Вы находитесь на странице: 1из 27

1 Redes y seguridad

Proyecto Final


Proyecto Final

Recomendaciones para presentar la Actividad:
Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars
Proyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Anthony Del Rio Otero
Fecha 12 / 06 / 2012
Actividad # 4
Tema PROYECTO FINAL

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas
para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta
magna de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el
estudio previo que se hizo para establecer la base del sistema de seguridad, el programa
de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los
elementos de la red, los formatos de informes presentados a la gerencia para establecer
el sistema de seguridad, los procedimientos escogidos para la red, as como las
herramientas, y el desarrollo de cada procedimiento en forma algortmica (agregue todo
lo que considere necesario). Recuerde que el manual de procedimientos es un proceso
dinmico, por lo que debe modular todos los contenidos en unidades distintas, para
poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la capacidad que
tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su
carta de presentacin para cualquier empleo en el que se le exija experiencia.




2 Redes y seguridad
Proyecto Final








MANUAL DE
PROCEDIMIENTOS DE
SEGURIDAD
INFORMATICA (P.S.I)

EMPRESA EN-CORE








3 Redes y seguridad
Proyecto Final


INTRODUCCION

Para la empresa EN-CORE, se hace de vital importancia, la coordinacin de esfuerzos en pro
de asegurar un ptimo entorno informtico mediante la implementacin de polticas de
seguridad informtica (PSI) para el completo desarrollo de las actividades econmicas de la
compaa, en lo referente a la prestacin de servicios informticos de investigacin tecnolgica.
En este documento se presenta las normas y polticas de seguridad informtica. Con esto se
pretende establecer reglas, normas, controles y procedimientos que sirven de regulacin para
prevenir, proteger y mantener los riesgos informticos que atacan continuamente las redes de
comunicacin de cualquier empresa.
Estas normas y polticas no se consideran absolutas ni finales, por lo que se espera una
continua retroalimentacin con todos los empleados y sus saberes, para mejora continua de las
mismas, por el bien de la seguridad de la informacin de la empresa.


















4 Redes y seguridad
Proyecto Final


ESTUDIO PREVIO
PROBLEMAS PERCIBIDOS
A continuacin se presentan los problemas encontrados por parte del gestor de seguridad
informtica para la implementacin de las PSI:
Dificultad en asignacin de recursos monetarios en la implantacin de polticas de
seguridad en redes, debido a que no generan productividad en la organizacin.
Inseguridad con el robo de informacin de usuarios (tarjeta de crdito, contraseas,
etc.), para transacciones bancarias y compras en lnea; llevado a cabo por personas
inescrupulosas con alto conocimiento en informtica (Hackers).
Alta vulnerabilidad de los equipos de cmputo, ante virus, spam, entre otros, debido a
la falta de conocimiento de los usuarios, acerca de software especializado (Antivirus,
antispam, etc.).
Bajo nivel de conocimiento en ofimtica por parte del personal de la empresa ajeno al
departamento de informtica.
Diferencias de conceptos entre el departamento administrativo y el de informtica.




























5 Redes y seguridad
Proyecto Final


EL PROGRAMA DE SEGURIDAD

Para dar paso a la aplicacin del manual de procedimientos, inicialmente debemos sentar
unas ptimas bases en la empresa, para implantar la normativa necesaria.

Se hace referencia con el concepto de bases, a varios factores mnimos sobre los cuales se
debe tener el completo control por parte de la organizacin y como procedimientos iniciales
por parte de la gestin de seguridad para la implantacin del plan de procedimientos, los
cuales son:

Conocimientos bsicos de Ofimtica, por parte de los empleados de EN-CORE.
Actualizacin de los equipos de cmputo en todas las sedes de la empresa.
Actualizacin en los dispositivos de comunicaciones para la configuracin de
ptimas redes de comunicacin.
Conocimientos de mantenimiento preventivo y correctivo por parte de los empleados
de soporte tcnico.

Con lo anterior se espera poder asegurar un umbral de seguridad lo suficientemente eficaz,
para lograr un buen entorno para la aplicacin de las PSI.
















6 Redes y seguridad
Proyecto Final


PLAN DE ACCIN
A continuacin, se muestra las acciones a llevar a cabo para lograr los aspectos nombrados
en el programa de seguridad:

Capacitacin al personal de la empresa en herramientas ofimticas.
Compra de nuevos equipos computacionales con mayor capacidad de
procesamiento que los anteriores.
Compra de dispositivos de comunicacin (Modem, ruteador, entre otros) de alta
tecnologa superior a la actual.
Capacitacin al personal de mantenimiento tcnico e informtico sobre
mantenimiento preventivo y correctivo de redes, equipo computacional y de
comunicaciones.
Se esperar llevar a cabo, todas las acciones anteriores con el fin de mejorar el entorno de la
organizacin y empezar el diseo del plan de procedimientos correspondiente a las PSI.


















