. Presentación. .

Nombres: José Luis.

Apellidos: Ramírez Polanco.

Matricula: 2022-0386.

Carrera: Seguridad Informática.

Materia: Desarrollo de Políticas y Procedimientos de seguridad.

Maestro: María Antonia Pineda Pereyra.

Tema: Política de teletrabajo.

Fecha: 30-06-2023.
Escenario 1:
Se requiere:

1. Indicar cuál o qué tipo de herramienta a utilizar y porqué recomienda el uso de esta
herramienta.

• Anydesk, la recomiendo porque es una herramienta con uso bastante simple y

cumple con la necesidad de la organización de que los usuarios o empleados

accedan a los recursos informáticos de la organización de manera remota, ya que

estos pueden conectarse a escritorios o dispositivos como Tablet u otros, de

manera remota.

• También recomiendo la herramienta Clokify, es una herramienta de seguimiento

de horario, esta herramienta se mantiene corriendo hasta cumplir con el horario

propuesto, lo que permite mantener un monitoreo o seguimiento de las horas que

trabajan los empleados desde la ubicación en la que se encuentren.

• VPN’s una vpn de acceso remoto, para mantener una comunicación segura entre

los empleados y la organización.

• Microsoft teams, para la comunicación segura entre los empleados de la

organización.

2. ¿Cuál es la norma (NIST SP-800, por ejemplo) y política (10 políticas) a aplicar para este
escenario? Debe de explicar todas las políticas a utilizar, por ejemplo.

1. Política de horario: los empleados deben de cumplir con el horario establecido por

la organización, no trabajar menos de lo establecido y notificar en caso de que tengan

que trabajar más horas de lo habitual y el porqué de dicha razón, este horario depende

de la preferencia de horario que la organización posea. Norma ISO 27002, control

A.9.2.2 ("Gestión del acceso del usuario") y A.12.1.1 ("Control de operaciones

administrativas y técnicas").
 Objetivos: definir un horario el cual debe ser cumplido por los empleados de manera

obligatoria para mantener la eficiencia de trabajo de la organización.

2. Política de uso e instalación de herramientas obligatorias: Todas las herramientas

relacionadas con el teletrabajo (teams, anydesk, vpn, etc), deben ser instaladas por

todos los empleados que posean tanto una laptop de la organización como una laptop

personal. Norma ISO 27002.

Objetivos: forzar a los empleados a instalar los recursos necesarios establecidos por la

organización para que puedan cumplir con su labor con las herramientas adecuadas.

3. Política de entorno seguro: los empleados deben de trabajar en un ambiente discreto

en el cual se mantenga la integridad de labor que estos están ejerciendo, y donde sus

equipos no se vean amenazados. Norma NIST SP-800.

Objetivos: mantener la integridad de la labor que ejercen los empleados desde su

ubicación fuera de la organización.

4. Política de uso debido de los equipos en el transcurso laboral diario: los

empleados que posean equipos de la organización deben de utilizar dichos equipos

únicamente para cumplir con su labor, no pueden descargar nada sin autorización, ni

que sea innecesario para realizar su labor. Norma ISO 27002.

Objetivos: mantener los equipos seguros de softwares malintencionado o evitar que los

equipos de la empresa se conviertan en equipos de uso personal.

5. Política de conexión segura: los empleados de la organización se deben de conectar

a redes seguras para poder trabajar, redes con buenos protocolos de encriptación y

privadas, para poder trabajar desde su ubicación. Norma ISO 27002.

 Objetivos: mantener la integridad y confidencialidad de la información que manejan los

empleados desde su ubicación.

6. Política de discreción laboral: los empleados no deben compartir información

acerca de lo que están trabajando con familiares o terceros que no pertenezcan a la

organización. Ya sea información del manejo económico o proyectos que se estén

llevando a cabo. Norma ISO 27002 y tambien se relaciona con la NIST SP-800.

Objetivos: mantener la confidencialidad de la información que manejan los empleados

de la organización.

