo

‐ Restringir la ejecución de procesos e ingreso al registro del sistema operativo

‐ Mantener el acceso a recursos compartidos a solo los usuarios que se le tiene permitido

usarla

‐ La instalación de software solo se podrá realizar por personal de Informática



‐ Cada usuario debe realizar su backup periódicamente llevando el respaldo a un servidor de

archivos previamente configurado para accederlo solo y exclusivamente a la carpeta de cada

usuario.

e. Supervisión y evaluación (Auditoria y alarmas)

I. Alcance


por las personas administradoras de la infraestructura, garantizando el buen uso de nuestra red.


El objetivo de estas políticas, es velar por el buen funcionamiento de nuestra red, optimizar

recursos, garantizar accesos a personas autorizadas, actuar proactivamente ante posibles

eventualidades, cumplir normativas, etc.




El área de informática será responsable de auditar el buen uso de nuestros recursos, configurar

notificaciones para actuar proactivamente

IV. PSI

‐ Auditar el uso de los medios magnéticos por medio de DLP

‐ Todo dispositivo sensible, debe tener configurado notificaciones SMTP donde notificara

vía mail y celular sobre por cualquier eventualidad al grupo de administradores de la red.



EJERCICIO 3

PROCEDIMIENTOS

‐ Procedimiento de backup´s

‐ Procedimiento verificación estado de los servidores

‐ Procedimiento replicación de la base de datos

‐ Procedimiento para establecer una base del conocimiento

‐ Procedimiento actualización de parces de seguridad



PAULA ANDREA ZULETA TABARES

EJERCICIO 2

1‐DEL EQUIPO (PROTECCION FISICA)

OBJETIVO

Establecer normas y procedimientos para preservar la seguridad de los equipos de cómputo y los

medios magnéticos.

ALCANCE

Todo el personal de informática y a los usuarios de los equipos de la sede central.

RESPONSABILIDADES

Personal que maneja la información.

POLITICAS

1‐ Garantizar la seguridad de la información disponible.

2‐ Proteger la información disponible.

3‐ Establecer un esquema de seguridad con perfecta claridad y transparencia.

4‐ Toda la información debe ser manejada por la misma persona

5‐ Mantener claves de acceso que solo las pueden utilizar personal autorizado.

2‐DE CONTROL DE ACCESOS (TECNICAS O LOGICAS)

OBJETIVO

Controlar y determinar el acceso a la red, hacer un mantenimiento de acceso fijo.

ALCANCE

Identificar al usuario para acceder a los recursos.



RESPONSABILIDADES

Personal que atiende a los usuarios.

POLITICAS

1‐ Proporcionar prioridades.

2‐ Resolver inconvenientes que resulten en un momento inesperado.

3‐ Controlar la seguridad de los datos.

4‐ Aplicar normas de seguridad.

5‐ Comprobar la identidad.

3‐DE UTILIZACIÓN DE LOS RECURSOS DE LA RED (ACCESO A LOS ACTIVOS Y RECURSOS)

OBJETIVO

Hacer un buen uso de la red, garantizar la calidad de los servicios informáticos y de

comunicaciones para regular su uso.

ALCANCE

Tener recursos seguros para poder acceder a la red sin ningún inconveniente.

RESPONSABILIDADES

Personal encargado del sistema informático.

POLITICAS

1‐ Tener normas para correos electrónicos y redes inalámbricas.

2‐ Usar correctamente las redes.

3‐ Guardar confidencialmente la información con contraseñas.

4‐ Tener la red como núcleo principal para la comunicación.



4‐DEL SOFTWARE (INTEGRIDAD DE PROGRAMAS, FICHEROS Y DATOS)

OBJETIVO

Mantener los datos libres de modificaciones no autorizadas, mantener con exactitud la

información generada sin ninguna modificación por personas no autorizadas.

ALCANCE

Ser confiables a la hora que nos den una información y al ser modifica verificar que sea esta

persona y no que otra la esta suplantando.

RESPONSABILIDADES

Personal encargado de la información que el sistema contiene.

POLITICAS

1‐ guardar la información para que esta no sea modificada o alterada.

2‐ Controlar que solo personal autorizado pueda acceder a la información.

3‐ Realizar copias de seguridad.

4‐ Conservar los datos para el momento en el que un usuario los actualice.

