PRESENTACIÓN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIÓN

• Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás  Evidencias 2.
• Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Preguntas interpretativas

1. Como gestor de la seguridad de la red de la empresa, usted es el encargado de generar las PSI de la misma. Desarrolle, basado en su plan anteriormente diseñado, otro plan para presentar las PSI a los miembros de la organización en donde se evidencie la interpretación de las recomendaciones para mostrar las políticas.

R/ PRESENTACIÓN DE LAS PSI A LOS MIEMBROS DE LA ORGANIZACIÓN Para alcanzar la competitividad requerida en la actualidad en el ámbito comercial y demás, se hace necesario la implementación y el cumplimiento efectivo de una serie de normas que minimicen el impacto de los riesgos que amenazan el funcionamiento de nuestra organización, partiendo, de entender que es importante el aseguramiento de los activos de la misma. Es por todo lo anterior que se requiere un compromiso total para crear confianza en nuestros clientes y en los proveedores, para lo cual se debe demostrar la fiabilidad de los procesos que se realizan en la compañía, y determinar la minimización de riesgos a los que están sometidos los procesos de la misma, dado que no siempre se está excepto de incidentes externos e internos que afecten la organización y su funcionalidad. Para cumplir con los propósitos anteriores se deben seguir unos lineamientos como: a. Estudios de cada uno de los riesgos de carácter informático que sean propensos a afectar la funcionalidad de un elemento, lo cual ayudará en la determinación de los pasos a seguir para la implementación de las PSI, sobre el mismo. Relacionar a él o los elementos identificados como posibles destinos de riesgo informático, a su respectivo ente regulador y/o administrador, dado que este es quién posee la facultad para explicar la funcionalidad del mismo, y como este afecta al resto de la organización si llegará a caer. Exposición de los beneficios para la organización, después de implementar las PSI, en cada uno de los elementos anteriormente identificados, pero de igual forma se debe mencionar cada uno de los riesgos a los cuales están expuesto para concientizar a la empresa de lo importante que la implementación de las PSI, también se deben otorgar las responsabilidades en la utilización de los elementos señalados. Identificar quienes dirigen y/o operan los recursos o elementos con factores de riesgo, para darle soporte en la funcionalidad de las PSI y como utilizarlas en los procesos de cada recurso, así como la aceptación de responsabilidades por parte de los operadores de los elementos, dado que ellos tienen el mayor compromiso de preservar la funcionalidad y el respaldo de los recursos a su cargo. . Quizás uno de los aspectos más importantes es la monitorización y/o vigilancia cada recurso identificado como posible receptor de riesgos informáticos, de igual forma el seguimiento a las operadores directos e indirectos de los mismos, lo cual se ejecutan con la simple finalidad de realizar una actualización completa y fácil de las PSI, en el momento que sea necesario, pero con la ayudad de evidencia de cada proceso realizado antes de la actualización programada.

1. Las PSI tienen como base teórica implícita el algoritmo P-C. Agregue al plan de presentación a los miembros de la organización, al menos 2 eventos diferentes a los de la teoría, en los que se evidencien los 4 tipos de alteraciones principales de una red.

R/ Ejemplo N° 1 Modificación Recurso Afectado | Nombre | Causa | Efecto |
Lógico | Listado partes por comprar | Instalación de software mal intencionado | Conflicto partes por comprar y partes por no comprar |
Servicio | P.D.E( programa diseñador de equipos) | Dispositivo Controlador | Producción Errónea |
|

 Ejemplo N° 2  Intercepción

RECURSO AFECTADO | NOMBRE | CAUSA | EFECTO |
Lógico | Base de datos Clientes | Software espía | Robo de información |
Físico | Suministro de Internet y telefonía | Conector de señal ilegal e Interceptación ilegal | Lentitud en la conexión a internet e interceptación de teléfonos. |
  

Ejemplo N° 3  Producción.

 
RECURSO AFECTADO | NOMBRE | CAUSA | EFECTO |
Lógico | Ingresos por consignaciones bancarias | Instalación de un programa que arroja consignaciones no realizadas | Aparece la cuenta de la compañía con fondos no reales. |
Servicios | Acceso proveedores | Acceso no autorizado por contraseña robada | Generación de información falsa de los proveedores, así como el estado actual de los pagos de los mismos. |

Preguntas argumentativas

1. Su empresa debe tener, de acuerdo a la topología de red definida anteriormente, un conjunto de elementos que permitan el funcionamiento de esa topología, como routers, servidores, terminales, etc. Genere una tabla como la presentada en la teoría, en la que tabule al menos 5 elementos por sucursal. El puntaje asignado a cada elemento debe ser explicado en detalle.

