CASO DE ESTUDIO

Suponga que Usted es el director de TI de la empresa XYZ y en reunión urgente

con el consejo directivo, le piden mejorar y agilizar el proceso de entrega de
información, que ha venido desmejorando debido a las continuas caídas que se
presentan en el sistema causando demoras en la entregas de informes cruciales
para la toma de decisiones de la empresa, lo cual repercute desfavorablemente en
sus resultados económicos.
En dicha reunión los analistas de sistemas piden más y mejores equipos y la
contratación de más programadores, así como asesoría externa y en general de
más personal técnico, pues el trabajo ha aumentado sustancialmente sin que se
haya visto un aumento proporcional de los recursos.
Durante la reunión, el presidente de la compañía dejo entrever la posibilidad de un
recorte de presupuesto al igual que de personal, lo que indicaba claramente que
cualquier solución al problema debería tener en cuenta los costos.
Usted debe analizar la situación para reducir o eliminar deficiencias técnicas
presentes en la compañía, mejorar el rendimiento y hacer todo esto sin causar
traumas y al menor costo posible.
Para eso se conforman dos equipos de trabajo: uno encargado de seleccionar la
mejor plataforma operativa que se ajuste a las necesidades de la empresa,
teniendo en cuenta la posibilidad de migración de información y compatibilidad del
software. El otro equipo se dedica de lleno a las telecomunicaciones pensando en
el cambio o ampliación de Hubs, Bridges, Routers, manejo de servicios
telemáticos y su infraestructura en general.
Se elabora una licitación a la que se invitan varias empresas del área informática,
equipos y telecomunicaciones. Cada una de las firmas convocadas a participar en
las licitaciones ofrece equipos de red, software y sistemas operacionales y resalta
las bondades de sus productos, como confiabilidad, servicios web, conectividad en
las telecomunicaciones, seguridad y compatibilidad entre aplicaciones. Se
analizaron varios sistemas operativos como UNIX, LINUX, WINDOWS NT,
SOLARIS y NOVELL NETWARE para tomar decisiones.
Cada uno de estos sistemas ofrecía tecnologías de administración complejas
funcionando tanto en el cliente como en el servidor, permitiéndoles a los
administradores del sistema controlar centralmente los nodos y las redes
generando mayor disponibilidad del sistema, aplicaciones más confiables y menos
reanudaciones; en fin una arquitectura de sistemas robusta sobre la cual cualquier
negocio puede funcionar eficientemente.
También ofrecían amplia cantidad de dispositivos de hardware incluyendo los más
innovadores elementos para PC. Algo innovador entre las propuestas es el
ofrecimiento de tarjetas inteligentes, las cuales proporcionan autenticación remota
segura.
El equipo dos obtuvo también gran cantidad de información y recomendaciones
para el tipo de red que estaba usándose en la empresa, como el empleo de
computadores electrónicos que dividen los grupos de usuarios de la red en
subgrupos más pequeños. Como se sabe, la mayor parte de la información
transcurre entre los usuarios de un segmento de la red y solo raras veces se
busca o se envía información a otros segmentos de la red. Solamente se transfiere
al exterior la información destinada a otros segmentos y sus usuarios. De esta
forma se reduce la congestión y se aumenta la velocidad total de la red para evitar
las colisiones.
Las conexiones de acceso telefónico son más adecuadas para las conexiones que
cuentan con un único PC en un acceso remoto. Para utilizar una conexión de
acceso telefónico solamente es necesario un teléfono, esta solución es idónea
para un acceso de red. Pero también hay que considerar la posibilidad de acceder
a la información a través de dispositivos móviles sobre la nube. ¿Es necesario
utilizar enrutadores?
¿Qué tipo de conexión debe recomendar? Dibuje el esquema o arquitectura de la
red.
Con los anteriores recursos se deben seleccionar los productos que ofrezcan
mayor beneficio a la empresa tanto en rendimiento y soporte como en costos.
Enumere los aspectos a tener en cuenta para tomar la mejor decisión.
Una vez tenga la infraestructura de la red, identifique los riesgos o amenazas que
pueden poner en peligro la integridad de la red, clasifíquelos y organícelos.
Posteriormente enumere algunas políticas de seguridad de la mano con su equipo
de trabajo para minimizar los problemas o amenazas que se puedan presentar y
suponga que hubo un atentado que destruyó la parte central de la red (CORE),
que plan de contingencia pondría en marcha para poner a funcionar la empresa en
el menor tiempo posible.
Solución
1.El objetivo de este diseño es contar con todos los equipos de red y de usuario
final, permitiendo la distribución de la información de una manera eficiente y en
