herramientas usadas para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta magna de la seguridad de la red: El manual de procedimientos. Proyecto Final 1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los !ormatos de in!ormes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as" como las herramientas, y el desarrollo de cada procedimiento en !orma algor"tmica #agregue todo lo que considere necesario$. %ecuerde que el manual de procedimientos es un proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas, para poder modi!icarlas en caso de que sea necesario. Nota: Este trabajo fnal, ms que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentacin para cualquier empleo en el que se le exija experiencia. INTRODUCCIN En la actualidad, instituciones, grandes, medianas y pequeas empresas son cada vez ms dependientes de sus redes informticas y un problema que las afecte, por mnimo que sea, puede llegar a comprometer la continuidad de las operaciones. Las de medidas de seguridad en las redes es un metodo que se est en utilizando para fortalecer la seguridad de los datos de las empresas. Cada vez es mayor el nmero de atacantes y cada vez estn ms organizados, por lo que van adquiriendo da a da abilidades ms especializadas que les permiten obtener mayores beneficios. !ampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organizaci"n. El proponer una poltica de seguridad requiere un alto compromiso con la organizaci"n, entre ellos #erentes, $dministradores asta los empleados de la empresa o instituci"n. %e necesita analizis t&cnico, aministrativo, que puedan satisfacer las necesidades que seguridad de los datos de la empresa. Este manual de procedimientos de seguridad se encontraran de forma precisa en la cual ser administrado los sistemas de informaci"n de esta empresa para brindar una mayor seguridad de la informaci"n y la manera de c"mo controlar sus activos tecnol"gicos tanto a nivel de ard'are como de soft'are. Propsito Establecer los pasos que se deben seguir para garantizar la seguridad en la red de la empresa Alcance Este procedimiento aplica al administrador de &istemas in!ormticos, ba'o de la supervisin del Director del departamento de &istemas y comunicaciones. Referencia (ara la elaboracin de este procedimiento, se tom como re!erencia el manual de procedimientos. Responsabilidades #esti"n $dministrativa( )esponsable de autorizar este procedimiento. *irector de %istemas( )esponsable de revisar y supervisar la aplicaci"n de este +rocedimiento $dministrador de %istemas( )esponsable de elaborar y aplicar este procedimiento. CLIENTES Y PROVEEDORES PROVEEDORES ENTREGABLES Externos Equipo, Softwre ! Li"en"i#iento$ %efe &e te'efon( ! Vi&eo"onferen"i )or#to &e So'i"itu&es C'ientes ENTREGABLES *ni&& A&#inistrti+ Espe"ifi""iones t,"ni"s -r&wre ! Softwre$ Equipos "on Po'(ti"s &e Se.uri&& I#p'e#ent&os o Ser+i"ios &e re&es Confi.ur&os$ DIRECTORIO ACTIVO El directorio activo permite al administrador de red establecer polticas de seguridad de grupo, esta almacena informaci"n de una organizaci"n en una base de datos central, organizada y accesible. ,os permite una serie de ob-etivos relacionados como agregar usuarios, grupos de usuarios, permisos y asignaci"n de recursos y polticas de acceso. NO/BRE RIESGO 0R1 I/PORTANCIA 021 RIESGO EVAL*ADO 0R321 DETALLE Bse &e Dtos 45 45 455 Es ' prin"ip' fuente &e ' e#pres, porque ''( est6n '#"en&os 'os &tos &e 'os "'ientes ! 'os pro&u"tos &e ' e#pres$ Ser+i&or 2e7 45 45 450 Es un Equipo "ostoso por e' te# &e 'os ser+i"ios que est6n #ont&os, entre e''os ' 7se &e &tos$ Swit8 9 : 4: E' swit8 es un &ispositi+o "ti+o &e inter"onexi;n que se pue&e "#7ir, reseter ! +o'+er "onfi.urr$ PC < 9 =4 Son 'os equipos 'o "u' 'os e#p'e&os pro"esn infor#"i;n se pue&e #o&ifi"r ! "#7ir pie>s f6"i'#ente$ I#presor 4 4 4 Re"urso pr ' i#presi;n &e tr7?os, infor#es,#'o "u' si se &@ se "#7i "on f"i'i&&$ NO/BRE GR*PO DE *S*ARIOS TIPO DE ACCESO PRIVILEGIOS Bse &e Dtos E#p'e&os ! A&#inistr"i;n Lo"' So'o Le"tur A Bse &e Dtos C'ientes, Pro&u"to ! Presupuesto Lo"' So'o Le"turA A""eso Internet *surio Lo"' So'o e?e"u"i;n 0x1 Ser+i&or P.in 2e7 T,"ni"os &e /nteni#iento Lo"' Le"tur ! Es"ritur$ 0R,2,31 A""eso Ser+i&or, Router ! Swit8 A&#inistr&ores &e re& Lo"' ! Re#oto Le"tur ! Es"ritur 0R,2,31 A""eso Equipos T,"ni"os &e Siste#s Lo"' To&os CREACIBN DE LOS *S*ARIOS Cada usuario de la compaa se le agrega un usuario corporativo con su respectivo modo de acceso y sus limitaciones. .