Nombre Jairo Alberto Reyes Ramirez

Fecha 27/02/2017
Actividad 1 Modelo OSI
Tema Modelo OSI

Caso real: Usted ha sido contratado en una empresa colombiana, llamada “En-core”, que presta
servicios de investigación tecnológica para las empresas del país. Su sede principal se encuentra
en Medellín, el mismo lugar donde, hipotéticamente, usted residirá. Esta empresa está en un
proceso de expansión, por lo que andan construyendo 2 sucursales más en la misma ciudad, y
una de ellas en la capital del país, Bogotá. Usted ha sido contratado para gestionar la seguridad
de las redes de esta empresa, debido a que maneja datos críticos y secretos para la competencia.
Usted tiene técnicos a su cargo, personal de mantenimiento, y un administrador de red por cada
sede (4 en total). De acuerdo a esta situación, responda las siguientes preguntas:

Preguntas interpretativas

1. Antes que nada, un gestor de seguridad debe entender de manera intuitiva los modelos
de transmisión y recepción de información. Use una situación de la vida cotidiana,
diferente a la expresada en la documentación, para explicarle a sus empleados los
elementos del modelo de transmisión-recepción de información.

R: Un ejemplo del modelo de transmisión-recepción podría ser una conferencia por vía
internet de una persona que habla en otro idioma. La situación es la siguiente: en un
auditorio hay un grupo de personas que están esperando a una conferencia por internet
de una persona que se encuentra en otro país, mientras que el conferencista prepara
todos los elementos que va a usar para su presentación, hay una persona en un atril
dando una breve introducción del tema el cual va a ser tratado posteriormente por el
conferencista extranjero. Esta persona a su vez va a ser veces de traductor del
conferencista extranjero, ya que las personas que están en el auditorio no logran
entender bien el idioma que habla en conferencista extranjero. Una vez el conferencista
extranjero empieza su discurso, la persona del atril deja de decir lo que él tenía que
decir, y empieza a traducir la charla del conferencista extranjero.
Para este caso, inicialmente la información fue generada por la mente de la persona
parada en el atril, por lo cual la fuente inicialmente es la mente de la persona parada
en el atril. A su vez, esta información debe de ser trasmitida de tal forma que todas las
personas que estén dentro del auditorio puedan entenderla, es decir, debe de ser dada
en el mismo idioma que las personas en el auditorio hablen, por lo cual el código en
este caso es el idioma. Por otra parte, no es suficiente con que la persona parada en
el atril piense lo que va a decir, es necesario que pueda emitir sus ideas, esto lo hace
por medio de su boca, la cual sería en este caso el emisor. La información dada por la
persona parada en el atril debe de atravesar un espacio que esta dado entre la boca
del emisor y los oídos de los receptores. El canal por el cual viaja la información en
este caso es el aire. En el auditorio no todas las personas se encuentran en siliecion
escuchando atentamente la charla, sino que hay algunas hablando entre ellas sobre
los temas tratado, e incluso existen algunas que hablan entre si sobre temas ajenos al

1 Redes y seguridad
Actividad 1
 de la conferencia. El hecho de que hayan personas hablando entre si dentro del
auditorio genera un cierto ruido.

2. Es objetivo principal del gestor de seguridad explicar el efecto de las políticas de

seguridad informática. Explique a los directores de la empresa la siguiente expresión
“Las PSI no generan un sistema más óptimo, ni más rápido, ni más eficiente a la hora
de procesar información, pero son vitales para la organización”

R: En estos tiempos el principal recurso que manejan las empresas a nivel general es
la información. El tipo de información que manejan las empresas es diferente para cada
tipo de empresa, una empresa dedicada a la comercialización de productos
electrónicos no es la misma que maneja una empresa dedicada a la comercialización
de productos cárnicos. Pero si hay un aspecto importante a tener en cuenta: ambas
empresas deben de tener unas políticas de seguridad a la información. Hay que resaltar
que estas políticas no generan un sistema más óptimo, ni más rápido, mi mas eficiente,
pero hacen que la información que llega, genera, maneja y sale de la empresa se
mantenga segura. Un ejemplo de lo importante que es la implementación de las PSI en
las empresas mencionadas anteriormente es el siguiente: supongamos que la empresa
que se dedica a comercializar productos electrónicos vende sus productos por internet.
A la hora de pagar un producto el cliente debe de introducir datos personales
incluyendo los de su tarjeta de crédito. Estos datos son enviados a la página de la
empresa y posteriormente se realiza la transacción con el banco teniendo en cuenta
estos datos. En la empresa bien podría existir un empleado mal intencionado que tiene
acceso a la información de los clientes que han realizado comprar en la página de la
empresa, y bien podría tomar esa información para hacer compras y demás cosas que
el cliente no ha hecho.

