Вы находитесь на странице: 1из 10

Luego de haber estudiado los tipos de

vulnerabilidades ms comunes, las


herramientas usadas para proteger los
datos, y haber generado sus
procedimientos, est listo para generar la
carta
magna de la seguridad de la red: El manual de
procedimientos.
Proyecto Final
1. Desarrolle el manual de procedimientos de la empresa. Este
manual debe tener el estudio previo que se hizo para establecer la base
del sistema de seguridad, el programa de seguridad, el plan de accin, las
tablas de grupos de acceso, la valoracin de los elementos de la red, los
!ormatos de in!ormes presentados a la gerencia para establecer el sistema
de seguridad, los procedimientos escogidos para la red, as" como las
herramientas, y el desarrollo de cada procedimiento en !orma algor"tmica
#agregue todo lo que considere necesario$. %ecuerde que el manual de
procedimientos es un proceso dinmico, por lo que debe modular todos los
contenidos en unidades distintas, para poder modi!icarlas en caso de que
sea necesario.
Nota: Este trabajo fnal, ms que una nota para aprobar el curso, muestra
la capacidad que tiene, como persona, de gestionar la seguridad de una
red. Guarde este documento, pues es su carta de presentacin para
cualquier empleo en el que se le exija experiencia.
INTRODUCCIN
En la actualidad, instituciones, grandes, medianas y pequeas empresas son
cada vez ms dependientes de sus redes informticas y un problema que las
afecte, por mnimo que sea, puede llegar a comprometer la continuidad de
las operaciones.
Las de medidas de seguridad en las redes es un metodo que se est en
utilizando para fortalecer la seguridad de los datos de las empresas. Cada
vez es mayor el nmero de atacantes y cada vez estn ms organizados,
por lo que van adquiriendo da a da abilidades ms especializadas que les
permiten obtener mayores beneficios. !ampoco deben subestimarse las
fallas de seguridad provenientes del interior mismo de la organizaci"n.
El proponer una poltica de seguridad requiere un alto compromiso con la
organizaci"n, entre ellos #erentes, $dministradores asta los empleados de
la empresa o instituci"n. %e necesita analizis t&cnico, aministrativo, que
puedan satisfacer las necesidades que seguridad de los datos de la
empresa.
Este manual de procedimientos de seguridad se encontraran de forma
precisa en la cual ser administrado los sistemas de informaci"n de esta
empresa para brindar una mayor seguridad de la informaci"n y la manera de
c"mo controlar sus activos tecnol"gicos tanto a nivel de ard'are como de
soft'are.
Propsito
Establecer los pasos que se deben seguir para garantizar la
seguridad en la red de la empresa
Alcance
Este procedimiento aplica al administrador de &istemas
in!ormticos, ba'o de la supervisin del Director del departamento
de &istemas y comunicaciones.
Referencia
(ara la elaboracin de este procedimiento, se tom como
re!erencia el manual de procedimientos.
Responsabilidades
#esti"n $dministrativa( )esponsable de autorizar este procedimiento.
*irector de %istemas( )esponsable de revisar y supervisar la
aplicaci"n de este +rocedimiento
$dministrador de %istemas( )esponsable de elaborar y aplicar este
procedimiento.
CLIENTES Y PROVEEDORES
PROVEEDORES ENTREGABLES
Externos Equipo, Softwre ! Li"en"i#iento$
%efe &e te'efon( ! Vi&eo"onferen"i )or#to &e So'i"itu&es
C'ientes ENTREGABLES
*ni&& A&#inistrti+ Espe"ifi""iones t,"ni"s -r&wre !
Softwre$
Equipos "on Po'(ti"s &e Se.uri&&
I#p'e#ent&os o Ser+i"ios &e re&es
Confi.ur&os$
DIRECTORIO ACTIVO
El directorio activo permite al administrador de red establecer polticas de
seguridad de grupo, esta almacena informaci"n de una organizaci"n en una
base de datos central, organizada y accesible.
,os permite una serie de ob-etivos relacionados como agregar usuarios,
grupos de usuarios, permisos y asignaci"n de recursos y polticas de
acceso.
NO/BRE RIESGO 0R1 I/PORTANCIA
021
RIESGO
EVAL*ADO
0R321
DETALLE
Bse &e Dtos 45 45 455 Es ' prin"ip'
fuente &e '
e#pres, porque
''( est6n
'#"en&os
'os &tos &e 'os
"'ientes ! 'os
pro&u"tos &e '
e#pres$
Ser+i&or 2e7 45 45 450 Es un Equipo
"ostoso por e'
te# &e 'os
ser+i"ios que
est6n #ont&os,
entre e''os '
7se &e &tos$
Swit8 9 : 4: E' swit8 es un
&ispositi+o
"ti+o &e
inter"onexi;n
que se pue&e
"#7ir, reseter
! +o'+er
"onfi.urr$
PC < 9 =4 Son 'os equipos
'o "u' 'os
e#p'e&os
pro"esn
infor#"i;n se
pue&e #o&ifi"r
! "#7ir pie>s
f6"i'#ente$
I#presor 4 4 4 Re"urso pr '
i#presi;n &e
tr7?os,
infor#es,#'o
"u' si se &@
se "#7i "on
f"i'i&&$
NO/BRE GR*PO DE
*S*ARIOS
TIPO DE ACCESO PRIVILEGIOS
