3 REDES Y SEGURIDAD PROYECTO FINAL INTRODUCCIN Hoy en da, con
los avances de la tecnologa en las redes de comunicacin, se ha hecho
posible la expansin y la modernizacin en lo que respecta a la comunicacin de las empresas, as como, la forma en que almacenan o procesan sus datos. Pero con este avance, tambin nos vemos afectados con la intrusin de personas malintencionadas en nuestra red, conocidos como hacker, y cracker, cuyo objetivo es ingresar a nuestro sistema, bien sea para robar informacin valiosa o inclusive van ms all, hasta atacar y daar nuestro sistema. Por esta razn, hay que salir adelante con un buen Manual de Procedimientos, donde se haga un estudio por anticipado de la entidad, para ver los riesgos a los que est expuesto en cuestiones de seguridad, as como un buen plan detallado de las acciones que debe tomar cada miembro de la entidad.
4. Pg. 4 REDES Y SEGURIDAD PROYECTO FINAL OBJETIVOS * El objetivo
principal de nuestro proyecto es entregarles un Manual de Procesos y Procedimientos con el fin de que todos lo puedan estudiar y as garantizar la seguridad en la informacin y en los datos de nuestra empresa. * Se har todo lo posible por manejar un lenguaje sencillo, que sea de fcil asimilacin con el fin de que sea aplicado por todos. Aunque no sobra decir que se necesita compromiso para estar dispuesto a aportar en lo que sea posible a evitar la entrada de personas malintencionadas a nuestra institucin, y reforzar nuestro nivel de seguridad informtico. * Implementar y proponen estrategias que ayuden a proteger el sistema contra posibles ataques.
5. Pg. 5 REDES Y SEGURIDAD PROYECTO FINAL ANTECEDENTES
(ESTUDIO PREVIO) Nuestra empresa EN CORE, es una empresa colombiana que presta servicios para la investigacin tecnolgica para las empresas del pas, su sede principal se encuentra en la ciudad de Medelln, la empresa est en proceso de expansin, se estn construyendo dos sucursales ms en la ciudad y otra ms en la capital del pas, en las que utilizamos la topologa de red en estrella, por el control que permite sobre la red, y la posibilidad de agregar o quitar equipos a la red sin afectar los dems equipos; por alcance utilizamos la red MAN, por lo de las sucursales que se van a manejar, por relacin funcional utilizaremos la relacin cliente- servidor, para poder hacer un seguimiento a la seguridad de la red a travs de un servidor. En nuestra empresa manejamos datos importantes, informacin privada y de uso exclusivo, por lo que debemos cuidar tanto los lugares de almacenamiento fsico como lgico de la informacin. Por ello exponemos a continuacin lo que encontramos para poder ejecutar nuestro Manual de Procedimientos. * Los elementos estn expuestos a posibles daos por el ambiente, como la humedad o temperatura. * No
hay un sistema que regule el nivel de seguridad de las contraseas de
los usuarios. * Se evidencias cuentas pasivas, o que han dejado de ser utilizadas durante mucho tiempo. * No se lleva un control de las pginas de internet que visitan los empleados, as como del contenido descargado por los mismos, y del horario que utilizan la red. * El personal encargado de la vigilancia, no lleva un control de lo que sacan los empleados de la empresa, hablamos de material original, copias, o digital.
6. Pg. 6 REDES Y SEGURIDAD PROYECTO FINAL * Se evidenci que
muchos usuarios tienen su login y contrasea en lugar visible, lo que facilita la suplantacin. * No hay control escrito de entrada y salida, no existe tal registro de manera escrita, con sus respectivas firmas. * No hay un plan de emergencia visible. * Las copias de seguridad se guardan en el mismo sitio de donde se realizan.