5‐DE SUPERVICION Y EVALUACIÓN (AUDITORIA Y ALARMAS)

OBJETIVO

Observar y registrar las actividades que utiliza un programa, supervisar las actividades y hacer la

observación pertinente.

ALCANCE

Supervisar y evaluar los programas que se están manejan.



RESPONSABILIDADES

Personal encargado de la supervisión de los programas.

POLITICAS

1‐ Proteger la información frente al tráfico de la red.

2‐ Tener una red de confianza, para utilizar los elementos de confianza.

3‐ Identificar las necesidades.

4‐ Respaldar los objetivos

EJERCICIO 2

PROCEDIMIENTOS

1‐ Autenticar la identidad del usuario cuando se vaya a ingresar al sistema o a la red.

2‐ Autorizar cuando una persona autenticada puede utilizar los recursos de la empresa.

3‐ Definir, mantener y eliminar las autorizaciones de los usuarios.

4‐ Recolectar la información y analizarla para verificar las técnicas de autenticación y

autorización.

5‐ Monitorear la información registrada.

6‐ Mantener la información para no sufrir cambios no autorizados, prevenir cambios

accidentales.

7‐ Usar firmas digitales.



WBEIMAR VELOZA SANCHEZ

EJERCICIO 1

Para la evaluación del riesgo se escogió una escala de 1 a 10 tanto para Ri como Wi. A

continuación se muestra una descripción de la red de la empresa y las tablas con la evaluación del

riesgo de las cuatro sedes de la organización.

Aunque pueda parecer una red en estrella no lo es porque todas las comunicaciones en la

intranet no deben pasar por un punto central, solo el tráfico entre sedes diferentes, o el tráfico

hacia internet.

SEDE CENTRAL

Recurso del sistema Descripción

Riesgo (Ri)

Importancia (Wi)

Riesgo Evaluado

Consecuencias

No Nombre

1 Antenas Enlaces punto a punto con otras

sedes 9 9 81 Incomunicación

2 Servidor Pagina web, proxy, firewall, motores de bases de datos

10 10 100

Incomunicación, vulnerabilidad de la

red, falta de información

3 Back Up Información de

respaldo de todas las áreas

10 9 90 Falta de información

4 Archivador Facturas, ordenes 7 4 28 Falta de registros de



de envío y recepción.

comprobación

5 Router Comunicación con cualquier punto de la red. Firewall

9 9 81

No se puede enviar información.

Vulnerabilidad de la red a ataques

6 Switch Medio de envío de información por

áreas 8 7 56

Incomunicación de un área o grupo de trabajo

7 Bases de datos

Información clave para el desarrollo

de negocios 8 9 72

Perdida de información de procesos, clientes, negocios e indicadores.

8 Computador

Información personal de

trabajo y acceso a la red

8 8 64 Acceso no autorizado a

información

9 Correo

electrónico

Información de procesos y negocios

7 7 49 Imposibilidad de

desarrollar procesos. Espionaje

10 Software Desarrollo de

tareas. Antivirus 8 8 64

Retrasos, incumplimientos en

tareas y procesamiento de información. Desprotección

Se considera que las sedes Medellín 1 y 2 realizan las mismas operaciones y cuentan con los

mismos elementos para la comunicación y procesamiento de información.

SEDES MEDELLIN 1 Y 2


Riesgo (Ri)

Importancia (Wi)

Riesgo Evaluado

Consecuencias

No Nombre

2 Antenas Enlaces punto a

punto con otras sedes9 9 81 Incomunicación

1 Archivador Facturas, ordenes de envío y recepción.

7 4 28 Falta de registros de

comprobación

3 Router Comunicación con 9 9 81 No se puede enviar



cualquier punto de la red. Firewall

información. Vulnerabilidad de la red

a ataques

4 Switch Medio de envío de

información por áreas 8 7 56


5 Bases de datos

Información clave para el desarrollo de

negocios 8 9 72

Perdida de información de procesos, clientes, negocios e indicadores.

6 Computador Información personal de trabajo y acceso a

la red 8 8 64

Acceso no autorizado a información

7 Correo

electrónico Información de

procesos y negocios 7 7 49

Imposibilidad de desarrollar procesos.

Espionaje

8 Software Desarrollo de tareas.

Antivirus 8 8 64


tareas y procesamiento de información.

Protección

A continuación se muestra la evaluación de riesgos para la sede de la ciudad de Bogotá. La

principal diferencia es que en la ciudad de Medellín las sedes cuentan con antenas para enlaces de

comunicación entre las sedes de la ciudad.

