MANUAL DE REDES Y SEGURIDAD: POLTICAS DE SEGURIDAD INFORMTICA

CONTENIDO Estudio previo3 Justificacin4 Definicion.5 Polticas Adoptadas6 Polticas de uso de computadores, impresoras y perifricos.10 Otras Polticas11 Plan de accin12 Beneficios De Implantar Politicas De Seguridad Informatica13 Glosario14

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 1

ESTUDIO PREVIO

EVALUACIN DE RIESGOS EN EL SERVIDOR: - La informacin en ellos es alterada continuamente por los operarios. - Se puede suplantar con facilidad la identidad del usuario.

EVALUACIN DE RIESGOS EN ESTACIONES CLIENTE: - La falla contina por no tener las normas elctricas bien aplicadas; cortes continuos del sistema. - Las estaciones clientes son el punto ms dbil en la seguridad. - En las estaciones clientes la informacin est completamente abierta. - La informacin la pueden mirar todos sin restriccin alguna.

EVALUACIN DE RIESGOS EN LA RED: - La informacin en la red se puede modificar y observar. - Se suplanta con facilidad la identidad de la estacin cliente i/o servidor - No tienen Programas de Seguridad

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 2

JUSTIFICACIN

La seguridad, en lo que se refiere a una infraestructura de informacin, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institucin (software) y el manejo que se d del conjunto (el conocimiento del usuario); por esta razn es un paso primordial el establecer normativas y estndares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicacin de la empresa. En consecuencia, la informacin, y por consiguiente los recursos mencionados anteriormente, se han convertido en un activo de altsimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la informacin para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley El sentar bases y normas de uso y seguridad informticas dentro de la empresa respecto a la manipulacin y uso de aplicaciones y equipos computacionales permitir optimizar los procesos informticos y elevar el nivel de seguridad de los mismos.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 3

DEFINICIN

La seguridad informtica aplica las tcnicas fundamentales para preservar la informacin y los diferentes recursos informticos con que cuenta la Empresa. La poltica de seguridad informtica es el conjunto de normas, reglas, procedimientos y prcticas que regulan la proteccin de la informacin contra la prdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, al igual que garantizan la conservacin y buen uso de los recursos informticos con que cuenta la Empresa.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 4

POLTICAS ADOPTADAS

Estamos en el proceso de implementacin de las Polticas de Seguridad Informtica, se propone Administrar, desarrollar y mantener en buen estado los Las tecnologas de la informacin y la comunicacin (TICs) se adoptan las siguientes polticas de seguridad informticas en la empresa: -Cuentas de Usuarios -Internet -Correo Electrnico -Red Interna -Polticas de uso de computadores, impresoras y perifricos -Otras Polticas He realizado un listado de pautas que se deben tener en cuenta para dar un uso adecuado a los recursos informticos (correo electrnico, red interna, internet. El rea de sistemas auditar de manera peridica los equipos de cmputo y perifricos as como el software instalado. El propsito de estas polticas es asegurar que los funcionarios utilicen correctamente los recursos tecnolgicos que la empresa pone a su disposicin para el desarrollo de las funciones institucionales. Dichas polticas son de obligatorio cumplimiento. El funcionario que incumpla las polticas de seguridad informtica, responder por sus acciones o por los daos causados a la infraestructura tecnolgica de la empresa, de conformidad con las leyes penales, fiscales y disciplinarias. CUENTAS DE USUARIOS: -Es la cuenta que constituye la principal va de acceso a los sistemas de informacin que posee la empresa; estas cuentas aslan al usuario del entorno, impidiendo que pueda daar al sistema o a otros usuarios, y permitiendo a su vez que pueda personalizar su entorno sin que esto afecte a otros. -Cada persona que acceda al sistema debe tener una sola cuenta de usuario. Esto permite realizar seguimiento y control, evita que interfieran las configuraciones de distintos usuarios o acceder al buzn de correo de otro usuario. -Una cuenta de usuario asigna permisos o privilegios al usuario para acceder a los sistemas de informacin y desarrollar actividades dentro de ellas. -Los privilegios asignados delimitan las actividades que el usuario puede desarrollar sobre los sistemas de informacin y la red de datos. -Procedimiento para la creacin de cuentas nuevas: La solicitud de una nueva cuenta o el cambio de privilegios, deber hacerse por escrito y ser debidamente autorizada por la Oficina de Sistemas.
REDES Y SEGURIDAD- PROYECTO FINAL Pgina 5