7. Pg. 7 REDES Y SEGURIDAD PROYECTO FINAL PROGRAMA DE
SEGURIDAD Y PLAN DE ACCIN * Como los elementos estn expuestos a posibles daos provocados por el ambiente, para ello se debe estar revisando peridicamente sitios donde se puedan presentar posibles goteras que generen humedad, revisar circuitos elctricos que estn en perfecto estado y que no arriesguen ningn elemento de la entidad. * Es posible que personas ajenas entren a nuestro sistema y alteren los datos o roben informacin valiosa, por eso es necesario que cada empleado debidamente identificado, y con su propia cuenta y login, sea el que acceda a su ordenador correspondiente. * Como todos los das estamos expuestos a virus, hacker, cracker, que llegan muy sutilmente a nuestra compaa, y son enormemente dainos en lo que tiene que ver con prdida o revelacin de informacin privada; por tal razn se establece que cada usuario entre y descargue informacin institucional, nada de pginas publicitarias, redes sociales, pginas pornogrficas, ni descarga de correos spam o link desconocidos. * Los tcnicos de mantenimiento velarn porque cada usuario tenga su propia cuenta y login y que sea alto su nivel de seguridad. * Cada empleado ser vigilado al momento de salir de la entidad, por los vigilantes, para que no lleve informacin o material institucional privado. * Podrn acceder a internet solo en horario laboral. * Los tcnicos harn una vigilancia peridica de las cuentas de cada usuario. * En vigilancia se llevar un registro por escrito de entrada y salida de cada uno de los empleados, con su respectiva firma. * Los encargados de seguridad elaborarn un plan de emergencias y lo fijarn en un lugar visible. * Las copias de seguridad sern guardadas en un lugar seguro, y no en el mismo sitio en donde se elaboran.
8. Pg. 8 REDES Y SEGURIDAD PROYECTO FINAL MANUAL DE
PROCEDIMIENTOS * Procedimiento para que los clientes o personas ajenas a la entidad, estn lejos de las reas de trabajo, para prevenir el espionaje o el robo de terceros. * Procedimiento para instalar los equipos de uso interno en lugares adecuados, libres del polvo y la humedad. * Procedimiento para bloquear pginas pornogrficas, redes sociales, o descargas de link desconocidos. * Procedimiento para cambiar peridicamente las claves de seguridad, y dar de baja a las que lleven tiempo sin ser usadas, no dejar cuentas para usuarios invitados. * Procedimiento para supervisar los documentos que son sacados de la entidad, prohibido sacar copias y distribuirlas a terceros. * Procedimiento para controlar el acceso a internet despus de jornadas laborales. * Procedimiento para monitorear el trfico de informacin, o los puertos utilizados.
9. Pg. 9 REDES Y SEGURIDAD PROYECTO FINAL VALORACION DE
ELEMENTOS DE LA RED Es necesario que se conozcan los elementos principales de la red y el valor que se le dan a los mismos, por eso elaboramos esta tabla sencilla para explicarlo. Nmero Nombre Nivel de importancia del recurso (R1) Severidad de la prdida (w1) Riesgo evaluado R1 * W1 1 Bridge 5 2 10 2 Computador 4 6 24 3 Switch 5 6 30 4 Router 6 8 48 5 Servidor 10 10 100 1 nivel medio, es el encargado de la interconexin de redes en los computadores, transfiere datos de una red a otra. Si llegara a averiarse se vera afectada la red, pero puede ser fcilmente cambiado el puente. 2 su nivel de importancia es bajo, ya que en una empresa hay varios equipos que pueden realizar dicha labor, adems, se recurre a la copia de seguridad de datos. Si llegara a perderse o daarse se corre el riesgo de perder informacin importante para la empresa, y tiempo que se gastara en configurarlo nuevamente. 3 - el nivel de conexin que maneja es medio, este proporciona la conexin de varios equipos en un solo recurso. Recibe conexin del router para conectar en red a los dems equipos. Si se llegara a daar no habr otro elemento que lo reemplace perdiendo as la conexin de otros equipos. 4 maneja la red de la empresa, si se pierde o daa podra ocasionar graves daos a la red y por supuesto a la informacin. 5 - se le da el mximo de importancia en ambos caso, ya que adems de costoso, es primordial por la informacin que maneja, an hasta de los otros equipo, sin olvidar lo costoso que es conseguirlo.