+rocedimiento de alta cuenta de usuarios( se lleva a cabo cuando se crea una cuenta de usuario teniendo en cuenta datos personales, cargo y funciones a realizar. El administrador del directorio activo deber solicitar los siguientes datos( ),ombres y $pellidos )/rea de desempeo )Cargo )E0tensi"n del rea de traba-o )!ipo de contrato )Correo electr"nico Con estos datos el L1#2, del usuario seria )+rimer nombre completo 3+unto seguido )+rimer apellido completo ,145)E 6 $+ELL2*1 7 $+ELL2*1 L1#2, Carlos $ltamar )uiz C$)L1%.$L!$4$) 5reiner $rango 8apata 5)E2,E).$)$,#1 CREACIBN DE LA C*ENTA CORPORATIVA La cuenta corporativa es importante por los datos confidenciales de la empresa el administrador solicita los siguientes datos( ),ombres y $pellidos )/rea de desempeo )Cargo )E0tensi"n del rea de traba-o )!ipo de contrato )Correo electr"nico Con estos datos el administrador crea el 2* de la siguiente forma( )Letra inicial del nombre )$pellido completa )Letra inicial del apellido ,ombre 6 apellido 7 apellido 2* C1))E1 Carlos $ltamar )uiz Carlos.altamar9abc.net 5reiner $rango 8apata 5reiner.arango9abc.net PROCEDI/IENTO INVENTARIOS Cuando ingresa nuevo personal a la empresa el -efe de dica rea o departamento ser el encargado de enviar una solicitud por correo electr"nico al rea de informtica, este correo debe llegar tanto al encargado de los bienes tecnol"gicos como al -efe de dica rea :2nformtica;. PROCEDI/IENTO PARA SOPORTE TCCNICO %e implementar una mesa de ayuda de < niveles de los cuales se dividen as( Pri#er ni+e' +or medio de la lnea telef"nica que se abilitar los usuarios que llamen recibirn asistencia remota asta donde lo permita la situaci"n, en este caso el incidente que se presenta, si no se resuelve de forma oportuna el servicio que el usuario necesita se deber tomar los datos del usuario y registrarlo en el soft'are de incidentes para que el segundo nivel se aga cargo de la situaci"n. Se.un&o ni+e' 2nterviene el $gente de soporte en sitio, el cul brindar atenci"n de una forma amable y educada y resolver el incidente que se presente. El agente de soporte en sitio se encargar fuera de resolver el incidente, el de verificar que el sistema local est& sin problemas, es decir, mirar que el equipo no presente dems fallas para as evitar el llamado concurrente del usuario. %i el segundo nivel no puede dar soluci"n al incidente se escalar el servicio al tercer nivel. Ter"er ni+e' En este nivel encontramos a los administradores de servidores. -ERRA/IENTAS PARA CONTROL Las erramientas para uso de administraci"n de redes, ser nica y e0clusivamente para el personal administrativo del rea de redes y sobre ellos caer toda responsabilidad por el uso de la misma. ARANDA SO)T2ARE %e utilizarn los m"dulos de $randa para llevar un control preciso tanto en soft'are como en ard'are, deber instalar en cada mquina :computador; un agente el cual recoger toda la informaci"n del soft'are y ard'are. /;&u'o /etrix )ecoge informaci"n del soft'are que tenga instalado cada equipo, esto nos ayudar a tener control sobre los programas que se instalen. /;&u'o NetworD +ermite conocer los dispositivos de red en un diagrama topol"gico que permite las vistas de routers, s'itces, servidores, estaciones de traba-o y servicios. Este soft'are permite encontrar fallas en la red rpidamente, adems son &ste se puede administrar dispositivos conectados a la red de una entidad, como routers, s'itcs, estaciones de traba-o, impresoras, entre otros. +ermite obtener reportes con los siguientes datos( 2dentificador ,ombre del dispositivo =bicaci"n *escripci"n >abricante !ipo de dispositivo 2+ 4$C, entre otros. NETLOG Como ay ataques a la red a gran velocidad aciendo en ocasiones imposible de detectar, esta erramienta es indispensable pues nos permite ver paquetes que circulan por la red y determinar si son sospecosos, peligrosos o si es un ataque que se produ-o. GABRIEL *omprende *liente)&ervidor +denti,ca el ataque &-.-/ *one0in de inmediata de !allos de cliente CRACE