7 Redes y seguridad
Proyecto Final


GRUPOS DE ACCESO
Para la definicin de los grupos de empleados y usuarios, se considera los siguientes cargos
dentro de la empresa:
4 administradores de redes, 1 por cada sede de la empresa.
Personal de mantenimiento de hardware y software, para cada sede de la compaa
EN-CORE.
La gestin de seguridad informtica, se realiza en la sede principal de Medelln a
cargo de un ingeniero.
Todas las sedes en Medelln y la sucursal de Bogot poseen gerencia general y
personal de trabajo.
Terceros o clientes de la empresa, a los cuales debe prestarse atencin y asistencia
a sus inquietudes.
Al tratarse del uso adecuado de los recursos informticos, se opta por brindar mayor control
de estos a las personas con mayor conocimiento, que en este caso, son los administradores
de las redes. Ellos tienen acceso total a los recursos del servidor y toda la informacin digital
de la empresa.

Para los empleados encargados de la parte administrativa de la empresa, se hace uso de un
recurso en el espacio virtual creado para este departamento (Base de datos Administracin).
El resto de empleados tiene un entorno virtual para el desarrollo de sus labores (Base de
datos empleados).

Los empleados encargados del mantenimiento de las redes, equipos computacionales y de
comunicaciones tienen un recurso virtual con el que tienen acceso a ms recursos que los
empleados normales, esto se hace con el fin de posibilitar un eficaz mantenimiento de las
redes de comunicacin en la empresa.

El encargado de la gestin de seguridad tambin tiene acceso a ms recursos que los
empleados normales, pero no a todos, como es el caso de la informacin privada de la
empresa.

A continuacin se presentan la distribucin de los accesos a la red, segn el cargo ocupado
en la empresa.


8 Redes y seguridad
Proyecto Final

Tabla 1. Sede principal en Barranquilla
Recurso del sistema Identificacin
del usuario
Tipo de
acceso
Permisos
otorgados Numero Nombre
1 Acceso Total Administrador
de red
Local y remoto Accesos de
lectura y
escritura, a
todos los
recursos del
servidor de la
sede principal
2 Sede I Personal de
mantenimiento
Local y remoto Lectura y
escritura
3 Base de datos
Administracin
ENCORE
Gerencia
general
Local y remoto Lectura y
escritura
4 Base de datos
personal
ENCORE
Todo el
personal
Local y remoto Lectura
5 Informacin
considerada
secreta
Gestor de
seguridad y
gerente
general
Local Lectura y
escritura
6 Plataforma
clientes
Clientes Local y remoto Lectura


Tabla 2. Sede No 2 Barranquilla
Recurso del sistema Identificacin
del usuario
Tipo de
acceso
Permisos
otorgados Numero Nombre
1 Acceso Total Administrador
de red
Local y remoto Accesos de
lectura y
escritura, a
todos los
recursos del
servidor de la
sede 2
2 Sede II Personal de
mantenimiento
Local y remoto Lectura y
escritura
3 Base de datos
Administracin
ENCORE
Gerencia
general
Local y remoto Lectura y
escritura
4 Base de datos
personal
ENCORE
Todo el
personal
Local y remoto Lectura
5 Plataforma
clientes
Clientes Local y remoto Lectura



9 Redes y seguridad
Proyecto Final

Tabla 3. Sede No 3 de Barranquilla
Recurso del sistema Identificacin
del usuario
Tipo de
acceso
Permisos
otorgados Numero Nombre
1 Acceso Total Administrador
de red
Local y remoto Accesos de
lectura y
escritura, a
todos los
recursos del
servidor de la
sede 3
2 Sede III Personal de
mantenimiento
Local y remoto Lectura y
escritura
3 Base de datos
Administracin
ENCORE
Gerencia
general
Local y remoto Lectura y
escritura
4 Base de datos
personal
ENCORE
Todo el
personal
Local y remoto Lectura
5 Plataforma
clientes
Clientes Local y remoto Lectura