SEDE BOGOTA


Riesgo (Ri)

Importancia (Wi)

Riesgo Evaluado

Consecuencias

No Nombre

1 Archivador Facturas, ordenes de envío y recepción.

7 4 28 Falta de registros de

comprobación

2 Router Comunicación con

cualquier punto de la red. Firewall

9 9 81

No se puede enviar información.

Vulnerabilidad de la red a ataques

3 Switch Medio de envío de información por

áreas 8 7 56


4 Bases de Información clave 8 9 72 Perdida de información



datos para el desarrollo de negocios

de ´procesos, clientes, negocios e indicadores.

5 Computador Información personal de trabajo y acceso a

la red 8 8 64

Acceso no autorizado a información

6 Correo

electrónico Información de

procesos y negocios7 7 49

Imposibilidad de desarrollar procesos.

Espionaje

7 Software Desarrollo de tareas 8 8 64


tareas y procesamiento de información

EJERCICIO 2

POLITICAS DE SEGURIDAD DE LA INFORMACION

1. DEL EQUIPO

1.1 ALCANCE

Esta política se aplica a todos los, equipos de cómputo y comunicaciones, instalaciones, cableado,

expedientes y medios de almacenamiento que sean propiedad de la organización. Debe ser

conocida y cumplida por toda la planta de personal interno y las personas externas que para la

prestación de servicios dentro de la organización hagan uso de los recursos tecnológicos,

informáticos y de comunicaciones de esta.

1.2 OBJETIVOS

Gestionar, administrar y mantener en las mejores condiciones los recursos físicos relativos a los

sistemas de información de la organización y garantizar de forma adecuada el desarrollo de las

actividades de esta.

1.3 RESPONSABILIDADES

El departamento de sistemas de la organización será el encargado de hacer cumplir estas políticas

y de realizar un seguimiento adecuado que permita determinar las acciones necesarias para



controlar el estado de los equipos y emitir posibles sanciones a quienes atenten de cualquier

forma contra estos activos de la organización.

1.4 PROTECCION FISICA DEL EQUIPO

Los equipos de cómputo y de comunicaciones deben ser instalados en lugares que tengan las

condiciones apropiadas de ventilación y protección contra incendios.

Los equipos deben tener una conexión eléctrica que cumpla con las normas nacionales y/o

internacionales que garanticen su perfecto funcionamiento y un dimensionamiento adecuado de

carga en los tomas de corriente y conectores para evitar sobrecargas y daños.

El cableado estructurado de la red de la organización que interconecta los equipos de cómputo y

de telecomunicaciones deben cumplir con los estándares internacionales ANSI/TEIA‐EIA 568 y 569,

así como el estándar ANSI/J‐STD‐607 para los aterramientos de sistemas de telecomunicaciones y

calidad de la energía. Estos estándares también incluyen las especificaciones para armarios y

gabinetes de equipos de telecomunicaciones. Si estos estándares son actualizados o mejorados, el

departamento de sistemas debe realizar las acciones necesarias para que la infraestructura de la

organización se mantenga en el marco de las actualizaciones.

El departamento de sistemas debe determinar el carácter de uso general o personal de los equipos

de cómputo y de telecomunicaciones.

La integridad de los equipos de cómputo y de telecomunicaciones de fines específicos y de uso

personal será responsabilidad de la persona que normalmente los opera.

La integridad de los equipos de cómputo y de telecomunicaciones de uso general será

responsabilidad del coordinador de área donde el equipo reside y opera normalmente.

La limpieza exterior de los equipos estará a cargo de las personas que los opera normalmente, al

menos una vez al año el personal del departamento de sistemas debe realizar limpiezas internas

de los equipos para eliminar las acumulaciones de polvo y suciedad y prevenir daños.

La reubicación y la actualización de los equipos debe ser autorizada por el departamento de

sistemas y las personas que realicen estas tares deben notificar a este departamento una vez

realizadas estas.



2. DE CONTROL DE ACCESOS

2.1 ALCANCE

Esta política incluye a todos los recursos físicos y lógicos relativos a los sistemas de información de

la organización. Debe ser conocida y aplicada en todo el ámbito de la organización e incluye

personal tanto interno como externo que esté vinculado mediante cualquier tipo de contrato o

convenio con la organización y que para el desarrollo de sus labores deba acceder a recursos y

áreas consideradas de alta importancia para la organización.