7. Política de comunicación: cualquier intercambio de información relacionada con la

organización, o reuniones y proyectos que deban discutir los empleados, se deben de

llevar a cabo en las plataformas de comunicación propuestas por la organización,

junto con las respectivas cuentas o números que le proporcione la organización.

Norma ISO 27002.

Objetivos: mantener comunicaciones seguras entre los empleados.

8. Política de adaptabilidad: los empleados deben de adaptarse a los cambios

propuestos por la organización lo más rápido y eficazmente posible, ya sea cambios

en las herramientas relacionadas con el teletrabajo, como de comunicación o

conexión vpn, etc. Norma ISO 27002 control A.6.1.1 ("Gestión de cambios y

evaluación de impacto") y A.12.1.1 ("Control de operaciones administrativas y

técnicas").

Objetivos: aclarar a los empleados la responsabilidad que poseen de adaptarse a los

cambios que proponga la organización.

 9. Política de protección de los equipos: los empleados que posean equipos de la

organización deben de cuidar estos equipos tanto de manera física como lógica,

evitando comer cerca para evitar que se le derrame algo encima o evitar descargar

archivos de contenido sospechoso. Norma ISO 27002 y se relaciona con la NIST

SP-800.

Objetivos: aclarar a los empleados la responsabilidad que poseen de proteger y cuidar

los equipos de la organización.

10. Política de incidentes de equipos o herramientas: los empleados deben de

comunicar cualquier incidente relacionado con los equipos o herramientas que

posean y que interfiera con su labor para resolverlo lo antes posible, incidentes como

daño a equipos, fallos de funcionamiento de las herramientas, etc. Norma ISO

27001.

Objetivos: resolver lo antes posible los incidentes relacionados con los equipos de los empleados

para mantener la continuidad de trabajo y no perder eficiencia.

Escenario 2.

Como asesor de ciberseguridad del ministerio de la presidencia, explicar con sus

propias palabras como puedo aplicar seguridad en los móviles de los funcionarios
(presidente, vice-presidente, etc.) Recuerde que tiene presupuesto abierto. Tomar
en cuenta el riesgo residual.

Implementar sistemas MDM que permiten gestionar los dispositivos móviles de los

funcionarios, en estos dispositivos móviles con un sistema MDM se podrán establecer políticas de

seguridad, establecer configuraciones, monitorear los dispositivos de los funcionarios, y además

brinda la posibilidad de proveer solución de problemas de manera remota, es decir un sistema MDM
permite tener un control total de los dispositivos móviles permitiendo mantenerlos seguros y

monitoreados.

Los riesgos residuales:

Algunos de los riesgos residuales que quedan de implementar un MDM, son los siguientes:

• Robos o ataques físicos a los dispositivos móviles: golpes accidentales, robos, etc.

• Vulnerabilidades del sistema operativo: ya esto es algo fuera de las capacidades

del MDM.

• Conexiones inseguras: conexiones abiertas y con poca protección, en las que se

podría interceptar datos.

Luego de presentar la solución, plantear al menos 3 políticas de seguridad que

deben aplicarse para garantizar el éxito de la solución planteada (Especificar la
política y el control).

1. Política de instalación: todos los funcionarios deben de instalar el sistema MDM en

el dispositivo móvil de la organización o en uno personal. Norma ISO 27002.

Objetivos: implementar el sistema MDM en los dispositivos móviles de la organización para

tener mayor control y proveer mayor seguridad a estos dispositivos.

2. Política de actualización: todos los funcionarios deben de actualizar los sistemas

operativos de los dispositivos móviles cuando sea debido. Norma ISO 27001 y

también la NIST SP 800-53.

 Objetivos: darle un mantenimiento correcto a los dispositivos actualizándolos para que en

caso de que la versión anterior a la actualización posea una vulnerabilidad esta sea parcheada.

3. Política de uso exclusivo: los empleados no pueden prestar sus dispositivos moviles

ni dejar sus dispositivos a cuidado de terceros ajenos a la organizacion. Norma ISO

27001 y NIST SP 800-53.

Objetivos: mantener la confidencialidad e integridad de la información que manejan esos

dispositivos, y también evitar robos o daños por dichos terceros.