Tabla 4. Sucursal de Bogot
Recurso del sistema Identificacin
del usuario
Tipo de
acceso
Permisos
otorgados Numero Nombre
1 Acceso Total Administrador
de red
Local y remoto Accesos de
lectura y
escritura, a
todos los
recursos del
servidor de la
sucursal de
Bogot
2 Sucursal
Bogot
Personal de
mantenimiento
Local y remoto Lectura y
escritura
3 Base de datos
Administracin
ENCORE
BOGOT
Gerencia
general
Local y remoto Lectura y
escritura
4 Base de datos
personal
ENCORE
BOGOT
Todo el
personal
Local y remoto Lectura
5 Plataforma
clientes
Clientes Local y remoto Lectura

Se hace la segmentacin de la empresa en distintos grupos, para crear un espacio virtual para
cada grupo con el fin de lograr un orden en la plataforma web y no confundir o mezclar
informacin de los distintos departamentos.

10 Redes y seguridad
Proyecto Final

Se espera que la plataforma web, posea distintos espacios virtuales, cada uno para los
distintos departamentos laborales existentes en la empresa. Debido a que resulta ptimo crear
un espacio virtual para el departamento de administracin (Base de datos administracin) y
otro para el departamento de los distintos empleados (Base de datos personal); as como
tambin un entorno virtual para los encargados del mantenimiento de las redes y la informacin
de la empresa, as como un espacio virtual mas para los clientes habituales.
























11 Redes y seguridad
Proyecto Final




VALORACIN DE LOS ELEMENTOS DE LA RED
Para el establecimiento de los niveles de riesgo de los recursos involucrados dentro de las
PSI de la empresa para las 3 sedes de Medelln y la sucursal de Bogot, se tiene en cuenta
los elementos que se muestran en la siguiente tabla.
Tabla 5. Riesgos de los equipos de comunicaciones
Recurso del sistema Riesgo (R
i
) Importancia
(W
i
)
Riesgo
Evaluado
(R
i
* W
i
)
Numero Nombre
1 Servidor 10 10 100
2 Modem 8 8 64
3 Repetidor 6 8 48
4 Bridge 6 5 30
5 Router 6 8 48
6 Terminales 6 5 30

Se considera para las 3 sedes de Medelln y la sucursal de Bogot, los mismos elementos o
dispositivos para su conexin en la conformacin de las redes de la empresa.

Se puede observar de la anterior tabla, que el recurso que demanda mayor proteccin, es el
servidor, del cual depende el funcionamiento ptimo de la empresa.

El modem sigue en cuanto al riesgo, ya que al ser un dispositivo que interconecta 2 o ms
redes entre s, resulta vital en la interconexin de las sedes de la ciudad de Medelln o en la
sucursal de Bogot.

Para los dems elementos se considera un riesgo normal, ya que son elementos de menor
costo en comparacin con los 2 anteriormente nombrados (Servidor y Modem).

Finalmente, se puede concluir que la consideracin del riesgo de los equipos nombrados
anteriormente es muy importante. Por lo que se hace necesario el mantenimiento planificado,
preventivo y correctivo de estos equipos por parte de los tcnicos de mantenimiento de las
sedes de la empresa.






12 Redes y seguridad
Proyecto Final




INFORMES PRESENTADOS A LA GERENCIA
Para la realizacin del plan de presentacin de las PSI a los miembros de la gerencia de la
organizacin, se hace uso de diapositivas, en las cuales se expone una bsica pero muy
concisa descripcin sobre las PSI.
Con la presentacin se intenta que cada uno de los miembros de la empresa logre una visin
conjunta de la importancia de las PSI en cualquier empresa, esto con el fin de evitar
discusiones y mal entendidos entra la junta administrativa y el gestor de seguridad informtica.
El tema preponderante en la presentacin, se basar en la explicacin ms clara posible de los
siguientes elementos:
Campo de accin de las polticas, aqu se incluyen los sistemas y el personal sobre los
cuales se aplica las PSI.
Objetivos de las PSI y descripcin de la definicin de los elementos involucrados.
Responsabilidades de los servicios y recursos informticos.
Requerimientos mnimos para la implementacin de las PSI.
Definicin de las violaciones y consecuencias al no cumplimiento de las PSI.
Responsabilidades de los usuarios con respecto a la informacin de la empresa y el
buen uso de esta.
Se espera finalmente que los miembros de la organizacin queden absolutamente convencidos
de la importancia de las PSI, as como de los recursos y servicios que estas abarcan. Se
pretende adems satisfacer las expectativas de la organizacin para posibilitar un continuo
proceso de actualizacin de las mismas.