tiempo real. Por este motivo se identificó la cantidad de áreas de trabajo, y se
establecieron las necesidades de cada departamento, llegando a la conclusión de
desplegar una red LAN.
Las razones por las cuales se estableció este tipo de red, fue básicamente por el
uso compartido de las bases de datos, debido a que se manejan diferentes
clientes, productos, costos etc, y la implementación de un sistema de gestión de
base de datos para permitir a los usuarios de la empresa acceder a los archivos
en diferentes puntos
Además de esto, el uso compartido de los recursos de la red, para poder optimizar
los equipos y proporcionar enlaces de comunicación.
El uso compartido de programas y archivos que requiere la empresa, se guardarán
en un servidor de archivos, al cual los usuarios de la red podrán acceder, la
compra de licencias de software dentro de un servidor representa un ahorro
significativo para la empresa, en lugar de adquirir un software para cada equipo.
La red proporciona la creación de varios grupos, dependiendo la funcionalidad y
estructura de la empresa, permitiéndole operar y acceder a la información de
acuerdo con el campo dado.
El correo electrónico facilitará la comunicación entre cada usuario se implementará
un servidor de Microsoft Exchange en el cual se incluirá una agenda, calendarios,
citas, reuniones, programación de tareas entre otros servicios.
Se genera este tipo de estructura con el fin de facilitar envío de información, por
medio de secciones o áreas. Permitiendo así, acceso a recursos de a cuerdo a su
nivel de autorización o área. También se otorgará autorizaciones de acceso a los
recursos de la red.
El departamento de gerencia se encarga de dirigir y gestionar asuntos del
funcionamiento de la empresa, por ese motivo debe coordinar los recursos
internos, representar a la compañía y controlar metas y objetivos, por esto, el
departamento de gerencia debe poder acceder a toda la información almacenada
en los servidores de archivos y aplicaciones donde pueda revisar cada una de las
áreas y su respectivo funcionamiento.
El departamento de comercial se encarga de administrar los activos y pasivos,
recaudo de ventas y pago de impuestos de la empresa, además de realizar el
registro y control de las transacciones de todos los movimientos de los recursos y
presupuestos, debido a las funciones que realiza este departamento, se debe
configurar un acceso al servidor de aplicaciones y el servidor de archivos e
impresión.
Con respecto al cableado que se usará será cable UTP de categoría 5, ya que es
un cable de par trenzado que no se encuentra blindado, es fácil de instalar y su
costo es muy bajo, el cable de cada par trenzado está alrededor del otro para
impedir interferencias electromagnéticas, la longitud máxima es de 100m sin
utilizar ningún tipo de regeneración de señal, y se incluye el transporte de voz y
datos.
Con respecto a los riesgos que pueda surgir en la empresa para prevención de la
seguridad física, se destinará un área en la Entidad que servirá como centro de
telecomunicaciones, en el cual se ubicarán los sistemas de telecomunicaciones y
servidores, debidamente protegidos con la infraestructura apropiada, de manera
que se restrinja el acceso directo a usuarios no autorizados.
La pérdida o filtración de la información se resguardará por medio de políticas de
seguridad establecidas previamente a los empleados, dándoles a saber que el uso
del correo corporativo, y la información manejada y suministrada por medio de los
equipos de la empresa, es única y exclusivamente de la empresa, cualquier uso
indebido será debidamente sancionado, y con respecto al uso de internet, solo se
hará uso de él, para fines corporativos, el uso de redes sociales o plataformas
multimedia estará prohibido.
Cada acceso o registro a los equipos de la empresa, deberá ser suministrado por
el encargado de TI, el cual hará los respectivos procedimientos para la creación de
los usuarios, registros, backups de los equipos etc.
Como políticas de seguridad, se han establecido:
POLÍTICAS GENERALES DE SEGURIDAD FÍSICA
 Seguir los estándares de protección eléctrica vigentes para minimizar el
riesgo de daños físicos de los equipos de telecomunicaciones y servidores.
 Las instalaciones eléctricas y de comunicaciones, estarán preferiblemente
fijas o en su defecto resguardadas del paso de personas o materiales, y
libres de cualquier interferencia eléctrica o magnética.
 Se destinará un área en la Enditad que servirá como centro de
telecomunicaciones en el cual se ubicarán los sistemas de
telecomunicaciones y servidores, debidamente protegidos con la
infraestructura apropiada, de manera que se restrinja el acceso directo a
usuarios no autorizados.