10. Pg. 10 REDES Y SEGURIDAD PROYECTO FINAL TABLA DE GRUPO DE
ACCESO Nmero Nombre Riesgo Tipo de acceso Permisos otorgados 1 Informacin personal administrativa. Gerencia, jefe de personal local Lectura y escritura 2 Base de datos Gerencia, grupo de auditores Local y remoto Lectura 3 Archivo fsico Secretaria, gerencia, auditores Local
Lectura y escritura 4 Computadores Empleados con usuario y login local
Manejo sin descargar link diferentes a la entidad 5 internet Empleados con usuario y login Local y remoto Manejo institucional
11. Pg. 11 REDES Y SEGURIDAD PROYECTO FINAL DEMONIOS PARA LA
RED (Qu son y para qu se utilizan) TELNET: se crea una conexin entre cliente y servidor que sirve para transferir informacin, su login y pasword para acceder al sistema son asignados por el demonio, lo cual sera una desventaja ya que un cracker puede instalar un snifer en la red, y pueda tener acceso al login y contrasea ya que estas estn en la red; afortunadamente para esto se puede usar un programa que encripte las contraseas y las envi una sola vez por red, asi de esta manera se obtendr una sola vez la contrasea. ARGUS: Esta herramienta nos permite auditar el trfico ip que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre, mandando as la captura de paquetes ip donde se puede especificar condiciones de filtrado como protocolos especficos, nombres de maquinas. SATAN: Esta herramienta nos permite chequear las mquinas que estn conectadas a la red, genera informacin sobre el tipo de mquina conectada, los servicios que presta cada una, y la herramienta quiz ms importante, permite detectar fallos de seguridad. Sus datos se muestran en un navegador, por lo que su lectura es sencilla. Se detecta la vulnerabilidad y su posible solucin.
12. Pg. 12 REDES Y SEGURIDAD PROYECTO FINAL HERRAMIENTAS PARA
LA RED Y PROCEDIMENTOS Las siguientes herramientas sirven para generar un control de acceso. TCP-WRAPPER: Esta herramienta nos permite controlar y monitorear el trfico de las redes de nuestra organizacin y nos permite tener un control sobre las conexiones que se generan en la misma. Es de gran ayuda ya que restringe la conexin de sistemas no deseados a servicios de nuestra red. Una de las ventajas de este programa es que nos deja un registro de las conexiones que se hicieron en la red, as como a los servicios y de la mquina de los que se intent acceder. Procedimiento para instalar Tcp-Wapper y que los tcnicos definan las reglas para la eficiencia del filtrado de elementos y la proteccin del mismo. SATAN: chequea las mquinas que estn conectadas a la red, detecta la vulnerabilidad y la marca como insegura, se genera un registro y su posible solucin. Procedimiento para instalar Satan con el fin de detectar posibles accesos de otras mquinas no permitidas. COURTNEY: detecta el uso de las topologas de redes, permite detectar la mquina que genera el ataque Satan, a partir de informacin pasada por el programa TcpDump, el programa genera un aviso. Procedimiento para instalar Courtney y detectar chequeos de puertos en un lapso corto de tiempo. Las siguientes herramientas sirven
para chequear la integridad del sistema. COPS: chequea aspectos de
seguridad con el sistema operativo Unix, como permisos a determinados archivos, permisos de escritura y lectura sobre elementos importantes de la configuracin de red. Procedimiento para instalar Cops, si se maneja el sistema operativo Unix, con el fin de mantener la seguridad en la red. CRACK: esta herramienta permite medir la seguridad de las contraseas, y chequear la seguridad del sistema.
13. Pg. 13 REDES Y SEGURIDAD PROYECTO FINAL Procedimiento para
instalar Crack y hacer un barrido peridico del mismo, el tcnico deber avisar a cada usuario cuando sea necesario cambiar su contrasea por una ms segura. TRIPWIRE: detecta cualquier cambio o modificacin en el sistema de archivos, genera una base de datos con una firma por cada elemento en el sistema de archivos, informacin valiosa para una futura comparacin de la base de datos y as detectar modificaciones en los mismos. Procedimiento para instalar Tripwire, y crear una base de datos main donde se hagan comparaciones peridicas con el fin de detectar cambios, y actualizar la misma cada vez que ingrese un nuevo elemento autorizado a la organizacin. OSH: permite indicar al administrador de red cuales son los comandos que puede ejecutar cada usuario de red. Procedimiento para informar a los empleados el archivo generado con los permisos otorgados y la informacin sobre si puede o no ejecutarlos.
14. Pg. 14 REDES Y SEGURIDAD PROYECTO FINAL CONCLUSIN Con el
anterior estudio, esperamos que la empresa se concientice de los graves riesgos que corre con los datos y la informacin que maneja, por eso creamos conciencia con el estudio previo, se mostr el valor de sus elementos, lo que se poda presentar y cmo solucionarlo a tiempo. El manual de procedimientos debe ser aplicado por cada miembro de la institucin, donde se vern excelentes resultados, a corto y largo plazo. Esperamos haber logrado nuestro objetivo, principalmente concientizar a cada empleado para que ponga en funcionamiento cada parte del manual de procesos y procedimientos.
