1

Redes y seguridad
Actividad 2

Actividad 2

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que
llamars Evidencias 2.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre DANIEL ALBERTO SALAZAR ERAZO
Fecha 13 de marzo de 2012
Actividad Actividad Fase 2
Tema Polticas generales de seguridad


Luego de estructurar el tipo de red a usar en la compaa y hacer su plan para hablar a la
gerencia sobre las razones para instaurar polticas de seguridad informticas (PSI), es su
objetivo actual crear un manual de procedimientos para su empresa, a travs del cual la proteja
todo tipo de vulnerabilidades; sin embargo, para llegar a este manual de procedimientos, se
deben llevar a cabo diversas actividades previas, y se debe entender la forma en la que se
hacen los procedimientos del manual.

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el
encargado de generar las PSI de la misma. Desarrolle, basado en su plan
anteriormente diseado, otro plan para presentar las PSI a los miembros de la
organizacin en donde se evidencie la interpretacin de las recomendaciones para
mostrar las polticas.
Rta: Socializacin por medio de mensajes de correo electrnico, circulares escritas
y enviadas de forma interna, charlas y conferencias acerca de las PSI, divulgacin
mediante pgina web, volantes de informacin, carteles de informacin ubicados
estratgicamente, de pronto en alguna de las conferencias una obra de teatro, un
video, foros de debate o tambin por medio de un desayuno de divulgacin.
2. Las PSI tienen como base terica implcita el algoritmo P-C. Agregue al
plan de presentacin a los miembros de la organizacin, al menos 2 eventos
diferentes a los de la teora, en los que se evidencien los 4 tipos de alteraciones
principales de una red.





2
Redes y seguridad
Actividad 2


Rta:
TIPO DE
ALTERACION
RECURSO
AFECTADO
NOMBRE CAUSA EFECTO
Interrupcin Servicio Servidor Web Ataque de DoS No hay acceso a la pagina
web desde la Internet
Intercepcion Servicio Servidor Web para
transacciones
Bancarias
Ataque medio Phishing
o an!in!the!middle
"btencin de credenciales de
usuarios autori#ado para
utili#ar el servicio
odi$icacin Servicio Servidor de Bases de
Datos
Ingreso no autori#ado
de $orma mal
intencionada
odi$icacin de la base de
datos de $orma no autori#ada
Produccin Servicio Servidor de Bases de
Datos
Ingreso no autori#ado
de $orma mal
intencionada
%liminacin de Base de Datos

Interrupcin &'sico Sistema (ele$nico )orte de )able de
Abonado
No hay comunicacin
tele$nica
Intercepcion &'sico Sistema (ele$nico Intercepcion de la
llamadas del *erente
de la %mpresa
Perdidas de )ontratos por
adelanto de la empresa
competidora


Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topologa de red definida
anteriormente, un conjunto de elementos que permitan el funcionamiento de esa
topologa, como routers, servidores, terminales, etc. Genere una tabla como la
presentada en la teora, en la que tabule al menos 5 elementos por sucursal. El
puntaje asignado a cada elemento debe ser explicado en detalle.

Rta: La calificacin se har de 1 a 10 en donde 1 es un valor para el recurso con
menos riesgo y 10 para el recurso con mayor riesgo, de igual forma para el nivel de
importancia en donde 1 es el valor para el recurso con menos importancia y 10 el
recurso con mayor importancia.










3
Redes y seguridad
Actividad 2

RECURSO DEL SISTEMA
RIESGO (R)
IMPORTANCIA
(W)
RIESGO
EVALUADO
(RW)
DETALLE
NUMERO NOMBRE
S
E
D
E

M
E
D
E
L
L
I
N

+ Impresora , + ,
-a impresora es solo un
recurso para elaborar un
traba.o/ esta puede ser
reempla#ada $0cilmente en
esta empresa1
, P) 2 3 ,+
Al igual que la impresora es
solo una herramienta/ sin
embargo por poseer un valor
econmico mas elevado y ser
la herramienta con la cual los
usuarios procesan in$ormacin
se le proporciona mas peso1
3 Switch 3 4 +4
%l switch es un equipo activo
que se puede adquirir y
cambiar con poca di$iculta por
lo que no se le da mucho
peso1
5 Servidor web 6 +7 67
Por ser un equipo costoso en
t8rminos de dinero y por su
con$iguracin un poco ardua y
tediosa en algunas
circunstancias/ se le asigna un
valor un poco mas elevado1
4 Base de Datos +7 +7 +77
-as Bases de Datos en este
caso/ Base de Datos de
)lientes y productos/ la ra#n
de ser de la empresa se le
asigna el mayor punta.e
posible1

