PROYECTO DE AULA PRIMERA ENTREGA

PRESENTADO POR:
ANDRES FELIPE RAMIREZ RIVERA

BOGOTA 2023-10-19
CORPORACION UNIFICADA NACIONAL DE EDUCACION SUPERIOR
INGENIERIA DE SISTEMAS
Contenido
Descripción de la actividad.................................................................................................................. 3
Preguntas interpretativas .................................................................................................................... 3
Respuesta a la Pregunta 1: .............................................................................................................. 3
Respuesta a la Pregunta 2: .............................................................................................................. 4
Preguntas argumentativas................................................................................................................... 4
Respuesta a la Pregunta 1: .............................................................................................................. 5
Respuesta a la Pregunta 2: .............................................................................................................. 5
Preguntas propositivas ........................................................................................................................ 6
Propuesta de Interconexión de Elementos en la Red: .................................................................... 6
Plan de Comunicación Inicial para la Implementación de las PSI: .................................................. 7
Conclusión ........................................................................................................................................... 9
Descripción de la actividad

Instrucciones
El Estudiante debe crear un documento de texto y dar respuesta a las preguntas.
Caso real: Usted ha sido contratado en una empresa colombiana, llamada
"ciberseguridad.com"que presta servicios de investigación tecnológica para las empresas
del país. Su sede principal se encuentra en Medellín, el mismo lugar donde,
hipotéticamente, usted residirá. Esta empresa está en un proceso de expansión, por lo que
andan construyendo 2 sucursales más en la misma ciudad, y una de ellas en la capital del
país, Bogotá. Usted ha sido contratado para gestionar la seguridad de las redes de esta
empresa, debido a que maneja datos críticos y secretos para la competencia. Usted
tiene técnicos a su cargo, personal de mantenimiento, y un administrador de red por cada
sede (4 en total). De acuerdo con esta situación, responda las siguientes preguntas:

Preguntas interpretativas

1. Antes que nada, un gestor de seguridad debe entender de manera intuitiva los modelos de
transmisión y recepción de información. Use una situación de la vida cotidiana, diferente a
la expresada en la documentación, para explicarle a sus empleados los elementos del
modelo de transmisión-recepción de información.
2. Es objetivo principal del gestor de seguridad explicar el efecto de las políticas de
seguridad informática. Explique a los directores de la empresa la siguiente expresión "Las
PSI no generan

Respuesta a la Pregunta 1:

Supongamos que vamos a enviar una tarjeta de felicitación por correo a un amigo para su
cumpleaños. Aquí están los elementos del modelo de transmisión y recepción de
información en esta situación:

Emisor: Tú eres el emisor de la tarjeta de cumpleaños, la persona que quiere enviar sus
felicitaciones a tu amigo.
Mensaje: La tarjeta de cumpleaños es el mensaje, que contiene tus mejores deseos para tu
amigo.
Medio de Transmisión: El medio de transmisión es el servicio postal. Es el canal que
utilizas para enviar la tarjeta a tu amigo.
Receptor: Tu amigo es el receptor. Recibe la tarjeta y lee tus felicitaciones.
Entrega Segura: Para asegurarte de que la tarjeta llegue de manera segura y privada, puedes
utilizar un sobre sellado, de manera similar a cómo se cifran los datos en una red para
proteger su privacidad.
Confirmación de Recepción: Puedes pedirle a tu amigo que confirme la recepción de la
tarjeta llamándote o enviándote un mensaje. En una red, la confirmación de recepción sería
similar a recibir notificaciones de entrega o de lectura.
Esta analogía muestra cómo los conceptos del modelo de transmisión y recepción de
información son aplicables en situaciones cotidianas y son esenciales para asegurarse de
que tus mensajes lleguen de manera segura y sean comprendidos.

Respuesta a la Pregunta 2:

El objetivo principal del gestor de seguridad es explicar a los directores de la empresa el

efecto de las Políticas de Seguridad Informática (PSI) y por qué son vitales. La expresión
"Las PSI no generan un sistema más óptimo, ni más rápido, ni más eficiente a la hora de
procesar información, pero son vitales para la organización" se puede explicar de la
siguiente manera:

Las PSI se asemejan a las reglas y políticas que una organización implementa para proteger
sus sistemas y datos.
Aunque estas políticas pueden agregar un nivel de complejidad y algunas restricciones al
procesamiento de información, su objetivo principal es garantizar la seguridad y la
integridad de los datos.
En otras palabras, no hacen que el sistema sea más rápido ni más eficiente, pero son
fundamentales para proteger la organización de amenazas, como ciberataques y violaciones
de datos.
Las PSI ayudan a mantener la confidencialidad, la integridad y la disponibilidad de la
información crítica de la empresa, lo que, a largo plazo, es esencial para su supervivencia y
éxito.
Explicar esta expresión a los directores de la empresa resalta la importancia de las políticas
de seguridad informática y cómo contribuyen a la seguridad y la continuidad del negocio.