Esta herramienta es muy 1til para implementar la cultura en
los usuarios de generar contrase2as ptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa. %ealiza una inspeccin para detectar pass3ords d4biles y vulnerables *omprueba la comple'idad de las contrase2as. TRIN*3 %er muy til para controlar los correos electr"nicos entrantes y salientes, evitar el robo de contraseas y la intercepci"n de correos. PLAN DE E%EC*CIBN Elaborando el plan de e-ecuci"n como una lista de cequeo o cec?list no enfocamos en una lista de tareas a llevar a cabo para cequear el funcionamiento del sistema. )$segurar el entorno. @Au& es necesario protegerB @Cules son los riesgosB )*eterminar prioridades para la seguridad y el uso de los recursos. )Crear planes avanzados sobre qu& acer en una emergencia. )!raba-ar para educar a los usuarios del sistema sobre las necesidades y las venta-as de la buena seguridad )Estar atentos a los incidentes inusuales y comportamientos e0traos. )$segurarse de que cada persona utilice su propia cuenta. )@Estn las copias de seguridad bien resguardadasB ),o almacenar las copias de seguridad en el mismo sitio donde se las realiza )@Los permisos bsicos son de s"lo lecturaB )%i se realizan copias de seguridad de directoriosCarcivos crticos, usar cequeo de comparaci"n para detectar modificaciones no autorizadas. )+eri"dicamente rever todo los arcivos de Dbooteo de los sistemas y los arcivos de configuraci"n para detectar modificaciones yCo cambios en ellos. )!ener sensores de umo y fuego en el cuarto de computadoras. )!ener medios de e0tinci"n de fuego adecuados en el cuarto de computadoras. )Entrenar a los usuarios sobre qu& acer cuando se disparan las alarmas. )2nstalar y limpiar regularmente filtros de aire en el cuarto de computadoras. )2nstalar =+%, filtros de lnea, protectores gaseosos al menos en el cuarto de computadoras. )!ener planes de recuperaci"n de desastres. )Considerar usar fibras "pticas como medio de transporte de informaci"n en la red. ),unca usar teclas de funci"n programables en una terminal para almacenar informaci"n de login o pass'ord. )Considerar realizar autolog de cuentas de usuario. )Concientizar a los usuarios de pulsar la tecla E%C$+E antes de ingresar su login y su pass'ord, a fin de prevenir los DCaballos de !royaE. )Considerar la generaci"n automtica de pass'ord. )$segurarse de que cada cuenta tenga un pass'ord. ),o crear cuentas por defecto o DguestE para alguien que est temporariamente en la organizaci"n. ),o permitir que una sola cuenta est& compartida por un grupo de gente. )*esabilitar las cuentas de personas que se encuentren fuera de la organizaci"n por largo tiempo. )*esabilitar las cuentas DdormidasE por muco tiempo. )*esabilitar o resguardar fsicamente las bocas de cone0i"n de red no usadas. )Limitar el acceso fsico a cables de red, routers, bocas, repetidores y terminadores. )Los usuarios deben tener diferentes pass'ords sobre diferentes segmentos de la red. )4onitorear regularmente la actividad sobre los #ate'ay.F +lan de contingencia( )Aue se debe acer en caso de una falla o un ataque a los sistemas. )Capacitaci"n constante( Esto incluye tanto a los usuarios como a los administradores de los sistemas. )4onitoreo( #arantizar un buen funcionamiento de las +%2. Elementos de una PSI )%ango de accin de las pol"ticas. Esto se re,ere a las personas sobre las cuales se posa la ley, as" como los sistemas a los que a!ecta. )%econocimiento de la in!ormacin como uno de los principales activos de la empresa. )5b'etivo principal de la pol"tica y ob'etivos secundarios de la misma. &i se hace re!erencia a un elemento particular, hacer una descripcin de dicho elemento. )%esponsabilidades generales de los miembros y sistemas de la empresa. )*omo la pol"tica cubre ciertos dispositivos y sistemas, estos deben tener un m"nimo nivel de seguridad. &e debe de,nir este umbral m"nimo. )E0plicacin de lo que se considera una violacin y sus repercusiones ante el no cumplimiento de las leyes. )%esponsabilidad que tienen los usuarios !rente a la in!ormacin a la que tienen acceso. 4 Redes y seguridad +royecto >inal