Bse &e Dtos E#p'e&os !
A&#inistr"i;n
Lo"' So'o Le"tur A
Bse &e Dtos C'ientes, Pro&u"to !
Presupuesto
Lo"' So'o Le"turA
A""eso Internet *surio Lo"' So'o e?e"u"i;n 0x1
Ser+i&or P.in 2e7 T,"ni"os &e
/nteni#iento
Lo"' Le"tur ! Es"ritur$
0R,2,31
A""eso Ser+i&or,
Router ! Swit8
A&#inistr&ores &e
re&
Lo"' ! Re#oto Le"tur ! Es"ritur
0R,2,31
A""eso Equipos T,"ni"os &e Siste#s Lo"' To&os
CREACIBN DE LOS *S*ARIOS
Cada usuario de la compaa se le agrega un usuario corporativo con su
respectivo modo de acceso y sus limitaciones.
.+rocedimiento de alta cuenta de usuarios( se lleva a cabo cuando se crea
una cuenta de usuario teniendo en cuenta datos personales, cargo y
funciones a realizar.
El administrador del directorio activo deber solicitar los siguientes datos(
),ombres y $pellidos
)/rea de desempeo
)Cargo
)E0tensi"n del rea de traba-o
)!ipo de contrato
)Correo electr"nico
Con estos datos el L1#2, del usuario seria
)+rimer nombre completo
3+unto seguido
)+rimer apellido completo
,145)E 6 $+ELL2*1 7 $+ELL2*1 L1#2,
Carlos $ltamar )uiz C$)L1%.$L!$4$)
5reiner $rango 8apata 5)E2,E).$)$,#1
CREACIBN DE LA C*ENTA CORPORATIVA
La cuenta corporativa es importante por los datos confidenciales de la
empresa el administrador solicita los siguientes datos(
),ombres y $pellidos
)/rea de desempeo
)Cargo
)E0tensi"n del rea de traba-o
)!ipo de contrato
)Correo electr"nico
Con estos datos el administrador crea el 2* de la siguiente forma(
)Letra inicial del nombre
)$pellido completa
)Letra inicial del apellido
,ombre 6 apellido 7 apellido 2* C1))E1
Carlos $ltamar )uiz Carlos.altamar9abc.net
5reiner $rango 8apata 5reiner.arango9abc.net
PROCEDI/IENTO INVENTARIOS
Cuando ingresa nuevo personal a la empresa el -efe de dica rea o
departamento ser el encargado de enviar una solicitud por correo
electr"nico al rea de informtica, este correo debe llegar tanto al encargado
de los bienes tecnol"gicos como al -efe de dica rea :2nformtica;.
PROCEDI/IENTO PARA SOPORTE TCCNICO
%e implementar una mesa de ayuda de < niveles de los cuales se dividen
as(
Pri#er ni+e'
+or medio de la lnea telef"nica que se abilitar los usuarios que llamen
recibirn asistencia remota asta donde lo permita la situaci"n, en este caso
el incidente que se presenta, si no se resuelve de forma oportuna el servicio
que el usuario necesita se deber tomar los datos del usuario y registrarlo en
el soft'are de incidentes para que el segundo nivel se aga cargo de la
situaci"n.
Se.un&o ni+e'
2nterviene el $gente de soporte en sitio, el cul brindar atenci"n de una
forma amable y educada y resolver el incidente que se presente.
El agente de soporte en sitio se encargar fuera de resolver el incidente, el
de verificar que el sistema local est& sin problemas, es decir, mirar que el
equipo no presente dems fallas para as evitar el llamado concurrente del
usuario.
%i el segundo nivel no puede dar soluci"n al incidente se escalar el servicio
al tercer nivel.
Ter"er ni+e'
En este nivel encontramos a los administradores de servidores.
-ERRA/IENTAS PARA CONTROL
Las erramientas para uso de administraci"n de redes, ser nica y
e0clusivamente para el personal administrativo del rea de redes y sobre
ellos caer toda responsabilidad por el uso de la misma.
ARANDA SO)T2ARE
%e utilizarn los m"dulos de $randa para llevar un control preciso tanto en
soft'are como en ard'are, deber instalar en cada mquina :computador;
un agente el cual recoger toda la informaci"n del soft'are y ard'are.
/;&u'o /etrix
)ecoge informaci"n del soft'are que tenga instalado cada equipo, esto nos
ayudar a tener control sobre los programas que se instalen.
/;&u'o NetworD
+ermite conocer los dispositivos de red en un diagrama topol"gico que
permite las vistas de routers, s'itces, servidores, estaciones de traba-o y
servicios.
Este soft'are permite encontrar fallas en la red rpidamente, adems son
&ste se puede administrar dispositivos conectados a la red de una entidad,
como routers, s'itcs, estaciones de traba-o, impresoras, entre otros.
+ermite obtener reportes con los siguientes datos(
2dentificador
,ombre del dispositivo
=bicaci"n
*escripci"n
>abricante
!ipo de dispositivo
2+
4$C, entre otros.
NETLOG
Como ay ataques a la red a gran velocidad aciendo en ocasiones
imposible de detectar, esta erramienta es indispensable pues nos permite
ver paquetes que circulan por la red y determinar si son sospecosos,
peligrosos o si es un ataque que se produ-o.
GABRIEL
*omprende *liente)&ervidor
+denti,ca el ataque &-.-/
*one0in de inmediata de !allos de cliente
CRACE