13 Redes y seguridad
Proyecto Final




PASOS DE COMUNICACIN DE LAS PSI
Establecer e implementar un esquema de seguridad informtica bajo el control y
supervisin paralela de la gerencia general y el gestor de seguridad.
Dotar de la informacin necesaria a los usuarios, empleados y gerentes de la
organizacin EN-CORE, acerca de las normas y mecanismos ha cumplirse para la
proteccin de la informacin perteneciente a la empresa.
Posibilitar el total compromiso de todo el personal en este proceso de seguridad
informtica, mediante sanciones y beneficios.
Capacitacin y entrenamientos peridicos a empleados, acerca de los temas
concernientes a la seguridad informtica mediante grupos de trabajo.
Recibir aportes de los empleados, para el desarrollo e innovacin de las polticas de
seguridad.
Comunicacin permanente con los empleados sobre posibles cambios o
modificaciones en las normas de seguridad.

PROCEDIMIENTOS PARA LA COMUNICACIN DE LAS PSI

Creacin de un espacio virtual en la plataforma para la comunicacin de todas las
polticas de seguridad informtica implantadas en la empresa.
Creacin de un buzn virtual de sugerencias, con el fin de mejorar constantemente los
recursos, servicios y normas de las PSI.
Informacin constante en la pgina, sobre los cambios que se realicen a las PSI.



















14 Redes y seguridad
Proyecto Final






PROCEDIMIENTOS ESCOGIDOS PARA ELECCION DE LAS REDES
Se hace de suma importancia la escogencia del tipo de red a implementar en la empresa. Se
opta por elegir la red segn determinadas caractersticas que se mencionan a continuacin:
CONEXIN EN EDIFICIO: Se usan redes LAN (de rea local), de propiedad privada.
Optimas para utilizar ampliamente en la conexin de computadoras personales y
estaciones de trabajo de la empresa.


Figura 1. Esquema Red LAN

CONEXIN PARA SEDES EN UNA MISMA CIUDAD: Se hace uso de una red MAN
(de rea metropolitana), esta abarca un amplio territorio, contribuyendo en la
comunicacin entre las 3 sedes de la empresa en la ciudad.


15 Redes y seguridad
Proyecto Final


Figura 2. Red MAN

CONEXIN CON LA SUCURSAL EN LA CAPITAL: Se hace uso de una WAN (de
area amplia), que abarca una gran rea geogrfica del tamao de una nacin, muy
optima para la comunicacin de todas las sedes de Medelln con la sucursal de Bogot.


Figura 3. Red WAN

TOPOLOGA: Se considera la implementacin de una red en estrella, como la ms
ptima, debido a que todas las estaciones y sucursales tendran un nodo comn que

16 Redes y seguridad
Proyecto Final

posibilita su fcil comunicacin entre todas ellas, sin la existencia de distintos nodos
para la transferencia de datos entre sucursales.


Figura 4. Topologa de red en Estrella

DIRECCION DE DATOS: Para la direccin de datos, se considera una transmisin
Full-Duplex, debido a la transmisin de informacin entre dos estaciones de manera
simultnea; adems que este modo permite comunicaciones a largas distancias.


Figura 5. Direccin de datos Full Duplex










17 Redes y seguridad
Proyecto Final

USO DE DEMONIOS EN LA RED
La utilidad de los demonios en la red, radica en la ejecucin de procesos y servicios de manera
silenciosa, adems de la no existencia de interfaz grfica de comunicacin con el usuario y que
no permiten la interaccin directa con este. Esto permite que sean ptimos para realizar la
instalacin de estos en la empresa.

Se considera la instalacin de los siguientes demonios:

TELNET: Es un demonio que permite a los usuarios tener acceso de terminal a un sistema (Ser
clientes del mismo). A travs del demonio telnet, se crea una conexin entre cliente y servidor
que sirve para transferir informacin, solo que el login y el password para acceder al sistema es
hecho automticamente por el demonio. Este demonio tiene el inconveniente de que un
cracker pueda intervenir el programa y obtener nombres de usuario y contraseas, por lo cual
se necesita hacer uso de un programa que encripte las contraseas.


ARGUS: Es una herramienta de dominio pblico, se ejecuta como un demonio y permite
auditar el trfico IP que se produce en nuestra red, mostrndonos todas las conexiones del tipo
indicado que descubre.

