JHON ALEXANDER VELEZ ACTIVIDAD FINAL REDES Y SEGURIDAD POLTICAS DE REDES Y SEGURIDAD CONTENIDO - Estudio previo - Justificacin - Definicin

- Programa de seguridad 1. Cuentas de Usuarios 2. Internet 3. Correo Electrnico 4. Red Interna 5. Polticas de uso de computadores, impresoras y perifricos 6. Otras Polticas 7. capacitacin especial y exclusivamente para el personal que ejercer en los puntos de acopio y el centro general de operaciones 8. clausulas de privacidad - Plan de accin - Tabla de grupos de acceso - Valoracin de los elementos de la red - Herramientas - Glosario ESTUDIO PREVIO Evaluacin de riesgos en EL SERVIDOR: * La falla continua por no tener las normas elctricas bien aplicadas; cortes de electricidad sin previo aviso * La informacin en ellos es alterada continuamente por los operarios en cada punto de acopio EVALUACION DE RIESGOS EN LA RED * La informacin en la red se puede modificar y observar por los miembros ubicados en los puntos de acopio * Se suplanta con facilidad la identidad de la estacin * Se puede suplantar con facilidad la identidad del usuario o coordinador de los puntos de acopio EVALUACION DE RIESGOS EN ESTACIONES CLIENTE * Las estaciones de acopio son el punto ms dbil en la seguridad por que las cuales las maneja personal variado * En las estaciones de acopio la informacin est completamente abierta * tienen Programas de Seguridad vulnerables con facilidad JUSTIFICACION La seguridad, en lo que se refiere a una infraestructura de informacin, es un concepto relacionado con los componentes del sistema (el hardware) las aplicaciones utilizadas en la institucin (software) y el manejo que se d

del conjunto (el conocimiento del usuario)y la capacitacin del personal que se encargara del manejo de los equipos . por esta razn es un paso primordial el establecer normativas y estndares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicacin de la empresa la informacin, y por consiguiente los recursos mencionados anteriormente, se han convertido en un activo de altsimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la informacin necesaria para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley y polticas de la empresa El sentar bases y normas de uso y seguridad informticas dentro de la empresa respecto a la manipulacin y uso de aplicaciones y equipos computacionales permitir el buen desarrollo de los procesos informticos y elevar el nivel de seguridad de los mismos DEFINICION para preservar la informacin y los diferentes recursos informticos con que cuenta la Empresa. La poltica de seguridad informtica es el conjunto de normas, reglas, procedimientos y prcticas que regulan la proteccin de la informacin contra la prdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, al igual que garantizan la conservacin y buen uso de los recursos informticos con que cuenta la Empresa y el buen manejo de los recursos tcnicos de la misma POLITICAS ADOPTADAS Estamos en el proceso de implementacin de las Polticas de Seguridad Informtica, se propone Administrar, desarrollar y mantener en buen estado Las tecnologas de la informacin y la comunicacin (TICs) se adoptan las siguientes polticas de seguridad informticas en la empresa: 1. Cuentas de Usuarios 2. Internet 3. Correo Electrnico 4. Red Interna 5. Polticas de uso de computadores, impresoras y perifricos 6. Otras Polticas 7. capacitacin especial y exclusivamente para el personal que ejercer en los puntos de acopio y el centro general de operaciones 8. clausulas de privacidad El propsito de estas polticas es asegurar que los funcionarios utilicen correctamente los recursos tecnolgicos que la empresa pone a su disposicin para el desarrollo de las funciones institucionales. Dichas polticas son de obligatorio cumplimiento. El funcionario que incumpla las polticas de seguridad informtica, responder por sus acciones o por los daos causados a la infraestructura tecnolgica de la empresa, de conformidad con las leyes penales, fiscales y disciplinarias. Tanto de ley como de la empresa