-Cuando un usuario recibe una cuenta, debe firmar un documento donde declara conocer las polticas y procedimientos de seguridad informtica y acepta sus responsabilidades con relacin al uso de esa cuenta. -No debe concederse una cuenta a personas que no sean funcionarios de la empresa, a menos que estn debidamente autorizados. -Los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad. Esto tambin incluye a los administradores del -No se crearn cuentas annimas o de invitado. INTERNET -Internet es una herramienta cuyo uso autoriza la empresa en forma extraordinaria, puesto que contiene ciertos peligros. Los hackers estn constantemente intentando hallar nuevas vulnerabilidades que puedan ser explotadas. Se debe aplicar una poltica que procure la seguridad y realizar monitoreo constante, por lo que se debe tener en cuenta lo siguiente: A continuacin se describen las polticas adoptadas para el uso adecuado de este importante servicio: -El acceso a internet en horas laborales de (8:00 a 12:00 y de 2:00 a 6:00) es de uso solo laboral no personal, con el fin de no saturar el ancho de banda y as poder hacer buen uso del servicio. -No acceder a pginas de entretenimiento, pornografa, de contenido ilcito que atenten contra la dignidad e integridad humana: aquellas que incitan al terrorismo, pginas con contenido hostil, racista etc. o que estn fuera del contexto laboral. -En ningn caso recibir ni compartir informacin en archivos adjuntos de dudosa procedencia, esto para evitar el ingreso de virus al equipo. -No descargar programas, demos, tutoriales, que no sean de apoyo para el desarrollo de las tareas diarias de cada empleado. -La descarga de ficheros, programas o documentos que contravengan las normas de la Empresa sobre instalacin de software y propiedad intelectual. -Ningn empleado debe instalar ningn programa para ver vdeos o emisoras de televisin va Internet y de msica. (Ares, REAL AUDIO, BWV, etc.). CORREO ELECTRNICO: -El correo electrnico es un privilegio y se debe utilizar de forma responsable. Su principal propsito es servir como herramienta para agilizar las comunicaciones oficiales que apoyen la gestin institucional de la empresa. Es de anotar que el correo electrnico es un instrumento de comunicacin de la empresa y los usuarios tienen la responsabilidad de utilizarla de forma
REDES Y SEGURIDAD- PROYECTO FINAL Pgina 6

eficiente, eficaz, tica y de acuerdo con la ley. A continuacin se relacionan las polticas: -Utilizar el correo electrnico como una herramienta de trabajo, y no como nuestra casilla personal de mensajes a amigos y familiares, para eso est el correo personal. -No enviar archivos de gran tamao a compaeros de oficina. Para eso existe la red. -No facilitar u ofrecer la cuenta y/o buzn del correo electrnico institucional a terceras personas. Los usuarios deben conocer la diferencia de utilizar cuentas de correo electrnico institucionales y cuentas privadas ofrecidas por otros proveedores de servicios en Internet. -No participar en la propagacin de mensajes encadenados o participar en esquemas piramidales o similares. -No distribuir mensajes con contenidos impropios y/o lesivos a la moral. -No enviar grandes cadenas de chistes en forma interna. -Si se recibe un correo de origen desconocido, consulten inmediatamente con la Oficina de Sistemas sobre su seguridad. Bajo ningn aspecto se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podran contener cdigos maliciosos (virus, troyanos, keyloogers, gusanos, etc). -Cuando se contesta un correo, evitar poner "Contestar a todos" a no ser que estemos absolutamente seguros que el mensaje puede ser recibido por "todos" los intervinientes. -El acceso a las cuentas personales debe ser mnimo (o ninguno) durante nuestra jornada laboral. -Los usuarios que tienen asignada una cuenta de correo electrnico institucional, deben establecer una contrasea para poder utilizar su cuenta de correo, y esta contrasea la deben mantener en secreto para que su cuenta de correo no pueda ser utilizada por otra persona. -Cuando el usuario deje de usar su estacin de trabajo deber cerrar el software de correo electrnico, para evitar que otra persona use su cuenta de correo. -Los usuarios que tienen asignada una cuenta de correo electrnico institucional, deben mantener en lnea el software de correo electrnico (si lo tiene disponible todo el da), y activada la opcin de avisar cuando llegue un nuevo mensaje, o conectarse al correo electrnico con la mayor frecuencia posible para leer sus mensajes.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 7