HERRAMIENTAS PARA CONTROL DE ACCESO
Las herramientas que se consideran necesarias para su uso dentro de la red de datos de EN-
CORE, se mencionan a continuacin:
NETLOG
o Registra las conexiones que se llevan a cabo cada milisegundo (ms).
o Corrige ataques SATAN o ISS.
o Genera Trazas de los paquetes movidos en la red.
o Se compone de 5 subprogramas:
TCPLogger: Genera Trazas sobre todos los paquetes que usan protocolo TCP.
UDPLogger: Genera Trazas sobre todos los paquetes que usan protocolo UDP.
ICMPLogger: Genera Trazas de las conexiones basadas en ICMP.
Etherscan: Monitorea el uso de otros protocolos con actividad inusual, e indica
los archivos que han sido modificados.
Nstat: Detecta cambios en los patrones de uso de la red, y brinda informacin
sobre ciertos periodos de tiempo, adems de la posibilidad de graficar
determinados datos.

GABRIEL
o Detecta ataques tipo SATAN.
o Genera alertas va e-mail u otro medio en el servidor.

COURTNEY
o Detecta ataques tipo SATAN.
o Genera informacin procesada mediante TCPDump.


18 Redes y seguridad
Proyecto Final

NOCOL (NETWORK OPERATIONS CENTER ON-LINE)
o Paquete que contiene diversos programas para monitorear la red de una organizacin.
o Recopila, analiza informacin para luego agruparla en eventos y asignar una gravedad
(info, warning, error, critical).
o Maneja distintas herramientas para el manejo de los distintos eventos.


HERRAMIENTAS PARA CHEQUEO DE LA INTEGRIDAD DEL SISTEMA
Las herramientas que se consideran necesarias para chequear la integridad de los sistemas
usados en la organizacin, se mencionan a continuacin:
COPS
o Chequea aspectos de seguridad relacionados con el sistema operativo UNIX.
Permisos de archivos.
Permisos de passwords dbiles.
Chequeo de escritura y lectura sobre elementos de la configuracin de red.

TIGER
o Chequea elementos de seguridad del sistema para detectar problemas y vulnerabilidades.
Configuracin general del sistema.
Sistema de archivos.
Caminos de bsqueda generados.
Alias y cuentas de usuarios.
Configuraciones de usuarios.
Chequeo de servicio.
Comprobacin de archivos binarios.

CRACK
o Herramienta vital en el sistema.
o Permite forzar las contraseas de los usuarios.
o Los passwords de nuestro sistema siempre estarn encriptados y nunca se los podr
desencriptar.
o Detecta las contraseas ms dbiles y ms vulnerables.

TRIPWIRE
o Herramienta vital en el sistema.
o Detecta cambios y modificaciones.
o Genera una base de datos en que se genera una firma o archivo identificador por cada
elemento en el sistema de archivos.
o Se almacena informacin con relevante de los usuarios.

OSH (OPERATOR SHELL)
o Permite indicar al administrador de red, cuales son los comandos que pueden ejecutar los
usuarios de la red o redes.
o Genera un archivo de permisos con los nombres de los usuarios y las listas de comandos
que cada uno de ellos puede usar.
o Se usa para otorgar permisos de uso de comandos a grupos de usuarios y usuarios
especiales.



19 Redes y seguridad
Proyecto Final


ORGANIZACIN DE LA SEGURIDAD INFORMATICA
Gerencia: Autoridad de nivel superior, la cual a partir de su administracin est la aceptacin y
seguimiento de las polticas y normativas de seguridad a implementar.
Responsable de activos: Personal del departamento administrativo, que velar por la
seguridad y correcto funcionamiento de los activos informticos y la informacin de la empresa.
Gestor de seguridad: Encargado de velar por la seguridad de la informacin, realizacin de
auditoras de seguridad, elaboracin de documentos con polticas y normas de seguridad y
llevar un control referente a los servicios prestados y niveles de seguridad.
Administrador de red: Encargado de la seguridad y correcto funcionamiento de los activos
informticos, as como de la informacin procesada en stos, dentro de las respectivas reas o
niveles de mando.
Personal de mantenimiento: Encargado de la realizacin de mantenimiento preventivo y
correctivo de los dispositivos empleados para la implementacin de las redes de comunicacin
de la empresa.

