Esta herramienta es muy 1til para implementar la cultura en


los usuarios de generar contrase2as ptimas, pues
recordemos y tengamos presentes que los datos son un valor
muy importante de una empresa.
%ealiza una inspeccin para detectar pass3ords d4biles y
vulnerables
*omprueba la comple'idad de las contrase2as.
TRIN*3
%er muy til para controlar los correos electr"nicos entrantes y salientes,
evitar el robo de contraseas y la intercepci"n de correos.
PLAN DE E%EC*CIBN
Elaborando el plan de e-ecuci"n como una lista de cequeo o cec?list no
enfocamos en una lista de tareas a llevar a cabo para cequear el
funcionamiento del sistema.
)$segurar el entorno. @Au& es necesario protegerB @Cules son los riesgosB
)*eterminar prioridades para la seguridad y el uso de los recursos.
)Crear planes avanzados sobre qu& acer en una emergencia.
)!raba-ar para educar a los usuarios del sistema sobre las necesidades y las
venta-as de la buena seguridad
)Estar atentos a los incidentes inusuales y comportamientos e0traos.
)$segurarse de que cada persona utilice su propia cuenta.
)@Estn las copias de seguridad bien resguardadasB
),o almacenar las copias de seguridad en el mismo sitio donde se las
realiza
)@Los permisos bsicos son de s"lo lecturaB
)%i se realizan copias de seguridad de directoriosCarcivos crticos, usar
cequeo de comparaci"n para detectar modificaciones no autorizadas.
)+eri"dicamente rever todo los arcivos de Dbooteo de los sistemas y los
arcivos de configuraci"n para detectar modificaciones yCo cambios en ellos.
)!ener sensores de umo y fuego en el cuarto de computadoras.
)!ener medios de e0tinci"n de fuego adecuados en el cuarto de
computadoras.
)Entrenar a los usuarios sobre qu& acer cuando se disparan las alarmas.
)2nstalar y limpiar regularmente filtros de aire en el cuarto de computadoras.
)2nstalar =+%, filtros de lnea, protectores gaseosos al menos en el cuarto de
computadoras.
)!ener planes de recuperaci"n de desastres.
)Considerar usar fibras "pticas como medio de transporte de informaci"n en
la red.
),unca usar teclas de funci"n programables en una terminal para almacenar
informaci"n de login o pass'ord.
)Considerar realizar autolog de cuentas de usuario.
)Concientizar a los usuarios de pulsar la tecla E%C$+E antes de ingresar su
login y su pass'ord, a fin de prevenir los DCaballos de !royaE.
)Considerar la generaci"n automtica de pass'ord.
)$segurarse de que cada cuenta tenga un pass'ord.
),o crear cuentas por defecto o DguestE para alguien que est
temporariamente en la organizaci"n.
),o permitir que una sola cuenta est& compartida por un grupo de gente.
)*esabilitar las cuentas de personas que se encuentren fuera de la
organizaci"n por largo tiempo.
)*esabilitar las cuentas DdormidasE por muco tiempo.
)*esabilitar o resguardar fsicamente las bocas de cone0i"n de red no
usadas.
)Limitar el acceso fsico a cables de red, routers, bocas, repetidores y
terminadores.
)Los usuarios deben tener diferentes pass'ords sobre diferentes segmentos
de la red.
)4onitorear regularmente la actividad sobre los #ate'ay.F +lan de
contingencia(
)Aue se debe acer en caso de una falla o un ataque a los sistemas.
)Capacitaci"n constante( Esto incluye tanto a los usuarios como a los
administradores de los sistemas.
)4onitoreo( #arantizar un buen funcionamiento de las +%2.
Elementos de una PSI
)%ango de accin de las pol"ticas. Esto se re,ere a las personas
sobre las cuales se posa la ley, as" como los sistemas a los que
a!ecta.
)%econocimiento de la in!ormacin como uno de los principales
activos de la empresa.
)5b'etivo principal de la pol"tica y ob'etivos secundarios de la
misma. &i se hace re!erencia a un elemento particular, hacer una
descripcin de dicho elemento.
)%esponsabilidades generales de los miembros y sistemas de la
empresa.
)*omo la pol"tica cubre ciertos dispositivos y sistemas, estos deben
tener un m"nimo nivel de seguridad. &e debe de,nir este umbral
m"nimo.
)E0plicacin de lo que se considera una violacin y sus
repercusiones ante el no cumplimiento de las leyes.
)%esponsabilidad que tienen los usuarios !rente a la in!ormacin a
la que tienen acceso.
4
Redes y seguridad
+royecto >inal

Вам также может понравиться