-Evite enviar mensajes a listas globales, a menos que sea un asunto oficial que involucre a toda la institucin. -La Oficina de Sistemas determinar el tamao mximo que deben tener los mensajes del correo electrnico institucional. -Los mensajes tendrn una vigencia no mayor de 30 das desde la fecha de entrega o recepcin de los mismos. Superada la fecha de vigencia, los mensajes debern ser eliminados del servidor de correo. -Si se desea mantener un mensaje en forma permanente, ste debe almacenarse en carpetas personales. RED INTERNA (GENERAL) -General es una carpeta compartida para todos los empleados de la Corporacin solo de uso laboral (compartir y almacenar informacin solo pertinente a sus tareas), no para almacenar cosas personales. -A la informacin guardada por los funcionarios de la Corporacin en la Red Interna se le realizarn copias de seguridad todos los viernes al finalizar la jornada laboral en un medio de almacenamiento externo; esto para proteger todo cuanto se guarde en esta carpeta compartida y as y tener respaldo de los datos. -Todos Los das al finalizar la jornada laboral se realizarn copias de seguridad (estas copias de seguridad se realizan en el servidor correspondiente, y todos los viernes en un medio de almacenamiento externo) de la base de datos del sistema -En el servidor de red de la Entidad existe una carpeta compartida denominada 2012 dentro de la cual hay una subcarpeta llamada RESPALDOS constituida por varias subcarpetas as: calidad, comn, coordinadores, desarrollo, oficios, planeacin, secretaria donde cada subdireccin tendr una subcarpeta para guardar los archivos que desee compartir y a la cual tendrn acceso los empleados que el administrador considere pertinente, tambin contar con una subcarpeta denominada comn a la cual tendrn acceso todos los empleados pero esta se evacuar todos los viernes para as liberar espacio en disco evitando que este se mantenga lleno de archivos innecesarios. -Si guard una informacin en la red y ms adelante ya no es necesario tenerla all, debe eliminarse y guardarla ya sea en el equipo, o en memorias cds etc. Para no mantener la red llena de cosas innecesarias. -No modificar ni manipular archivos que se encuentren en la red que no sean de su propiedad. -No guardar en la red msica, videos o dems archivos de uso personal ni material innecesario. POLTICAS DE USO DE COMPUTADORES, IMPRESORAS Y PERIFRICOS
REDES Y SEGURIDAD- PROYECTO FINAL Pgina 8

-La infraestructura tecnolgica: servidores, computadores, impresoras, UPS, escner, lectoras y equipos en general; no puede ser utilizado en funciones diferentes a las institucionales. -Los usuarios no pueden instalar, suprimir o modificar el software originalmente entregado en su computador. Es competencia de la Oficina de sistemas la instalacin de software. -No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos. Es competencia de la Oficina de sistemas, el retiro o cambio de partes. -No se puede utilizar disquetes trados de sitios externos a la empresa, sin la previa revisin por parte del administrador del sistema para control de circulacin de virus. -No es permitido destapar o retirar la tapa de los equipos, por personal diferente a la Oficina de sistemas o bien sus asistentes o sin la autorizacin de esta. -Los equipos, escner, impresoras, lectoras y dems dispositivos, no podrn ser trasladados del sitio que se les asign inicialmente, sin previa autorizacin de la Oficina de sistemas. -Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones elctricas, asegurando que los equipos estn conectados a las instalaciones elctricas apropiadas de corriente regulada, fase, neutro y polo a tierra. -Es estrictamente obligatorio, informar oportunamente a la Oficina de sistemas la ocurrencia de novedades por problemas tcnicos, elctricos, de planta fsica, lneas telefnicas, recurso humano, o cualquiera otra, que altere la correcta funcionalidad de los procesos. El reporte de las novedades debe realizarse a la Gerencia de Informtica tan pronto se presente el problema. -Ningn funcionario, podr formatear los discos duros de los computadores. -Ningn funcionario podr retirar o implementar partes sin la autorizacin de la Oficina de sistemas.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 9