Preguntas argumentativas
1. La gestión principal de seguridad de una red se da en la capa 4 cuando se habla de
elementos técnicos, y en la capa 8 cuando se habla de elementos administrativos. ¿Por qué?
2. ¿Por qué debemos tener en cuenta la capa 8 a la hora de generar una política de
seguridad informática?
Respuesta a la Pregunta 1:

La distinción de que la gestión principal de seguridad de una red se da en la capa 4

(elementos técnicos) y en la capa 8 (elementos administrativos) es una forma de organizar y
entender la seguridad de la red en términos técnicos y organizacionales. Aquí se explica por
qué:

Capa 4 - Elementos Técnicos: En la capa 4, se encuentran los elementos técnicos

relacionados con la seguridad de la red, como los firewalls, sistemas de detección de
intrusiones, cifrado de datos, protocolos de seguridad (como SSL/TLS), autenticación, y
otros componentes técnicos que protegen la red contra amenazas cibernéticas. La seguridad
en esta capa se enfoca en proteger los activos de la red y los datos de manera técnica, como
impedir que el tráfico no autorizado ingrese a la red.

Capa 8 - Elementos Administrativos: La capa 8 se refiere a la gestión administrativa y

organizativa de la seguridad de la red. En esta capa, se tratan los aspectos como la
elaboración de políticas de seguridad, la asignación de roles y responsabilidades, la
capacitación del personal, la gestión de incidentes y la concienciación sobre la seguridad en
toda la organización. Los elementos administrativos son esenciales para asegurarse de que
las políticas de seguridad se apliquen de manera efectiva y de que las personas comprendan
su papel en la seguridad de la red.

En resumen, la gestión de seguridad abarca tanto elementos técnicos como administrativos.

La capa 4 se enfoca en la implementación técnica de medidas de seguridad, mientras que la
capa 8 se enfoca en garantizar que las políticas de seguridad se desarrollen, comuniquen y
apliquen adecuadamente en la organización.

Respuesta a la Pregunta 2:

Debemos tener en cuenta la capa 8 a la hora de generar una política de seguridad

informática por varias razones fundamentales:

Gestión de Recursos Humanos: En la capa 8 se abordan los aspectos relacionados con la

gestión de recursos humanos, como la asignación de roles y responsabilidades en la
seguridad de la red. La política de seguridad debe definir claramente quién es responsable
de qué aspectos de la seguridad y cómo deben actuar. Esto es esencial para garantizar la
colaboración efectiva de las personas en la organización.

Concienciación y Educación: La política de seguridad debe incluir iniciativas de

concienciación y educación en seguridad para todo el personal. Esto es fundamental porque
la mayoría de las brechas de seguridad ocurren debido a errores humanos. Concienciar a los
empleados sobre las amenazas y las mejores prácticas es esencial para reducir riesgos.
Cumplimiento y Normativas: En la capa 8, se abordan los aspectos de cumplimiento con
regulaciones y normativas de seguridad, como el cumplimiento de leyes de protección de
datos. Las políticas de seguridad deben asegurarse de que la organización cumple con todas
las regulaciones aplicables.

Gestión de Incidentes: La capa 8 se ocupa de la gestión de incidentes. Las políticas de

seguridad deben definir los procedimientos para detectar, informar y responder a incidentes
de seguridad. Esto es crucial para minimizar el impacto de los incidentes y aprender de
ellos.

Cultura de Seguridad: La capa 8 también influye en la cultura de seguridad en toda la

organización. Promover una cultura de seguridad sólida es fundamental para que todos en
la organización comprendan la importancia de la seguridad y se comprometan con las
prácticas seguras.

En resumen, la capa 8 es esencial para garantizar que la política de seguridad no solo

establezca reglas técnicas, sino también cree un entorno organizativo que promueva la
seguridad y proteja la red de manera integral.

Preguntas propositivas
1. De acuerdo con los tipos de redes existentes, y la estructura de la empresa en la que se
encuentra, proponga la forma en la que los elementos deben interconectarse entre sí, tanto
en los edificios, como entre las sedes de una misma ciudad, y a su vez con la sucursal en la
capital. Defina el tipo de red por alcance, por topología, por dirección de los datos, y todas
las características que considere deba tener la definición de la misma.
2. Proponga un plan de trabajo de comunicación inicial, teniendo en cuenta los diversos
problemas en capa 8, para explicar las medidas de seguridad que se impondrán. Tenga en
cuenta que en este plan no debe estar incluído lo que se dirá, ni el porqué, sino solo los
pasos a seguir para comunicar las PSI (Plan de Seguridad Informatica), las personas
involucradas y prioritarias, los tipos de problemas que se cubrirán, etc.