INTRODUCCINMuchas veces en las compaas se valida la seguridad de una
compaa, solopor el uso de contraseas en cada uno de sus procedimientos, es realmentetil solo el uso de contraseas para proteger la informacin de unaorganizacin?El uso de contraseas es necesario pero a esto se agregar un paquete demedidas denominadas, Polticas de seguridad Informtica PSI las cuales debenser legibles y entendibles para cada uno de los miembros de lasorganizaciones, acompaadas de un manual de procedimientos el cual serelaborado para mejorar la seguridad en nuestra empresa.Cabe aclarar que es vital la proteccin de la informacin, por lo que se debentomar correctivos para evitar posibles ataques que vulneren la capacidad derespuesta de la red o
en el peor de los casos destruyan la informacin. 2 Redes y seguridad Proyecto
Final 3. OBJETIVOS Desarrollar un sistema que permita proteger la informacin confidencial deuna compaa, utilizando Psi adecuadas. Orientar a los empleados, sobre el uso adecuado de los recursos del sistemay as evitar posibles fallas que comprometan la seguridad de los datos. Interactuar con las polticas de seguridad, para que estas mismas tengan unbuen manejo dentro de la organizacin. Proponer estrategias que ayuden a proteger el sistema contra posiblesataques. 3 Redes y seguridad Proyecto Final 4. PRESENTACIN TERICAPara el correcto funcionamiento de la red de una organizacin, la topologamas recomendada es la estrella, la cual explicaremos en detalle apoyndonoscon la figura:Una topologa de estrella es una red en la cual las estaciones estn conectadasdirectamente a un punto central y todas las comunicaciones se han de hacernecesariamente a travs de ste. Los equipos no estn directamenteconectados entre s, adems de que no se permite tanto trfico de informacin.Una red en estrella activa tiene un nodo central activo que normalmente tienelos medios para prevenir problemas relacionados con el eco.Esto quiere decir que se tiene un equipo el cual es la central donde se manejatoda la red de un edificio, en el caso particular la organizacin.Capas del Modelo OSI que pueden resultar afectadas en caso de ataque.Si bien todas las capas del Modelo OSI son claves para la comunicacin entreuno o ms puntos a travs de la red es importante destacar dos niveles queconstituyen la parte vital en la comunicacin:Nivel de Red, Nivel de transporte.Nivel de red: Es el encargado de que los datos lleguen desde el origenespecfico hasta el destino apropiado.Nivel de Transporte: Es uno de los niveles ms importantes del modelo OSI,ya que define el esquema en el que dos equipos establecen contacto ycomunicacin. 4 Redes y seguridad Proyecto Final 5. PROCEDIMIENTOSPREVENCIN CONTRA ATAQUES QUE COMPROMETAN LA SEGURIDADDEL SISTEMASOLUCIN DE VULNERABILIDADESPOLTICAS GENERALES Identificar dentro del sistema a los trabajadores, sin importar dependencia uhorario para llevar un correcto control dentro del sistema. Ofrecer programas de capacitacin a los empleados de la organizacin paraevitar errores que puedan colapsar el sistema y poner en riesgo los datos. Los servicios de red corporativa son exclusivos de la organizacin paragestiones administrativas, cualquier cambio en la normativa o uso de la misma,ser expresada y adecuada como poltica de seguridad en este documento. Se nombrara un comit de seguridad, que d seguimiento al seguimiento ycumplimiento de la normativa, el cual tendr entre sus funciones:a. Velar por la seguridad de los activos informticos.b. Gestin y procesamiento de informacin.c. Cumplimiento de Polticas.d. Aplicacin de Sanciones.e. Elaboracin de planes de seguridad.f. Capacitacin de usuarios en
temas de seguridad.g. Gestionar y coordinar esfuerzos, por crear un plan de
