redes y seguridad manual de procedimientos
TRANSCRIPT
-
8/16/2019 Redes y Seguridad Manual de Procedimientos
1/4
Actividad 2
Nombre MAURICIO HERNANDO BARBOSA RIVERA
Fecha 01 06 2016
Actividad EVIDENCIAS 2
Tema EVIDENCIAS 2
1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las
PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las
PSI a los miembros de la organización en donde se evidencie la interpretación de las
recomendaciones para mostrar las políticas.
El Plan de Sistemas de Información debe responder a los objetivos estratégicos de la organización.
Se incluirá una descripción de la situación actual (DOFA).
Ejemplos de lo que puede pasar (Peores escenarios) partiendo del punto anterior.
Se proponen los proyectos que mejorarán la situación actual.
En los 3 puntos anteriores se deberá hacer énfasis del como las políticas podrían ayudar a mejorar
las situaciones.
2. Las PSI tienen como base teórica implícita el algoritmo P‐C. Agregue al plan de presentación
a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se
evidencien los 4 tipos de alteraciones principales de una red:
Ejemplo N° 1 Modificación
RECURSO AFECTADO NOMBRE CAUSA EFECTO
Lógico Datos de NóminaAcceso a la base de
datosPagos erróneos
ServicioPrograma manejo
máquina de impresión
Cambio de parámetros
de configuración
Toda la producción de
1 día afectada.
Ejemplo N° 2 Intercepción
RECURSO AFECTADO NOMBRE CAUSA EFECTO
Lógico Datos tarjetasInterceptación de
Correo
Robo sobre cuenta
corriente de la
empresa
FísicoSniffer para el tráfico
de la compañía
Acceso al servidor e
instalación de
software
Robo de información.
-
8/16/2019 Redes y Seguridad Manual de Procedimientos
2/4
Ejemplo N° 3 Producción.
RECURSO AFECTADO NOMBRE CAUSA EFECTO
Lógico
Creación de
Proveedores y
servicios no
existentes
Inyección a la base de
datos de información
fraudulenta.
Se pagaron servicios
no existentes a
proveedores falsos
Inventario Aumento de Insumos
Aumento del 150 %de desperdicios
aumentando los
insumos necesarios
Mayor consumo deinsumos para los
proyectos debido al
robo programado
3. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de elementos
que permitan el funcionamiento de esa topología, como routers, servidores, terminales, etc. Genere una tabla
como la presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a
cada elemento debe ser explicado en detalle.
Recursos del Sistema
Importancia(R) Pérdida(W)
Riesgo
Evaluado(R*W)
N° Nombre
1 Computadores 5 8 40
2 Impresoras 4 9 36
3Disco
almacenamiento
de copias
10 10 100
4Bases de datos
clientes10 8 80
5 Redes 10 10 100
6 Servidores 10 10 100
7 Recurso:Humano 8 8 64
8Equipos respaldo
NUBE10 10 100
En primer lugar, específico que solo es una tabla debido a que en las sedes se manejarán los mismos
equipos hardware y no habrá una jerarquización.
N°1: Este recurso tiene un R= 5 ya que es orientado a servicio y no a guardar información. Se puede
reemplazar fácilmente, pero es un costo a asumir para la empresa y por consiguiente le puntaje de
W=8.
N°2: Se le asignó un R= 4 dado que son necesarias en el trabajo diario pero la información es en
medios digitales. Tiene un W=9, ya que se pueden reemplazar en cuestión de tiempo fácilmente pero
su costo es alto. N°3: Su R=10 porque es política importante los backup de información, contables, bases de datos ya
que es información que cambia constantemente. Su W=10, dado que se pueden reemplazar por el
con el backup en la nube, pero se puede perder información en el proceso.
N°4: El R=10, porque en ellas se encuentra la información del gran activo de la empresa. Su W=10,
dado que existe el respaldo no es al momento sino diariamente pudiendo perder el trabajo diario del
área comercial.
-
8/16/2019 Redes y Seguridad Manual de Procedimientos
3/4
N°5 Su R=10 ya que hoy en día se funciona con ellas. Su W=10, debido a que con su ausencia la
organización pierde funcionalidad por cuanta de la falta de comunicación.
N°6: El R=10 porque ellos son los motores en el mundo digital. Su W= 10 ya que el reemplazo dejaría
solo un servidor online y toma 1 día completo para el 100% de funcionamiento.
N°7: El R=8 ya que, aunque poseen el conocimiento, todos los procedimientos están documentados
y al día digitalmente. Su W= 8 ya que solo importaría el reemplazo del personal. N°8: El R=10 ya que serán una copia de la información de la compañía. Su W=10 debido a que en caso
de fallo alimentar todo el backup desde los físicos tomaría 1 semana completa.
2. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar grupos
de usuarios para acceder a determinados recursos de la organización. Defina una tabla para cada sucursal en
la que explique los grupos de usuarios definidos y el porqué de sus privilegios.
En primer lugar, específico que solo es una tabla debido a que en las sedes se manejarán los mismos
equipos de usuarios y no habrá una jerarquización.
RECURSO DEL
SISTEMA Riesgo Tipo de Acceso PermisosOtorgados
Número Nombre
1 InfraGrupo de
InformáticaLocal y Remoto
Lectura GeneralEscritura config.
informática
2Software
contable
Grupo deContadores,
auditores
LocalLectura yescritura
Contable
3 Archivo
Grupo de
Recursos
Humanos
Local
Lectura y
Escritura
Recursos
Humanos
4Base de
datos
Clientes
Grupo de Ventas
y CobrosLocal y Remoto
Lectura yEscritura Base
Clientes
1. Usando el diagrama de análisis para generar un plan de seguridad, y teniendo en cuenta las
características aprendidas de las PSI, cree el programa de seguridad y el plan de acción que sustentarán el
manual de procedimientos que se diseñará luego.
Procedimiento de creación de Registros de eventos de todo el sistema.
Procedimiento de análisis de los Registros y generación de alarmas si es requerido. Procedimiento de alta, ausencia y baja de usuarios.
Procedimiento de creación y verificación de seguridad de contraseñas para todos y cada uno de los
procesos o en donde sea necesario.
Procedimiento de actualización de normas y procedimientos.
Procedimiento de Backup interno y externo.
Procedimientos de contingencia.
-
8/16/2019 Redes y Seguridad Manual de Procedimientos
4/4
2. Enuncie todos los procedimientos que debe tener en su empresa, y que deben ser desarrollados en
el manual de procedimientos. Agregue los que considere necesarios, principalmente procedimientos
diferentes a los de la teoría.
• Procedimiento para Acceso a la red
• Procedimiento de chequeo del sistema
• Procedimiento constante de cambio de contraseña segura con combinación de letras, números y
caracteres.
• Procedimiento para actualización y mantenimiento de Servidores on premise y Cloud.
• Procedimiento para la modificación (actualización) de las bases de datos.
• Procedimiento para el mantenimiento de los equipos activos de la red
• Procedimiento para verificar el tráfico de la red, por usuario ver historial y actual navegación.
• Procedimiento para las copias de seguridad, creación, guardado y restauración.
• Procedimiento para la recuperación de información, tipo, ubicación, tamaño, total, parcial, Historial
y versiones.
• Procedimiento registro de incidencias, solución.