Propuesta de Interconexión de Elementos en la Red:

Considerando la estructura de la empresa y sus necesidades de expansión, se propone lo

siguiente:
Tipo de Red por Alcance: Dado que la empresa tiene una sede principal en Medellín y dos
sucursales en la misma ciudad, así como una sucursal en la capital, Bogotá, se recomienda
una red de área amplia (WAN, por sus siglas en inglés) para interconectar todas las sedes.
Dentro de cada sede, se puede utilizar una red de área local (LAN) para la conectividad
interna.

Topología de Red: Para la interconexión de las sedes en la misma ciudad (Medellín), se

puede optar por una topología de red en estrella, donde cada sede se conecta directamente a
un punto central. Para la conexión con la sucursal en Bogotá, se puede utilizar una
conexión WAN dedicada o una topología de red de malla, que ofrece redundancia y mayor
confiabilidad.

Dirección de los Datos: Se recomienda utilizar conexiones seguras, como conexiones VPN
(Red Privada Virtual) para el tráfico de datos entre las sedes. Las VPN proporcionan cifrado
y autenticación para garantizar la seguridad de los datos en tránsito.

Características de la Red: Para garantizar la seguridad de la red, se deben implementar

medidas de seguridad, como firewalls en cada sede, sistemas de detección y prevención de
intrusiones (IDS/IPS) y políticas de acceso seguro. Además, se deben realizar copias de
seguridad regulares de los datos críticos y establecer procedimientos de recuperación en
caso de fallas.

Plan de Comunicación Inicial para la Implementación de las PSI:

El objetivo de este plan es definir los pasos iniciales para comunicar las Políticas de
Seguridad Informática (PSI) a los empleados, teniendo en cuenta posibles problemas en la
capa 8, como la resistencia al cambio, la falta de concienciación y otros desafíos
organizacionales. El plan se divide en pasos clave:

a. Identificación de las Partes Involucradas: Identificar a las partes interesadas y

responsables de la implementación de las PSI, como el personal de TI, los gerentes de
departamento y los empleados clave.

b. Definición de los Problemas de Capa 8: Identificar los problemas comunes relacionados

con la resistencia al cambio, la falta de conocimiento en seguridad informática y otros
obstáculos en la capa 8.

c. Desarrollo de Recursos de Comunicación: Crear recursos de comunicación, como

folletos, presentaciones y videos, que expliquen de manera sencilla las PSI y sus beneficios.

d. Capacitación y Concienciación: Planificar sesiones de capacitación y concienciación

para el personal. Estas sesiones deben incluir ejemplos de situaciones cotidianas en las que
se aplicarán las PSI.
e. Definir Canales de Comunicación: Establecer canales de comunicación efectivos, como
correos electrónicos, reuniones, tablones de anuncios internos y otros medios para difundir
información sobre las PSI.

f. Asignar Responsabilidades: Designar a un equipo de personas responsables de responder

a las preguntas y preocupaciones del personal en relación con las PSI.

g. Recopilación de Comentarios: Establecer un mecanismo para que los empleados puedan

proporcionar comentarios y preguntas relacionadas con las PSI.

h. Evaluar y Ajustar: Realizar una evaluación continua de la efectividad de la comunicación

y ajustar el plan según sea necesario.

Este plan de comunicación inicial ayudará a superar los desafíos en la capa 8 y a garantizar
que los empleados comprendan y acepten las medidas de seguridad.
Conclusión

En este escenario hipotético, asumiendo el papel de un gestor de seguridad de la red en una

empresa en proceso de expansión, se han considerado varias cuestiones esenciales. Primero,
se propuso una estrategia de interconexión de elementos en la red, que incluye la elección
de tipos de redes, topologías y medidas de seguridad adecuadas para garantizar la
integridad de los datos y la confiabilidad de la red en toda la organización.

En segundo lugar, se elaboró un plan de comunicación inicial para la implementación de las

Políticas de Seguridad Informática (PSI). Dado que la resistencia al cambio y la falta de
concienciación son comunes en las organizaciones, este plan se centró en la identificación
de problemas típicos en la "capa 8", es decir, en los aspectos organizativos y de
comportamiento. Se destacó la importancia de la capacitación y la concienciación del
personal, junto con la creación de recursos de comunicación efectivos.

En resumen, la gestión de la seguridad de la red no solo implica decisiones técnicas, como

la elección de la topología de red o las medidas de seguridad, sino también la capacidad de
comunicar eficazmente y superar los obstáculos en la capa 8, es decir, en el ámbito
organizativo y humano. La combinación de una infraestructura segura y una comunicación
efectiva es esencial para garantizar la protección de los datos críticos y la ciberseguridad de
la empresa.