2.2 OBJETIVOS

Registrar y controlar el acceso a recursos y zonas de la organización considerados como críticos

para el funcionamiento y la seguridad de la información de esta, así como asegurar su integridad y

correcto uso.


Cada persona será responsable de la confidencialidad de sus atributos de login, password y

privilegios de acceso. El departamento de sistemas se encargara de crear, difundir y actualizar

estas políticas y de realizar un seguimiento adecuado que permita determinar las acciones

necesarias para controlar los métodos de acceso a los recursos y zonas críticas de la organización.

2.4 CONTROL DE ACCESO A RECURSOS Y AREAS

El departamento de sistemas determinara cuales áreas, recursos físicos y lógicos se deben

considerar como críticos para el funcionamiento de la organización y la seguridad de la

información de esta. Además deberá determinar cuáles personas tienen permiso para acceder a

estos mediante la creación y administración de grupos de trabajo o niveles de privilegio para el

acceso a los diferentes recursos de la organización.

Se debe llevar un registro del tráfico a cargo del departamento de sistemas de las personas a las

áreas críticas en el que se indique la persona que tiene el acceso, la hora de entrada y salida.

Los equipos denominados como de uso personal serán entregados a cada persona y esta será

responsable del buen uso de este, cada usuario debe tener un nombre de usuario y contraseña

para acceder a los equipos.



Los ingenieros de redes del departamento de sistemas usaran registros de acceso y uso de los

equipos de cómputo y telecomunicaciones para determinar responsabilidades en cuanto al uso

inadecuado de estos e intentos de violación de privilegios de cada usuario.

El acceso lógico a equipo especializado de cómputo (servidores, enrutadores, bases de datos,

equipo de súper cómputo centralizado y distribuido, etc.) conectado a la red será administrado

por los ingenieros de redes del departamento de sistemas. También autorizaran el acceso remoto

tanto a personal interno como externo mediante asignación de login y password, asignación de

canales de tráfico, privilegios y serán responsables de la seguridad de la red para este tipo de

accesos.

3. DE LA UTILIZACION DE RECURSOS DE LA RED

3.1 ALCANCE

Esta política se aplica a todos los recursos físicos y lógicos que hagan parte de la red de

comunicaciones de la organización. Debe ser conocida y aplicada por personal tanto interno como

externo que esté vinculado mediante cualquier tipo de contrato o convenio con la organización y

que para el desarrollo de sus labores deba acceder a recursos físicos y lógicos de la red de

comunicaciones de la organización.

3.2 OBJETIVOS

Administrar y asegurar el uso adecuado de los recursos físicos y servicios de la red de

comunicaciones de la organización.


Las personas que usan los equipos de la red de comunicaciones son responsables por su integridad

y el departamento de sistemas de la integridad de los servicios de la red. Los ingenieros de redes y

el director del departamento de sistemas de la organización serán los encargados de crear,

difundir y actualizar estas políticas y de realizar un seguimiento adecuado que permita determinar

las acciones necesarias para mantener en buen estado los equipos y servicios de la red de

comunicaciones y emitir posibles sanciones a quienes atenten de cualquier forma contra estos

activos de la organización.



3.4 USO DE LA RED DE COMUNICACIONES

Los ingenieros de redes y la dirección de sistemas serán los responsables de emitir y actualizar el

reglamento para el uso de los recursos de la red.

Los recursos de la red de comunicaciones de la organización serán de uso exclusivo para asuntos

relacionados con las actividades sustantivas de esta.

Corresponde al director de sistemas gestionar y administrar los recursos para mantener la

infraestructura de la red de comunicaciones de la organización en óptimas condiciones,

actualizarla o mejorarla según las necesidades.

Los ingenieros de redes serán los responsables de determinar y mantener las medidas de

seguridad de los canales tecnológicos de comunicación en que la información de la organización es

transmitida, así como de los servicios de la red.

La dirección de sistemas debe propiciar el uso de las tecnologías de la información con el fin de

contribuir con las directrices económicas de la organización.

El departamento de sistemas se encargara de restringir el acceso a páginas web que considere de

contenido inapropiado y que intervenga en el normal desarrollo de las actividades de la

organización o cuyo tráfico de datos afecte el rendimiento de la red. Los ingenieros de redes serán

quienes implementen las restricciones consideradas.