20 Redes y seguridad
Proyecto Final


NORMAS Y POLITICAS DE SEGURIDAD INFORMTICA
A continuacin se presentan los procedimientos de seguridad ms adecuados a implementar,
segn ciertos criterios como son:

SEGURIDAD ORGANIZACIONAL
Normas y Polticas
1. Los recursos y servicios de la red informtica de la empresa EN-CORE, son de uso
exclusivo para gestiones administrativas y operativas por parte de los empleados.
2. La empresa hace uso de un gestor de seguridad informtica, encargado del
seguimiento del cumplimiento de la normativa respectiva.
3. El administrador de red es el encargado de mantener en buen estado los servidores de
la red de la empresa.
4. Los empleados tendrn acceso a internet, en tanto se cumplan requisitos mnimos de
seguridad para el acceso a este.
Capacitacin de empleados
1. Se realizara continuas capacitaciones a los empleados sobre temas relacionados con
la seguridad de la informacin, as como TIC y NTIC, segn al rea (operativa,
administrativa y tcnica) y dependiendo de las actividades a desarrollar.
Anomalas
1. Creacin de respaldos diarios de la informacin digital bsica. Para la informacin
importante, el respaldo ser semanal y para posibles fallas, se realizar un tercer
respaldo mensual y uso ser en ltima instancia.
2. Mnimos tiempos de espera, por parte del personal de mantenimiento para solicitudes
de asistencia informtica por parte de los empleados.
3. Documentacin de toda clase de situaciones anmalas y contrarias a lo contemplado
en el manual de seguridad.
4. Revisin posterior a la situacin y lograr una solucin a esta en un tiempo mnimo.









21 Redes y seguridad
Proyecto Final


SEGURIDAD LGICA
Accesos
1. El gestor de la seguridad, ser el encargado de proporcionar la documentacin
necesaria para el uso correcto de los sistemas y recursos que se van a manejar en la
plataforma.
2. Creacin de una plataforma web donde, todos los empleados ingresen su informacin
principal a tener en cuenta en la empresa. Estos datos podrn ser modificados si se
requiere.
3. La informacin principal a consignar de los empleados, sern sus datos bsicos
(Nombre, Sexo, Profesin) y el cargo que desarrolla en la empresa.
4. El ingreso al sitio web de la empresa, ser mediante un login que solicite nombre de
usuario y contrasea.
5. Para empleados que dejen la empresa por algn motivo, se realizar la respectiva
eliminacin de su informacin en la plataforma.
6. Las peticiones de asistencia de recursos o informacin de servicios informticos, de los
empleados de determinado departamento se realizarn siguiendo un respectivo
protocolo as:
Llenar la solicitud de asistencia dirigido al gestor de seguridad informtica.
Justificacin de la peticin
El tiempo de respuesta por parte del gestor debe ser el mnimo posible.
Administracin del acceso
1. Solo existe acceso al sistema interno a toda aquella persona que sea empleado de la
empresa EN-CORE.
2. Se realizar la asignacin de una cuenta de acceso al sistema a cada empleado, de
acuerdo al departamento donde se desempee. Este acceso posibilita ciertos permisos
segn las tablas 1, 2, 3, 4.
3. Los empleados de los departamento de personal y administrativo, sin incluir a la
gerencia, tendrn acceso nicamente a servicios de internet y recursos compartidos
entre las redes.
4. Se hace la consideracin de los usuarios externos, a las personas u organizaciones
que busquen la prestacin de los servicios de investigacin tecnolgica llevados a cabo
por la empresa. Para este tipo de entidades tambin existe un acceso a los servicios de
la red. Sin embargo, este acceso es restrictivo y mediante un acuerdo de
confidencialidad.
5. Se manejar para los nombres de usuario, una longitud mnima de 6 caracteres
alfanumricos y una mxima de 10 caracteres, todo en minsculas.
6. Se manejar para las contraseas, una longitud mnima de 10 caracteres
alfanumricos y una mxima de 16 caracteres, todo en minsculas.
Responsabilidades de Usuario
1. Es el nico responsable de mantener a salvo su nombre de usuario y contrasea.
2. Sera responsable tambin del uso que haga de su cuenta personal de acceso a los
recursos, sistemas y servicios de la red.