OTRAS POLTICAS -A los equipos porttiles personales no se les brindar soporte de ninguna ndole: ni de hardware ni de software, porque no son responsabilidad de la entidad por ende el dueo debe hacerse cargo y responsable de su computador. -La direccin IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la autorizacin de la Oficina de Sistemas porque esto ocasionara conflictos de IPS y esto alterara el flujo de la red. -No llenar el espacio de disco del equipo con msica ni videos, ni informacin que no sea necesaria para el desarrollo de sus tareas con respecto a la entidad. -Todo funcionario responsable de equipos informticos debe dejarlo apagado y desenchufado tanto al medio da como en la noche lo anterior para ahorrar recursos energticos y contribuir a la conservacin de los equipos.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 10

PLAN DE ACCIN - Divulgar un manual de polticas de seguridad informtica para el conocimiento y cumplimiento del mismo entre todo el personal de la empresa sobre los recursos informticos asignados o utilizados. - Elaborar un manual de polticas de seguridad informtica para el personal de la empresa; adaptado a las necesidades y a los equipos tecnolgicos de la institucin as como a la naturaleza de la informacin que se maneja en la misma. - Utilizar un lenguaje claro de establecimiento de polticas y estndares de seguridad para la fcil aplicacin de las mismas por parte del personal de la empresa. - Establecer niveles de seguridad en base a recomendaciones internacionales permitiendo que el manual de seguridad tenga un enfoque ms objetivo de la situacin de la institucin.

En este caso la topologa ms recomendada para una organizacin mediana es la estrella, por sus caractersticas de poseer un nodo central en el cual se podran tomar medidas de seguridad y sus respectivos controles, ya que todas sus conexiones se realizaran a travs de este, tambin es fcil de implementar y ampliar, y por sus bajos costos en comparacin con otras.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 11

BENEFICIOS DE IMPLANTAR POLITICAS DE SEGURIDAD INFORMATICA

Los beneficios de la aplicacin de PSI a considerar sern inmediatos, al posibilitar que la organizacin EN-CORE trabaje sobre una plataforma virtual confiable. Estos beneficios se vern reflejados en los siguientes aspectos: 1. Incremento en la motivacin del personal de la empresa. 2. Un compromiso ms slido con la misin y visin de la compaa. 3. Alta seguridad ante ataques informticos. 4. Plataforma virtual optima para atencin al cliente. 5. Red segura para transmisin de datos entre sedes. 6. Personal de trabajo, altamente capacitados en herramientas ofimticas. 7. Alta capacitacin en mantenimiento de hardware y software, por parte del personal de soporte tcnico. 8. Aumento de la tecnologa de la empresa

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 12

GLOSARIO

-Administrador del sistema. Persona responsable de administrar, controlar, supervisar y garantizar la operatividad y funcionalidad de los sistemas. Dicha administracin est en cabeza de la Gerencia de informtica. -Administrador de correo. Persona responsable de solucionar problemas en el correo electrnico, responder preguntas a los usuarios y otros asuntos en un servidor -Buzn. Tambin conocido como cuenta de correo, es un receptculo exclusivo, asignado en el servidor de correo, para almacenar los mensajes y archivos adjuntos enviados por otros usuarios internos o externos a la empresa. -Chat. (Tertulia, conversacin, charla). Comunicacin simultnea entre dos o ms personas a travs de Internet. -Computador. Es un dispositivo de computacin de sobremesa o porttil, que utiliza un microprocesador como su unidad central de procesamiento o CPU. -Contrasea o password. Conjunto de nmeros, letras y caracteres, utilizados para reservar el acceso a los usuarios que disponen de esta contrasea. -Correo electrnico. Tambin conocido como E-mail, abreviacin de electronic mail. Consiste en el envo de textos, imgenes, videos, audio, programas, etc., de un usuario a otro por medio de una red. El correo electrnico tambin puede ser enviado automticamente a varias direcciones. -Cuentas de correo. Son espacios de almacenamiento en un servidor de correo, para guardar informacin de correo electrnico. Las cuentas de correo se componen de un texto parecido a este mperez @codechoco.gov.co donde " mperez " es nombre o sigla identificadora de usuario, " codechoco " el nombre de la empresa con la que se crea la cuenta o el dominio y ".gov.co" una extensin propio de Internet segn el dominio. -Edicin de cuentas de correo. Mirar o leer el contenido de los correos recibidos o enviados por un usuario. -Downloads. Descargar, bajar. Transferencia de informacin desde Internet a una computadora. -Electricidad esttica. La corriente esttica se presenta cuando no existe ninguna fuerza externa (voltaje) que impulse a los electrones o si estos no tienen un camino para regresar y completar el circuito, la corriente elctrica simplemente "no circula". La nica excepcin al movimiento circular de la corriente la constituye la electricidad esttica que consiste en el desplazamiento o la acumulacin de partculas (iones) de ciertos materiales que tienen la capacidad de almacenar una carga elctrica positiva o negativa.
REDES Y SEGURIDAD- PROYECTO FINAL Pgina 13