1. CUENTAS DE USUARIOS * Es la cuenta que constituye la principal va de acceso a los sistemas de informacin que posee la empresa; estas cuentas aslan al usuario del entorno, impidiendo que pueda daar al sistema o a otros usuarios, y permitiendo a su vez que pueda personalizar su entorno sin que esto afecte a otros. Es un manejo personalizado de cada funcionario * Cada persona que acceda al sistema debe tener una sola cuenta de usuario. Esto permite realizar seguimiento y control, evita que interfieran las configuraciones de distintos usuarios o acceder al buzn de correo de otro usuario. teniendo una base de datos de cada usuario * Una cuenta de usuario asigna permisos o privilegios al usuario para acceder a los sistemas de informacin y desarrollar actividades dentro de ellas.de forma personalizada * Los privilegios asignados delimitan las actividades que el usuario puede desarrollar sobre los sistemas de informacin y la red de datos evitando la filtracin de datos de la empresa * Procedimiento para la creacin de cuentas nuevas: La solicitud de una nueva cuenta o el cambio de privilegios, deber hacerse por escrito y ser debidamente autorizada por la Oficina de Sistemas y el departamento de seguridad * Cuando un usuario recibe una cuenta, debe firmar un documento donde declara conocer las polticas y procedimientos de seguridad informtica y acepta sus responsabilidades con relacin al uso de esa cuenta teniendo en cuenta la clausula de privacidad * No debe concederse una cuenta a personas que no sean funcionarios del sistema de seguridad de los puntos de acopio o centro general de operaciones a menos que estn debidamente autorizados por el departamento de sistemas y seguridad * La Oficina de Personal debe reportar a la Oficina de Sistemas y seguridad a los funcionarios que cesan sus actividades y solicitar la desactivacin de su cuenta de forma inmediata * Los Privilegios especiales de borrar o depurar los archivos de otros usuarios, slo se otorgan a los encargados de la administracin en la oficina de Sistemas en conjunto con la administracin de seguridad * No se otorgar cuentas a tcnicos de mantenimiento externos ,por el contrario tener dentro del personal contratado tcnicos exclusivamente para el mantenimiento de los equipos de la empresa * No se crearn cuentas annimas o de invitado por eso se creara una base de datos con los usuarios y las cuentas a quien correspondan 2. INTERNET * herramienta cuyo uso autoriza la empresa en forma extraordinaria, puesto que contiene ciertos peligros. Los hackers estn constantemente intentando hallar nuevas vulnerabilidades que puedan ser explotadas. Se debe aplicar una poltica que procure la seguridad y realizar monitoreo constante, por lo que se debe tener en cuenta lo siguiente: * El acceso a internet en horas laborales es de uso solo laboral no personal, con el fin de no saturar el ancho de banda y as poder hacer buen uso del servicio. * No acceder a pginas de entretenimiento, pornografa, de contenido ilcito que atenten contra la dignidad e integridad humana: aquellas que incitan al terrorismo, pginas con contenido que estn fuera del contexto laboral.