22 Redes y seguridad
Proyecto Final

3. El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su
cargo, tengan acceso a la informacin almacenada en el.
4. Cualquier usuario tiene el deber de reportar al personal de mantenimiento,
administrador de red o gestor de seguridad, sobre cualquier falla de seguridad
encontrada en el sistema.
Uso de correo electrnico
1. Se debe hacer uso de este acatando las disposiciones de seguridad diseadas de la
empresa. Evitando definitivamente software malicioso dentro de la red (email bombing,
spamming, denial of service, entre otros).
2. El uso indebido del correo electrnico, ser motivo de suspensin temporal o definitiva
de la cuenta de correo.
3. El empleado debe respetar la ley sobre los derechos de autor, no debe por ningn
motivo utilizar este medio para distribuir software o licencias de software ilegal.
Seguridad de Accesos para clientes
1. El acceso a clientes es concedido mediante el cumplimiento de requisitos de seguridad
establecidos en el contrato legal, el cual debe estar firmado por las entidades
involucradas.
2. Los usuarios externos, deben utilizar exclusivamente, el servicio que fue asignado.
Control de Acceso
1. El acceso a la red interna, se permitir siempre y cuando se cumpla con los requisitos
de seguridad necesarios, mediante un mecanismo de autenticacin en plataforma
virtual.
2. Se debe procedes a eliminar cualquier acceso a la red sin autenticacin previa.
3. El departamento de mantenimiento informtico, deber emplear dispositivos de red
para el bloqueo, enrutamiento, o filtrado de trfico para evitar el acceso no autorizado
hacia la red interna.
4. Los accesos a la red interna o local desde una red externa de la institucin o extranet,
se harn mediante un mecanismo de autenticacin seguro.
5. Al trmino de una sesin de trabajo en los equipos computacionales, los empleados
operadores del equipo deben evitar dejar los equipos encendidos. Para evitar
proporcionar la utilizacin de la estacin de trabajo por personal ajeno.
Servidores
1. Solo los administradores de red, tienen permitido el acceso a la configuracin del
sistema operativo para los servidores.
2. Los servicios instalados en los servidores sern ejecutados con enorme seguridad por
parte de los administradores de red.
Control de acceso a las aplicaciones
1. Definicin y estructuracin del nivel de permisos sobre las aplicaciones, de acuerdo al
nivel de ejecucin de las aplicaciones, haciendo especial nfasis en los derechos de
escritura, lectura, modificacin, ejecucin o borrado de la informacin.

23 Redes y seguridad
Proyecto Final

2. Se llevar un registro mediante las actividades de los usuarios en cuanto a accesos,
errores de conexin, horas de conexin, intentos fallidos, terminal desde donde
conecta, de manera que proporcionen informacin relevante y revisable
posteriormente.
Monitores del acceso y uso de sistema
1. Se registrar y archivar toda actividad, procedente del uso de las aplicaciones,
sistemas de informacin y uso de la red.
2. Los archivos almacenarn nombres de usuarios, nivel de privilegios, IP de terminal,
fecha y hora de acceso o utilizacin, actividad desarrollada, aplicacin implicada en el
proceso, intentos de conexin fallidos o acertados, archivos a los que se tuvo acceso,
entre otros.
Gestin de operaciones y comunicaciones
1. El personal de mantenimiento y administrador de red son los responsables por
mantener en ptimo funcionamiento los servicios informticos, adems, junto con la
coordinacin de esfuerzos con el gestor de seguridad, fomentar una cultura de
administracin segura y servicios ptimos.
2. El personal responsable del mantenimiento, llevar archivos de registro de fallas de
seguridad del sistema de forma frecuente y en especial despus de ocurrida una falla.
3. La unidad de mantenimiento, los administradores de red y el gestor de seguridad,
efectuarn todo el proceso propio de la planificacin, desarrollo, adquisicin,
comparacin y adaptacin del software necesario.
4. La aceptacin del software se har efectiva por la gerencia de la organizacin, previo
anlisis y pruebas efectuadas por el personal de informtica.
5. El software diseado por programadores internos, deber ser analizado y aprobado,
por el gestor de seguridad, antes de su implementacin.
Proteccin contra software malicioso
1. Se utilizar software nicamente de fuentes confiables.
2. Para el caso de los servidores, al igual que los equipos computacionales, tendrn
instalado y configurado correctamente software antivirus actualizable y activada la
proteccin en tiempo real.
3. Verificacin del volumen de trfico de correos, con el fin de verificar si el servidor est
siendo objeto de un spam.
4. Monitoreo sobre las conexiones activas, para evitar que en el caso de que un
empleado haya dejado su conexin activa durante cierto tiempo, esta conexin se
desactive automticamente.
5. La modificacin de recursos en el servidor, solo ser posible por parte del
administrador de la red, quien adems ser el encargado de generar copias de
seguridad de los documentos cargados en la pgina.
6. Limpieza de programas fuentes potenciales de virus, chequeo sobre la habilitacin y
seguridad de los puertos.