-Elementos de tecnologa. Se consideran los siguientes, siendo la Gerencia de Informtica responsable de su administracin. Computadores de escritorio y porttiles: conformados por CPU (Discos duros, memorias, procesadores, main borrad, bus de datos), cables de poder, monitor, teclado, mouse. Impresoras, UPS, escner, lectores, fotocopiadoras, telfonos, radiotelfonos. Equipos de redes comunicaciones como: Switch, router, Hub, Conversores de fibra y dems equipos de redes y comunicaciones. -Seguridad: Mecanismos de control que evitan el uso no autorizado de recursos. -Servidor. Computadora que comparte recursos con otras computadoras, conectadas con ella a travs de una red. -Servidor de correo. Dispositivo especializado en la gestin del trfico de correo electrnico. Es un servidor perteneciente a la red de Internet, por lo que tiene conexin directa y permanente a la Red Pblica. Su misin es la de almacenar, en su disco duro, los mensajes que enva y que reciben los usuarios. -S.O. (Sistema Operativo). Programa o conjunto de programas que permiten administrar los recursos de hardware y software de una computadora. - Software. Todos los componentes no fsicos de una PC (Programas). -Usuario. Toda persona, funcionario (empleado, contratista, temporal), que utilice los sistemas de informacin de la empresa debidamente identificado y autorizado a emplear las diferentes aplicaciones habilitadas de acuerdo con sus funciones. -Virus. Programa que se duplica a s mismo en un sistema informtico, incorporndose a otros programas que son utilizados por varios sistemas. Estos programas pueden causar serios problemas a los sistemas infectados. Al igual que los virus en el mundo animal o vegetal, pueden comportarse de muy diversas maneras. (Ejemplos: caballo de Troya y gusano). -Hacker. Persona dedicada a lograr un conocimiento profundo sobre el funcionamiento interno de un sistema, de una PC o de una red con el objeto de alterar en forma nociva su funcionamiento. -Internet: Conjunto de redes conectadas entre s, que utilizan el protocolo TCP/IP para comunicarse entre s. -Intranet. Red privada dentro de una empresa, que utiliza el mismo software y protocolos empleados en la Internet global, pero que solo es de uso interno. -LAN. (Local rea Network). (Red de rea Local). Red de computadoras ubicadas en el mismo ambiente, piso o edificio. -Log. Registro de datos lgicos, de las acciones o sucesos ocurridos en los sistemas aplicativos u operativos, con el fin de mantener informacin histrica para fines de control, supervisin y auditora. -Megabyte MB. Es bien un milln de bytes 1.048.576 bytes.
REDES Y SEGURIDAD- PROYECTO FINAL Pgina 14

-Monitoreo de Cuentas de correo. Vigilancia o seguimiento minucioso de los mensajes de correo que recibe y enva un usuario. -Web Site. Un Web Site es equivalente a tener una oficina virtual o tienda en el Internet. Es un sitio en Internet disponible para ser accesado y consultado por todo navegante en la red pblica. Un Web Site es un instrumento avanzado y rpido de la comunicacin que facilita el suministro de informacin de productos o entidades. Un Web Site es tambin considerado como un conjunto de pginas electrnicas las cuales se pueden accesar a travs de Internet. -Web Mail. Es una tecnologa que permite acceder a una cuenta de Correo Electrnico (E-Mail) a travs de un navegador de Internet, de esta forma podr acceder a su casilla de correo desde cualquier computador. Red: Se tiene una red, cada vez que se conectan dos o ms computadoras de manera que pueden compartir recursos.

REDES Y SEGURIDAD- PROYECTO FINAL

Pgina 15