* En ningn caso recibir ni compartir informacin en archivos adjuntos de dudosa procedencia, esto para evitar el ingreso de virus al equipo. * No descargar programas, demos, tutoriales, que no sean de apoyo para el desarrollo de las tareas diarias de cada empleado y siempre contando con la orientacin del personal de sistemas * Ningn usuario est autorizado para instalar software en su ordenador. El usuario que necesite algn programa especfico para desarrollar su actividad laboral, deber comunicarlo a la Oficina de Sistemas que se encargar de realizar las operaciones oportunas y dar las herramientas necesarias al personal * Los empleados de la Empresa solo tendrn acceso a la informacin necesaria para el desarrollo de sus actividades. * Ningn empleado debe instalar ningn programa para ver vdeos o emisoras de televisin va Internet y de msica. (Ares, REAL AUDIO, BWV, etc.) ni sistemas de juegos en lnea 3. CORREO ELECTRONICO *se debe utilizar de forma responsable. Su principal propsito es servir como herramienta para agilizar las comunicaciones oficiales que apoyen la gestin institucional de la empresa. Es de anotar que el correo electrnico es un instrumento de comunicacin de la empresa y los usuarios tienen la responsabilidad de utilizarla de forma eficiente, eficaz, tica y de acuerdo con la ley. * Utilizar el correo electrnico como una herramienta de trabajo, y no como nuestra casilla personal de mensajes a amigos y familiares, para eso est el correo personal. * No enviar archivos de gran tamao a compaeros de oficina. Para eso existe la red. * No facilitar u ofrecer la cuenta y/o buzn del correo electrnico institucional a terceras personas. Los usuarios deben conocer la diferencia de utilizar cuentas de correo electrnico institucionales y cuentas privadas para ello se les dar la capacitacin necesaria * No participar en la propagacin de mensajes encadenados o participar en esquemas piramidales o similares. * No enviar grandes cadenas de chistes en forma interna. * Si se recibe un correo de origen desconocido, consulten inmediatamente con la Oficina de Sistemas sobre su seguridad. Bajo ningn aspecto se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podran contener cdigos maliciosos (virus, troyanos, keyloogers, gusanos, etc) * Cuando se contesta un correo, evitar poner "Contestar a todos" a no ser que estemos absolutamente seguros que el mensaje puede ser recibido por "todos" los intervinientes y que sea dentro de los usuarios dela empresa * El acceso a las cuentas personales debe ninguno durante nuestra jornada laboral y por ningn motivo utilizar ningn equipo de la empresa para dichas cuentas * Los usuarios que tienen asignada una cuenta de correo electrnico institucional, deben establecer una contrasea para poder utilizar su cuenta de correo, y esta contrasea la deben mantener en secreto para que su cuenta de correo no pueda ser utilizada por otra persona del equipo de trabajo o ajenas a este equipo * Cuando el usuario deje de usar su estacin de trabajo deber cerrar y verificar el cierre del software de correo electrnico, para evitar que otra persona use su cuenta de correo

* Los usuarios que tienen asignada una cuenta de correo electrnico institucional, deben mantener en lnea el software de correo electrnico (si lo tiene disponible todo el da), y activada la opcin de avisar cuando llegue un nuevo mensaje, o conectarse al correo electrnico con la mayor frecuencia posible para leer sus mensajes. * Se debe mantener los mensajes que se desea conservar, agrupndolos por temas en carpetas personales. * Evite usar las opciones de confirmacin de entrega y lectura, a menos que sea un mensaje muy importante, ya que la mayora de las veces esto provoca demasiado trfico en la red y por lo tanto lentitud en la misma * Evite enviar mensajes a listas globales, a menos que sea un asunto oficial que involucre a toda la institucin de la empresa * La Oficina de Sistemas determinar el tamao mximo que deben tener los mensajes del correo electrnico institucional y los contenidos * Los mensajes tendrn una vigencia no mayor de 30 das desde la fecha de entrega o recepcin de los mismos. Superada la fecha de vigencia, los mensajes debern ser eliminados del servidor de correo para evitar trafico lento en la red * Si se desea mantener un mensaje en forma permanente, ste debe almacenarse en carpetas personales 4.RED INTERNA (GENERAL) * General es una carpeta compartida para todos los empleados de la Corporacin solo de uso laboral (compartir y almacenar informacin solo pertinente a sus tareas), no para almacenar cosas personales o innecesarias para el desarrollo de las tareas establecidas * A la informacin guardada por los funcionarios de la Corporacin en la Red Interna se le realizarn copias de seguridad todos los sbados al finalizar la jornada laboral en un medio de almacenamiento externo; esto para proteger todo cuanto se guarde en esta carpeta compartida y as y tener respaldo de los datos y el buen manejo de la red * En el servidor de red de la Entidad existe una carpeta compartida denominada 2012 dentro de la cual hay una subcarpeta llamada RESPALDOS constituida por varias subcarpetas as: * Calidad * Coordinadores * Desarrollo * Oficios * Planeacin * secretaria donde cada subdireccin tendr una subcarpeta para guardar los archivos que desee compartir y a la cual tendrn acceso los empleados que el administrador considere pertinente * tambin contar con una subcarpeta denominada comn a la cual tendrn acceso todos los empleados pero esta se evacuar todos los sbados para as liberar espacio en disco evitando que este se mantenga lleno de archivos innecesarios. * Si guard una informacin en la red y ms adelante ya no es necesario tenerla all, debe eliminarse y guardarla ya sea en el equipo, en memorias o cds Para no mantener la red llena de cosas innecesarias. * No modificar ni manipular archivos que se encuentren en la red que no sean de su propiedad.