24 Redes y seguridad
Proyecto Final

Mantenimiento
1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva
responsabilidad del personal de mantenimiento informtica.
2. El cambio de archivos de sistema, no ser permitido, sin una justificacin aceptable y
verificable por el gestor de seguridad.
3. Realizar un mantenimiento planificado de todos los equipos computacionales y de
comunicaciones.
4. Procurar realizar un mantenimiento preventivo a todos los equipos, en especial a los
que conllevan un riesgo mayor (Servidores, Ruteadores, entre otros).
5. En caso del dao de algn equipo, realizar su correspondiente mantenimiento
correctivo.
6. Manejo de fichas tcnicas, correspondientes a todo tipo de mantenimiento realizado en
la empresa.
7. Se llevar un registro global del mantenimiento efectuado sobre hardware y software
de la empresa.


































25 Redes y seguridad
Proyecto Final


SEGURIDAD FSICA
Seguridad de los equipos
1. El cableado de red, se instalar fsicamente separado de cualquier otro tipo de cables,
para evitar interferencias.
2. Los servidores, con problemas de hardware, debern ser reparados localmente por el
departamento de soporte tcnico.
3. Los equipos computacionales y de comunicaciones (redes), debern ubicarse en reas
aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el
gestor de seguridad, soporte tcnico y mantenimiento y administrador de redes,
quienes debern poseer su debida identificacin.
Controles generales
1. Las estaciones o terminales de trabajo, con procesamientos crticos no deben de
contar con medios de almacenamientos extrables, ya que facilitar el robo o
manipulacin de la informacin por terceros o personal ajeno a la empresa.
2. Toda rea de trabajo debe poseer entre sus inventarios, herramientas auxiliares
(extintores, alarmas contra incendios, lmparas de emergencia), necesarias para
salvaguardar los recursos tecnolgicos y la informacin.
3. La sala de servidores, deber estar separada de las oficinas administrativas, mediante
una divisin en la unidad de informtica, recubierta de material aislante o protegido
contra el fuego.
4. El suministro de energa elctrica debe hacerse a travs de un circuito exclusivo para
los equipos de cmputo, o en su defecto el circuito que se utilice no debe tener
conectados equipos que demanden una enorme potencia.
5. Las instalaciones de las reas de trabajo deben contar con una adecuada instalacin
elctrica, y proveer del suministro de energa mediante una estacin de alimentacin
ininterrumpida o UPS para poder proteger la informacin en caso de desconexin
elctrica.









26 Redes y seguridad
Proyecto Final


SEGURIDAD LEGAL
Cumplimiento de requisitos legales
1. Todo el software a utilizar deber estar legalmente registrado con sus respectivas
licencias.
2. El software comercial licenciado por EN-CORE, ser propiedad exclusiva de la
empresa, la cual se reserva los derechos de reproduccin de este sin el permiso de sus
autores.
3. En caso de la existencia de transferencia de software a terceros, se realizaran las
respectivas gestiones necesarias para su efecto.
4. El software desarrollado internamente, por el personal de EN-CORE es de propiedad
exclusiva de la empresa.
5. Los contratos con terceros, en la gestin o prestacin de un servicio, debern
especificar, las medidas necesarias de seguridad, nivel de prestacin del servicio, y
personal involucrado en tal proceso.
Revisin de polticas de seguridad
1. Toda violacin a polticas de licenciamiento de software, ser motivo de sanciones,
suspensiones y despidos aplicables al personal que incurra en la violacin.
Auditorias de sistemas
1. Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red
semestralmente, enmarcada en pruebas de acceso tanto internas como externas,
desarrolladas por el personal tcnico.
2. Toda auditoria estar debidamente aprobada por la gerencia general.
3. La auditoria no deber modificar en ningn momento el sistema de archivos de los
sistemas implicados.
4. En caso de haber necesidad de modificar algunos, se deber hacer un respaldo formal
del sistema o sus archivos.










27 Redes y seguridad
Proyecto Final


BENEFICIOS DE IMPLANTAR POLITICAS DE SEGURIDAD INFORMATICA
Los beneficios de la aplicacin de PSI a considerar sern inmediatos, al posibilitar que la
organizacin EN-CORE trabaje sobre una plataforma virtual confiable. Estos beneficios se
vern reflejados en los siguientes aspectos:
1. Incremento en la motivacin del personal de la empresa.
2. Un compromiso ms slido con la misin y visin de la compaa.
3. Alta seguridad ante ataques informticos.
4. Plataforma virtual optima para atencin al cliente.
5. Red segura para transmisin de datos entre sedes.
6. Personal de trabajo, altamente capacitados en herramientas ofimticas.
7. Alta capacitacin en mantenimiento de hardware y software, por parte del personal de
soporte tcnico.
8. Aumento de la tecnologa de la empresa.

Вам также может понравиться