Nombre Fecha Actividad Tema
Andrés Fabian Ramos Gasca 23-02-2019 1 Modelo OSI
Caso real: Usted ha sido contratado en una empresa colombiana, llamada “En-core”, que presta servicios de investigación tecnológica para las empresas del país. Su sede principal se encuentra en Medellín, el mismo lugar donde, hipotéticamente, usted residirá. Esta empresa está en un proceso de expansión, por lo que andan construyendo 2 sucursales más en la misma ciudad, y una de ellas en la capital del país, Bogotá. Usted ha sido contratado para gestionar la seguridad de las redes de esta empresa, debido a que maneja datos críticos y secretos para la competencia. Usted tiene técnicos a su cargo, personal de mantenimiento, y un administrador de red por cada sede (4 en total). De acuerdo a esta situación, responda las siguientes preguntas:
Preguntas interpretativas 1. Antes que nada, un gestor de seguridad debe entender de manera intuitiva los modelos de transmisión y recepción de información. Use una situación de la vida cotidiana, diferente a la expresada en la documentación, para explicarle a sus empleados los elementos del modelo de transmisión-recepción de información. Para dar respuesta a esta pregunta utilizare las capas del modelo OSI una a una para así ser más claro y conciso, a continuación, tomare como ejemplo la orden emitida y dirigida por un jefe de oficina a un empleado. Caso: tenemos un jefe llamado Cesar el cual llama a su secretaria Martha para que le comunique una orden a su abogada Erica a. Nivel de aplicación: Cesar necesita que Erica le revise unos documentos y de respuesta a un comunicado que le ha llegado de un juzgado. para esto, b. Nivel de presentación: Cesar llama a Martha, le entrega una nota y un sobre, pero a su vez le expresa verbalmente que necesita que Erica revise los documentos y le dé respuesta urgentemente.
Para mayor seguridad y confiabilidad, c. Nivel de sesión: Cesar le pregunta a Martha como le notificara a Erica Para esto, d. Nivel de transporte: Martha le responde diciendo que utilizara varios medios entre los cuales esta, notificar por medio de correo electrónico, vía WhatsApp y entregar personalmente la nota y el sobre. Pero en realidad, e. Nivel de red: Martha solo utilizo el correo electrónico y el WhatsApp para notificar a Erica, Por eso, f. Nivel de vinculo de datos: Martha escanea los documentos del sobre, los adjunta en el correo electrónico trascribiendo además la nota que le paso Cesar y adicional a esto le escribe a Erica por WhatsApp, para g. Nivel de física: asegurarse que Erica allá recibido el correo electrónico. 2. Es objetivo principal del gestor de seguridad explicar el efecto de las políticas de seguridad informática. Explique a los directores de la empresa la siguiente expresión “Las PSI no generan un sistema más óptimo, ni más rápido, ni más eficiente a la hora de procesar información, pero son vitales para la organización” Las PSI (Políticas de Seguridad Informática) son muy importantes para la organización ya que se deben establecer procedimientos y normas que aseguren la información de los datos, ayuda también a implementar medidas para detectar y detener atraques informáticos, visualizar errores para que no puedan comprometer los datos de la organización, así habrá un mayor control sobre la red protegiendo la información, las aplicaciones, recursos y a su vez seguridad al momento de navegar en la red, con esto ahorraran dinero previniendo perdida de la información.
Preguntas argumentativas 1. La gestión principal de seguridad de una red se da en la capa 4 cuando se habla de elementos técnicos, y en la capa 8 cuando se habla de elementos administrativos. ¿Por qué? Porque en la capa 4 la interacción y responsabilidad es solo de un usuario ya que mediante nombre de equipo de computo o direccionamiento se hace el correcto envío de los datos, y en la capa 8 la responsabilidad adicional depende aparte del usuario que utiliza el sistema como del que lo administrada. 2. ¿Por qué debemos tener en cuenta la capa 8 a la hora de generar una política de seguridad informática? Porque en esta capa la seguridad de los datos y la veracidad de la información son controlados por un administrador de la red o un usuario de confianza.
Preguntas propositivas 1. De acuerdo con los tipos de redes existentes, y la estructura de la empresa en la que se encuentra, proponga la forma en la que los elementos deben interconectarse entre sí, tanto en los edificios, como entre las sedes de una misma ciudad, y a su vez con la sucursal en la capital. Defina el tipo de red por alcance, por topología, por dirección de los datos, y todas las características que considere deba tener la definición de la misma. El tipo de red por alcance sería una combinación entre WAN para el enlace entre ciudades y la LAN para la comunicación de un tráfico local; la topología seria estrella ya que es mas seguro administrar los recursos, información, (ETC) desde un punto y por prevención aplicaría o me apoyaría en un servidor espejo; por direccionamiento de los datos utilizaría un full dúplex ya que me permite al tiempo enviar y recibir datos; En cuanto a las características destaco las conexiones privadas en cuanto a la red de la empresa y una red publica la cual seria para el uso exclusivo de los clientes, pero no sin antes tener en cuenta las políticas de seguridad informática correspondiente.
2. Proponga un plan de trabajo de comunicación inicial, teniendo en cuenta los diversos problemas en capa 8, para explicar las medidas de seguridad que se impondrán. Tenga en cuenta que en este plan no debe estar incluido lo que se dirá, ni el porqué, sino solo los pasos a seguir para comunicar las PSI, las personas involucradas y prioritarias, los tipos de problemas que se cubrirán, etc.
Comunicación primordial entre la gerencia y el área de informática Dar conocimiento de las PSI a los usuarios, culturizar estas medidas en ellos. Dar capacitaciones periódicas a los usuarios al momento de utilizar el sistema. Comunicación entre los administradores de la red por si se produce algún cambio en ésta. Comprometer a los usuarios con la entidad. Entregar al personal de la empresa un Login y contraseña para poder laborar. Las contraseñas serán asignadas por cada usuario. Dependiendo el cargo y su labor a ejecutar se darían los privilegios de acceso. Culturizar a los usuarios en la creación de contraseñas complejas, cual es la forma correcta de crear una clave. Cada estación de trabajo, así como servidores y espejos deben tener un nivel de seguridad alto y en constante monitoreo. Estar en busca de software que permita el buen funcionamiento y monitoreo de la red (agentes que se instalan en cada estación). Estar monitoreando la red para descubrir alguna falla en ésta. Realizar auditorías en el tema de las PSI.