GESTIÓN DE LA INFORMACIÓN:
 Toda la información recibida y producida en el ejercicio de las funciones y
cumplimiento de obligaciones contractuales, que se encuentre almacenada
en los equipos de cómputo, pertenece a la Contraloría Municipal de Tuluá,
por lo tanto, no se hará divulgación ni extracción de la misma sin previa
autorización de las directivas de la Entidad.
 No se realizará por parte de los funcionarios o contratistas copia no
autorizada de información electrónica confidencial y software de propiedad
 de la empresa. El retiro de información electrónica perteneciente a la
empresa y clasificada como confidencial, se hará única y exclusivamente
con la autorización del Directivo competente.
 Ningún funcionario o contratista podrá visualizar, copiar, alterar o destruir
información que no se encuentre bajo su custodia.

Hardware y Software:
La instalación y desinstalación de software, la configuración lógica, conexión a red,
instalación y desinstalación de dispositivos, la manipulación interna y reubicación
de equipos de cómputo y periféricos, será realizada únicamente por personal del
área de TIC´S.
El espacio en disco duro de los equipos de cómputo pertenecientes a la
Contraloría Municipal de Tuluá será ocupado únicamente con información
institucional, no se hará uso de ellos para almacenar información de tipo personal
(documentos, imágenes, música, video).
Ningún funcionario o contratista podrá acceder a equipos de cómputo diferentes al
suyo sin el consentimiento explícito de la persona responsable.
Ningún funcionario o contratista podrá interceptar datos informáticos en su origen,
destino o en el interior de un sistema informático protegido o no con una medida
de seguridad, sin autorización.

Cuentas de Acceso:
Todas las cuentas de acceso a los sistemas y recursos de las tecnologías de
información son personales e intransferibles, cada funcionario y contratista es
responsable por las cuentas de acceso asignadas y las transacciones que con
ellas se realicen. Se permite su uso única y exclusivamente durante el tiempo que
tenga vínculo laboral o contractual con la Contraloría Municipal de Tuluá.
Las contraseñas de acceso deben poseer un mínimo de ocho (8) caracteres y
debe contener al menos una letra mayúscula, una letra minúscula, un número y un
carácter especial (+-*/@#$%&). No debe contener vocales tildadas, ni eñes, ni
espacios.
La contraseña inicial de acceso a la red que le sea asignada debe ser cambiada la
primera vez que acceda al sistema, además, debe ser cambiada mínimo cada 4
meses, o cuando se considere necesario debido a alguna vulnerabilidad en los
criterios de seguridad.
Solamente puede solicitar cambio o restablecimiento de contraseña desde el
servidor, el funcionario o contratista al cual pertenece dicho usuario, o el jefe
inmediato mediante solicitud motivada al correo electrónico del área de TIC´S.