Los ingenieros de redes deberán monitorear el tráfico de la red de comunicaciones, generar

informes periódicos, examinar el uso inadecuado de esta y emitir acciones correctivas para

garantizar su correcto uso.

4. DEL SOFTWARE

4.1 ALCANCE

Esta política abarca todo el software usado en equipos de cómputo y de comunicaciones que sean

propiedad de la organización y toda la información que sea usada por estos equipos. Debe ser

conocida y aplicada por personal tanto interno como externo que esté vinculado mediante

cualquier tipo de contrato o convenio con la organización y que para el desarrollo de sus labores



deba acceder a recursos y procesos lógicos para la manipulación de información concerniente a las

actividades de la organización.

4.2 OBJETIVOS

Administrar la adquisición y el uso adecuado de cualquier tipo de software instalado en equipos de

cómputo y comunicaciones y garantizar la seguridad de la información de la organización para el

desarrollo de las actividades económicas y administrativas de esta.


Cada persona que haga cualquier uso de la información de la organización será responsable

clasificarla, manipularla y transportarla de acuerdo con su grado de criticidad.

El departamento de sistemas de la organización será el encargado de hacer cumplir estas políticas

y de realizar un seguimiento adecuado que permita determinar las acciones correctivas para

garantizar la integridad del software y la información de la organización.

4.4 INTEGRIDAD DEL SOFTWARE Y DATOS

Todo el software propiedad de la institución deberá ser usado exclusivamente para asuntos

relacionados con las actividades económicas y administrativas de la organización.

La instalación o desinstalación de cualquier software en equipos de la organización debe ser

autorizada e informada al departamento de sistemas.

El director de sistemas será el encargado de adquirir el software necesario para las actividades de

la organización. Todo el software instalado debe ser legal y respetar los derechos de autor.

Los ingenieros de sistemas serán los encargados de la instalación, actualización y desinstalación

del software usado en todos los equipos de cómputo de la organización. En el caso de software y

equipos de comunicaciones serán los ingenieros de redes los responsables.

El director del departamento de sistemas junto a los gerentes de área determinarán la clasificación

de la información según su criticidad para el funcionamiento de la organización y el trato que se

debe dar a cada categoría por parte de quienes la manipulen.

Los ingenieros de sistemas administraran las herramientas de antivirus y restringirán el uso de

software que consideren como peligroso para la integridad de los equipos y la información de la

organización.



5. DE SUPERVISION Y EVALUACION

5.1 ALCANCE

Los departamentos de control interno y de sistemas deberán cooperar para asegurar el

cumplimiento de estas políticas. Debe ser conocida y aplicada por personal tanto interno como

externo que esté vinculado mediante cualquier tipo de contrato o convenio con la organización y

que para el desarrollo de sus labores deba acceder a los sistemas de información de la

organización.

5.2 OBJETIVOS

Realizar un seguimiento a la difusión y cumplimiento de las políticas de seguridad informática de

la organización, garantizar los medios para informar las no conformidades y determinar las

acciones correctivas necesarias.


El departamento de control interno de la organización será el encargado de verificar el

cumplimiento de estas políticas, de realizar un seguimiento adecuado que permita determinar las

acciones correctivas necesarias incluyendo la autorización de una auditoria externa.

5.4 AUDITORIA Y ALARMAS

Cualquier violación a las políticas y normas de seguridad deberá ser sancionada de acuerdo al

reglamento emitido por el departamento de sistemas. Estos reglamentos serán desarrollados por

los ingenieros de sistemas y de redes y serán autorizados por el director del departamento de

sistemas.

Los ingenieros de sistemas y de redes deben crear y difundir planes de contingencia que

correspondan a las actividades críticas con equipos de cómputo y de comunicaciones

respectivamente.

Estas políticas de seguridad deberán seguir un proceso de actualización periódica sujeto a los

cambios organizacionales relevantes como lo son el crecimiento de la planta de personal, cambio

en la infraestructura computacional, desarrollo de nuevas actividades económicas y

administrativas, entre otros.



El departamento de auditorías de control interno de la organización, de acuerdo a sus

reglamentos, procedimientos y permisos examinara el cumplimiento de estas políticas de acuerdo

a sus calendarios de auditoría y podrá evaluar su pertinencia.

Retroalimentación / Ayuda Ejercicios Semana 2

Documents

Transcript of Retroalimentación / Ayuda Ejercicios Semana 2