5. COMUNICACIN POLITICAS DE USO DE COMPUTADORES ,IMPRESORAS ,PERIFERICOS Y EQUIPOS DE * La infraestructura tecnolgica: servidores, computadores, impresoras, UPS, escner, lectoras equipos de comunicacin no puede ser utilizado en funciones diferentes a las institucionales y laborales de la empresa * Los usuarios no pueden instalar, suprimir o modificar el software originalmente entregado en su computador. Es competencia de la Oficina de sistemas la instalacin de software. * No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos. Es competencia de la Oficina de sistemas, el retiro o cambio de partes. * No es permitido destapar o retirar la tapa de los equipos, por personal diferente a la Oficina de sistemas o bien sus asistentes o sin la autorizacin de esta o la de seguridad * Los equipos, escner, impresoras, lectoras y equipos de comunicacin no podrn ser trasladados del sitio que se les asign inicialmente, sin previa autorizacin de la Oficina de sistemas o seguridad * Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones elctricas, asegurando que los equipos estn conectados a las instalaciones elctricas apropiadas de corriente regulada, fase, neutro y polo a tierra. * Es estrictamente obligatorio, informar oportunamente a la Oficina de sistemas o seguridad la ocurrencia de novedades por problemas tcnicos, elctricos, de planta fsica, lneas telefnicas, recurso humano, o cualquiera otra, que altere la correcta funcionalidad de los procesos. El reporte de las novedades debe realizarse a la Gerencia de Informtica tan pronto se presente el problema. * Los equipos deben estar ubicados en sitios adecuados, evitando la exposicin al sol, al polvo o zonas que generen electricidad esttica o daos fsicos * Los protectores de pantalla y tapiz de escritorio, sern establecidos por la Oficina de sistemas y deben ser homogneos para todos los usuarios. * Ningn funcionario, podr formatear los discos duros de los computadores * Ningn funcionario podr retirar o implementar partes sin la autorizacin de la Oficina de sistemas. * ningn funcionario deber usar los equipos de comunicacin para uso personal

6. OTRAS POLITICAS * A los equipos porttiles personales no se les brindar soporte de ninguna ndole: ni de hardware ni de software, porque no son responsabilidad de la entidad por ende el dueo debe hacerse cargo y responsable de su computador y su equipo personal de comunicacin * La direccin IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la autorizacin de la Oficina de Sistemas o seguridad porque esto ocasionara conflictos de IPS y esto alterara el flujo de la red. * No llenar el espacio de disco del equipo con msica ni videos, ni informacin personal que no sea necesaria para el desarrollo de sus tareas con respecto a la entidad * Todo funcionario responsable de equipos informticos debe dejarlo apagado y desenchufado tanto al medio da como en la noche lo anterior para ahorrar recursos energticos y contribuir a la conservacin de los equipos 7. CAPACITACION ESPECIAL Y EXCLUSIVA PARA EL PERSONAL QUE