Preguntas argumentativas

1. La gestión principal de seguridad de una red se da en la capa 4 cuando se

habla de elementos técnicos, y en la capa 8 cuando se habla de elementos
administrativos. ¿Por qué?
R: La gestión principal de una red se da en la capa 4 porque es necesario tener
una red estructurada de tal forma que la información no pase por equipos por
los cuales no debe de pasar. Un ejemplo de ello es el siguiente: supongamos
que una empresa tiene una red tipo árbol, y que en esta red el jefe encargado
usa el computador central. Supongamos que hay un empleado ubicado en un
computador terciario. La información que el empleado debe darle a su jefe es
de suma confidencialidad. Al ser la red de tipo árbol, la información del
empleado ubicado en un equipo terciario debe de pasar por un equipo
secundario. Allí está un empleado el cual puede tener acceso a la información
que no debería.
Por otro lado, la capa de usuarios es indispensable a la hora de hacer una
buena gestión de red, porque en ella es donde se definen todas PSI. Es allí
donde se toman todas las herramientas administrativas de la empresa para
hacer unas buenas Políticas de Seguridad a la Información.

2 Redes y seguridad
Actividad 1
 2. ¿Por qué debemos tener en cuenta la capa 8 a la hora de generar una política
de seguridad informática?
R: Las PSI son aplicables principalmente en la capa 8. Es allí donde la empresa
gestiona y hace uso de las herramientas que dispone para implementar una
buena política de seguridad informática. Según la lectura, el 80% de los
problemas de seguridad asociados a sistemas basados en redes esta asociado
a las personas. Ese 80% está distribuido en tres categorías: problemas por
ignorancia, problemas por haraganería y problemas por malicia. Dado esto, la
empresa puede tomar decisiones para mitigar la ignorancia de sus empleados
con respecto a la utilización de las herramientas informáticas que tiene la
empresa. Esto se logra haciendo capacitaciones cada vez que el sistema se
actualice o cambie. El problema por haraganería y malicia puede ser reducido
a la hora de contratar un nuevo empleado en la empresa. Se deben de hacer
filtros más extensos y precisos para contratar personas que sean
comprometidos con su trabajo y que tengan unas bases morales sólidas.

Preguntas propositivas

1. De acuerdo con los tipos de redes existentes, y la estructura de la empresa en la que

se encuentra, proponga la forma en la que los elementos deben interconectarse entre
sí, tanto en los edificios, como entre las sedes de una misma ciudad, y a su vez con la
sucursal en la capital. Defina el tipo de red por alcance, por topología, por dirección de
los datos, y todas las características que considere deba tener la definición de la misma.
R: El tipo de red que yo escogería para este caso es el la Red Tipo Árbol. El servidor
principal estaría en la sede principal de la empresa, o sea en la ciudad de Medellín. La
red seria también full dúplex dado que va a estar enviando y recibiendo información de
manera simultánea en ambos sentidos, y también sería una red WAN, dado que se va
a conectar la sede principal ubicada en la ciudad de Medellín con la otra sucursal en la
ciudad de Bogotá.

3 Redes y seguridad
Actividad 1
2. Proponga un plan de trabajo de comunicación inicial, teniendo en cuenta los diversos
problemas en capa 8, para explicar las medidas de seguridad que se impondrán. Tenga
en cuenta que en este plan no debe estar incluído lo que se dirá, ni el porqué, sino solo
los pasos a seguir para comunicar las PSI, las personas involucradas y prioritarias, los
tipos de problemas que se cubrirán, etc.
R: El plan de trabajo será implementado inicialmente en la sede principal mientras se
abren las otras tres. El plan seria hacer campañas de capacitación y concientización a
los empleados sobre las PSI. Esto se debe de realizar por departamentos, dado que
para cada departamento de la empresa existen unas pequeñas variaciones en las PSI.
Una vez se hayan abierto las surcursales, se debe de contactar al administrador de red
de cada sucursal para informarle acerca del plan de trabajo. Este a su vez será el
encargado y responsable de dar a conocer y velar por que las PSI de la empresa se
cumplan y se usen adecuadamente.

4 Redes y seguridad
Actividad 1