S
E
D
E

B
O
G
O
T
A

+
Administrador
de 9ed
+ +7 +7
-os administradores de red
son parte del recurso de la
empresa/ en este caso recurso
humano/ es e:tremadamente
importante/ sin embargo/ el
riesgo de perderlo es muy
ba.o1
,
%stacin de
(raba.o
, ; +,
Al igual que el P)/ este es una
herramienta de traba.o de los
administradores de red/ el
riesgo de perderlo es
relativamente ba.o/ sin
embargo es importante para la
labor de los administradores
3 &irewall , 6 +;
%l &irewall/ es un servidor mas
en la empresa/ solo que con
una labor especi$ica/ por tal
motivo se le asigna ese valor
5 9outer ; 2 5,
Al igual que el switch/ este es
un equipo activo/ que si bien
a$ecta el servicio de la
empresa/ no a$ecta su
continuidad en el negocio1
4
%nlace de &ibra
<ptica
+7 +7 +77
%n este recurso recae toda la
comunicacin con la sede
ubicada en edell'n/ es por
donde va a $luir la gran
mayor'a de datos importantes
para la compa='a/ por lo que
le he asignado un punta.e
alto1



4
Redes y seguridad
Actividad 2

2. Para generar la vigilancia del plan de accin y del programa de seguridad,
es necesario disear grupos de usuarios para acceder a determinados recursos de
la organizacin. Defina una tabla para cada sucursal en la que explique los grupos
de usuarios definidos y el porqu de sus privilegios.
Rta:
RECURSO DEL SISTEMA
GRUPO DE
USUARIOS
TIPO DE ACCESO PRIVILEGIOS
NUMERO NOMBRE
+ Acceso a Internet >suario Normal -ocal Solo lectura
,
Bases de Datos
)lientes/
productos y
presupuestos
Secretarias -ocal
-ectura y
escritura
3
Bases de Datos
)lientes/
productos y
presupuestos
?e$es de Seccin -ocal
-ectura y
escritura
5
Acceso a
presupuestos
*erente -ocal y remoto Solo lectura
4
Acceso a router/
switch y
servidores
Admin de 9ed -ocal y remoto
-ectura y
escritura
;
Acceso a equipos
P) impresoras
(8cnicos de (I -ocal (odos


Preguntas propositivas

1. Usando el diagrama de anlisis para generar un plan de seguridad, y
teniendo en cuenta las caractersticas aprendidas de las PSI, cree el programa de
seguridad y el plan de accin que sustentarn el manual de procedimientos que se
disear luego.
Rta:
2. Enuncie todos los procedimientos que debe tener en su empresa, y que
deben ser desarrollados en el manual de procedimientos. Agregue los que
considere necesarios, principalmente procedimientos diferentes a los de la teora.
Rta:
Procedimiento para ingreso de personal autorizado al rea de trabajo
Procedimiento para ingreso a los data center
Procedimiento para modificacin de bases de datos
Procedimiento para mantenimiento de equipos activos de red
Procedimientos para mantenimiento de servidores
Procedimiento para mantenimiento de equipos terminales
Procedimientos para acceso a la red
5
Redes y seguridad
Actividad 2

Procedimiento para reporte de incidentes
Procedimiento para elaboracin de password seguras
Procedimiento para dar de alta a usuarios en sistemas de informacin
Procedimiento para uso de software institucional
Procedimiento para uso de correo institucional
Procedimiento para realizacin de copias de respaldo
Procedimiento para seleccin, archivado y eliminacin de correspondencia

EVIDENCIA DEL SIMULACRO EN EL JUEGO DE REDES