R/   RECURSO DEL SISTEMA | Riesgo (R,) | Importancia (W,) | Riesgo Evaluado (R, * W,) |
NÚMERO | NOMBRE | | | |
1 | SERVIDOR | 10 | 10 | 100 |
2 | CABLEADO UTP 5e | 4 | 9 | 36 |
3 | ROUTER WIFI | 3 | 9 | 27 |
4 | TERMINAL | 5 | 10 | 50 |
5 | FIREWALL | 8 | 10 | 80 |
TERMINAL: Importancia 10 ya que es el nodo desde donde se interactúa con el sistema o banco de datos contenido en el servidor. Se ejecutan tareas propias de la empresa relacionada con la información. Y Riesgo 5 ya que los datos críticos de la empresa no están contenidos en los nodos, puede ser reemplazado en caso de fallo sin afectar el sistema principal, además se anteponen a él sistemas de protección tanto en hardware y software. ROUTER WIFI: Importancia 9 ya que me permite establecer comunicación inalámbrica con nodos donde cablear no es una opción o es un poco complicado (pensando en una instalación rápida y económica). También tengo la posibilidad de agregar reglas de bloqueo a puertos Ethernet (firewall). Riesgo 3 porque ante un fallo de hardware no implica una caída del sistema por un tiempo prolongado (cambiar Router e Importar y/o configurar valores).UTP 5e: Importancia 9 ya que es un medio por el cual se transmiten datos y efectúa la comunicación con los demás dispositivos de red. Riesgo 4 aunque es un cable de gran fiabilidad y durabilidad está propenso a fallos estructurales (tiempo y factores externos) y/o interferencias eléctricas. FIREWALL: Importancia 10 ya que es la primera línea de defensa contra ataques y administración de recursos, paquetes de infiltración podrían tumbar toda una red. Riesgo 8 porque se ve sometido a diversas peticiones de red, por el que viaja un gran tráfico de datos, en algunos casos reconfigurarlo conlleva tiempo y el sistema integral de la empresa puede verse comprometido a nivel de disponibilidad y continuidad. SERVIDOR: Importancia 10 ya que en él se sostiene la infraestructura de red de la empresa (diseñada para su óptimo rendimiento), contiene los aplicativos del sistema, y administra datos privados., además de contener bases de datos privilegiadas, etc. 

1. Para generar la vigilancia del plan de acción y del programa de seguridad, es necesario diseñar grupos de usuarios para acceder a determinados recursos de la organización. Defina una tabla para cada sucursal en la que explique los grupos de usuarios definidos y el porqué de sus privilegios.

R/ SEDE PRINCIPAL - MEDELLÍN |
RECURSO DEL SISTEMA | Riesgo (R,) | Tipo de Acceso | Permisos Otorgados |
NÚMERO | NOMBRE | | | |
1 | Software Aplicativo, Datos Privilegiados, Información Confidencial | Gerente, Grupo de Socios y/oAuditores | Local | Solo Lectura |
2 | Hardware Informático | Técnico(s) encargado(s) Sistemas | Local y Remoto | Completo (Privilegios Administrativos) |
3 | Software Institucional | Técnico(s) encargado(s) Sistemas | Local y Remoto | Completo (Privilegios Administrativos) |

SUCURSAL 1 – MEDELLÍN

RECURSO DEL SISTEMA | Riesgo (R,) | Tipo de Acceso | Permisos Otorgados |
NÚMERO | NOMBRE | | | |
1 | Software Aplicativo, Base de Datos, Información Confidencial | Usuario | Local | Solo Lectura |
2 | Hardware Informático | Técnico(s) encargado(s) Sistemas | Local y Remoto | Completo (Privilegios Administrativos) |
3 | Software Institucional | Técnico(s) encargado(s) Sistemas | Local y Remoto | Completo (Privilegios Administrativos) |

Las Sucursales 2 Medellín y Sucursal Bogotá tendrían una distribución igual, ya que solo según el ejemplo funcionan como nodos o terminales operacionales del servidor central. No se utilizan para fines autónomos sino para ejecutar aplicativos dedicados y autorizados por y en el servidor.