EJERCERA EN LOS PUNTOS DE ACOPIO Y CENTRO GENERAL DE OPERACIONES * La capacitacin debera tener un anlisis previo para evaluar en qu parte de la organizacin es necesario mejorar o resolver un problema *Dar una capacitacin de la actividad a desarrollarse y en la que cada funcionario se va a desempear especficamente *capacitacin que se dar exclusivamente para el personal que llevara el control en los puntos de acopio y centro general de operaciones *se llevara a cabo una prueba inmediatamente despus de la capacitacin para dar la aprobacin al personal para que se empiece a dar inicio de las actividades * dar capacitaciones peridicamente para generar un excelente desarrollo de las actividades en cada punto de acopio y mas aun del centro general de operaciones 8. CLAUSULAS DE PRIVACIDAD Y COMPROMISO * cada funcionario deber al firmar el contrato unas clausulas de privacidad y compromiso *clausulas que tendrn una durabilidad de dos aos como mnimo as el funcionario ya no se este desempeando el la empresa * clausulas que tendrn las sanciones legales y judiciales PLAN DE ACCION - Divulgar un manual de polticas de seguridad informtica para el conocimiento y cumplimiento del mismo entre todo el personal de la empresa sobre los recursos informticos asignados o utilizados - Elaborar un manual de polticas de seguridad informtica para el personal de la empresa; adaptado a las necesidades y a los equipos tecnolgicos de la institucin as como a la naturaleza de la informacin que se maneja en la misma. Utilizar un lenguaje claro de establecimiento de polticas y estndares de seguridad para la fcil aplicacin de las mismas por parte del personal de cada punto de acopio y centro general - Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual de seguridad tenga un enfoque ms objetivo de la situacin de la institucin. PEOCEDIMIENTOS ESCOGIDOS PARA LA RED LA APLICACIN DE RED ENTRE PUNTOS DE ACOPIO Y EL CENTRO GENERAL SE UTILIZARIA UNA RED WAN POR LA CONEXIN ENTRE SUCURSALES En este caso la topologa ms recomendada para cada punto de acopio y centro general internamente seria mediante la estrella, por sus caractersticas de poseer un nodo central en el cual se podran tomar medidas de seguridad y sus respectivos controles, ya que todas sus conexiones se realizaran a travs de este, tambin es fcil de implementar y ampliar, y por sus bajos costos en comparacin con otras. TABLA DE GRUPOS DE ACCESO

Recurso del Sistema | Riesgo R | Tipos de Acceso | Permisos Otorgados | Numero | Nombre | | | | 1 | Router | Grupo de Administradores | Local y Remoto | Lectura y escritura | 2 | Swiche | Grupo de Admin. y Mantenimiento | Local y Remoto | Lectura y escritura | 3 | Cableado | Grupo de Mantenimiento | Local | Lectura y escritura | 4 | Servidor | Usuarios directos | Local | Lectura y escritura | 8 | Terminal | Usuarios indirectos | Local | Lectura | VALORACION DE LOS ELEMENTOS DE LA RED Recurso del Sistema | Riesgo R | Importancia W | Riesgo Evaluado R-W | Numero | Nombre | | | | 1 | Router | 7 | 8 | 56 | 2 | Swiche | 6 | 8 | 48 | 3 | Servidor | 10 | 10 | 100 | 4 | Terminal | 5 | 5 | 25 | 8 | Cableado | 4 | 5 | 20 | * Router con un puntaje de 56: Es uno de los ms importantes ya que de la buena configuracin de este depende mucho la seguridad de nuestra red. * Swiche con un puntaje de 48: el buen funcionamiento de este hace posible distribuir toda la informacin a la red * Servidor con un puntaje de 100: Es el de mayor importancia porque todas la acciones se realizarn a travs de este. * Terminal con un puntaje de 25: Es importante porque por medio de estos alimentaremos al servidor. * Cableado con un puntaje de 25: De este depende intercomunican entre terminales y servidores. HERRAMIENTAS * Las Herramientas prioritarios para el problema de e-mail serian: Trinux y Gabriel * Las Herramientas prioritarios para el problema de spamming seran: ISS, Crack y Chklastlog * Las Herramientas prioritarios para el problema de denial of service seran: Satn, TCPdump y Tripwire GLOSARIO * Administrador del sistema: Persona responsable de administrar, controlar, supervisar y garantizar la operatividad y funcionalidad de los sistemas. Dicha administracin est en cabeza de la Gerencia de informtica. * Administrador de correo: Persona responsable de solucionar problemas en el correo electrnico, responder preguntas a los usuarios , asuntos en un servidor y auditar el buen funcionamiento del correo * Computador: Es un dispositivo de computacin de sobremesa o porttil, que utiliza un microprocesador como su unidad central de procesamiento o CPU. * Contrasea o password: Conjunto de nmeros, letras y caracteres, utilizados para

reservar el acceso a los usuarios que disponen de esta contrasea. * Correo electrnico: Tambin conocido como E-mail, Consiste en el envo de textos, imgenes, videos, audio, programas, etc., de un usuario a otro por medio de una red. El correo electrnico tambin puede ser enviado automticamente a varias direcciones. teniendo en cuenta el envi solo de material para las tareas de la empresa * Edicin de cuentas de correo: Mirar o leer el contenido de los correos recibidos o enviados por un usuario. * Downloads: Descargar, bajar. Transferencia de informacin desde Internet a una computadora. solo con autorizacin del departamento de sistemas * Electricidad esttica: La corriente esttica se presenta cuando no existe ninguna fuerza externa (voltaje) que impulse a los electrones o si estos no tienen un camino para regresar y completar el circuito, la corriente elctrica simplemente "no circula". La nica excepcin al movimiento circular de la corriente la constituye la electricidad esttica que consiste en el desplazamiento o la acumulacin de partculas (iones) de ciertos materiales que tienen la capacidad de almacenar una carga elctrica positiva o negativa. * Elementos de tecnologa: Se consideran los siguientes, siendo la Gerencia de Informtica responsable de su administracin. Computadores de escritorio y porttiles: conformados por CPU (Discos duros, memorias, procesadores, main borrad, bus de datos), cables de poder, monitor, teclado, mouse Impresoras, UPS, escner, lectores, fotocopiadoras, telfonos, radiotelfonos. Equipos de redes comunicaciones como: Switch, router, Hub, Conversores de fibra y dems equipos de redes y comunicaciones. * Hacker: Persona dedicada a lograr un conocimiento profundo sobre el funcionamiento interno de un sistema, de una PC o de una red con el objeto de alterar en forma nociva su funcionamiento. * Internet: Conjunto de redes conectadas entre s, que utilizan el protocolo TCP/IP para comunicarse entre s. * Intranet: Red privada dentro de una empresa, que utiliza el mismo software y protocolos empleados en la Internet global, pero que solo es de uso interno. * LAN: (Red de rea Local). Red de computadoras ubicadas en el mismo ambiente, piso o edificio. *WAN: red de computadoras capaz de cubrir distancias desde unos 100 hasta unos 1000 km, proveyendo de servicio a un pas o un continente. * Log: Registro de datos lgicos, de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener informacin histrica para fines de control, supervisin y auditora. * Messenger: Opcin de mensajera instantnea disponible en Internet. Puede traer problemas en las redes y sistemas privados, por cuanto puede convertirse en una herramienta de trfico de virus y publicidad no solicitada as como una canal vulnerable para la seguridad de redes y servidores. no recomendable para el uso de la red de la empresa * Red: Se tiene una red, cada vez que se conectan dos o ms computadoras de manera que pueden compartir recursos. * Seguridad: Mecanismos de control que evitan el uso no autorizado de recursos. Y la violacin de informacin personal de la empresa * Servidor: Computadora que comparte recursos con otras computadoras, conectadas con ella a travs de una red.

* Servidor de correo: Dispositivo especializado en la gestin del trfico de correo electrnico. Es un servidor perteneciente a la red de Internet, por lo que tiene conexin directa y permanente a la Red Pblica. Su misin es la de almacenar, en su disco duro, los mensajes que enva y que reciben los usuarios. * S.O.: (Sistema Operativo). Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora. * Software: Todos los componentes no fsicos de una PC (Programas). * Usuario: Toda persona, funcionario (empleado, contratista, temporal), que utilice los sistemas de informacin de la empresa debidamente identificado y autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus funciones. * Virus: Programa que se duplica a s mismo en un sistema informtico, incorporndose a otros programas que son utilizados por varios sistemas. Estos programas pueden causar serios problemas a los sistemas infectados * Monitoreo de Cuentas de correo: Vigilancia o seguimiento minucioso de los mensajes de correo que recibe y enva un usuario. * Web Site: Un Web Site es equivalente a tener una oficina virtual o tienda en el Internet. Es un sitio en Internet disponible para ser accesado y consultado por todo navegante en la red pblica. Un Web Site es un instrumento avanzado y rpido de la comunicacin que facilita el suministro de informacin de productos o entidades. Un Web Site es tambin considerado como un conjunto de pginas electrnicas las cuales se pueden accesar a travs de Internet.