contingencia, que dsustento o solucin, a problemas de seguridad dentro de la compaa. Elmismo orientar y guiar a los empleados, la forma o mtodos necesarios parasalir avante ante cualquier eventualidad que se presente. 5 Redes y seguridad Proyecto Final 6. DESCRIPCIN DE PROCEDIMIENTOS PARA PSIENTIDAD:Telecomunicaciones SORTEXUNIDAD ADMINISTRATIVA: Direccin TcnicaNOMBRE DEL PROCEDIMIENTO: Administracin y asignacin de normas deseguridadDepartamento de Mantenimiento y Operacina. Velar por la seguridad de los activos informticos.b. Gestin y procesamiento de informacin.c. Cumplimiento de Polticas.d. Aplicacin de Sanciones.e. Elaboracin de planes de seguridad.f. Capacitacin de usuarios en temas de seguridad.g. Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dsustento o solucin, a problemas de seguridad dentro de la compaa. Elmismo orientar y guiar a los empleados, la forma o mtodos necesarios parasalir avante ante cualquier eventualidad que se presente.h. Reunir a los empleados y explicar sobre cambios o modificaciones a laspolticas de seguridad 6 Redes y seguridad Proyecto Final 7. ENTIDAD:Telecomunicaciones SORTEXUNIDAD ADMINISTRATIVA: Direccin de ProcesosNOMBRE DEL PROCEDIMIENTO: Control de Cumplimiento de Normas deSeguridadDireccin de ProcesosDepartamento de Operacin y Solucin Este departamento tiene restriccin ainformacin privada de la compaa o instancias mayores, pero es elencargado de acceder a la informacin de los clientes para brindar solucionesen primer contacto, en caso de que se requiera una instancia mayor, se escalael caso va correo electrnico al rea administrativa.Se encarga de verificar el cumplimiento de las polticas de seguridad paraevitar que se cometan errores por parte de los usuarios.Se valida directamente los procesos realizados por el usuario mediante elmonitoreo correspondiente a los puestos de trabajo.Realiza correctivos en primera instancia, para que cada empleado haga usoadecuado de la informacin que tiene a cargo. QU HACER EN CASO DE INFECCIONES O ALTERACIONES EN LA RED? Es recomendable no realizar el procedimiento de manera individual, se debeinformar al jefe inmediato es decir al Director de Procesos para que este ltimoescale el caso al rea Tcnica. Si la alteracin proviene de algn envo de correos electrnicos no responda oreenve los mismos, pues al realizar esta ltima accin puede causar el colapsototal de la red por sobre trfico en el sistema.A continuacin se observara el manual de procedimientos de ataques ysoluciones, el cual rige a la parte tcnica y especializada.DESCRIPCION DE PROCEDIMIENTOS PARA ATAQUES Y SOLUCIONES 7 Redes y seguridad Proyecto Final 8. ENTIDAD:Telecomunicaciones SORTEXUNIDAD ADMINISTRATIVA: Direccin TcnicaNOMBRE DEL PROCEDIMIENTO: Identificacin y Diagnostico de ataque
deredDepartamento de Mantenimiento y Operacina. Su principal funcin es
verificar en el sistema y las conexiones fsicas elproblema que est presentando la red.b. Una vez identificado el problema o tipo de ataque tomar las accionespertinentes para corregir la falla.c. Seleccionar las herramientas de diagnostico correspondientes a cada caso,aqu veremos unas de ellas: Para el caso del crack, usarlo de forma controlada, ya que por suscaractersticas de obtener y verificar que passwords son vulnerables o no,puede usarse como herramienta de ataque al sistema. Correr de manera peridica el Cpm en nuestro sistema para detectar sniffersque pueden estar recopilando informacin de las contraseas de la red. En cuanto al Noshell conectarse solo cuando sea requerido, ya que todaconexin es detectada y se genera un reporte va e-mail con todos los datos deusuario, fecha, hora y direccin ip del equipo remoto, en caso de ser cuentascanceladas.d. Realizar el informe correspondiente al caso indicando el diagnstico correctode la falla presentada, y los correctivos aplicados.
2. INTRODUCCIN Las redes informtica en el mundo han mostrado un
gran progreso, la posibilidad de comunicarse a travs de redes ha abierto mucho horizontes a las empresas para mejorar su productividad y poder expandirse a muchos pases, debido a esto hay que garantizar la seguridad de la informacin que se trabaja da a da, estos riesgos nos han llevado a implementar nuevos procedimientos que nos van a ayudar en el adecuado uso de los sistemas tecnolgicos y de las redes en general, la cual consisten en compartir recursos, y que todos los programas, datos y equipo estn disponibles para cualquiera de la red que as lo solicite, sin importar la localizacin del recurso y del usuario. Tambin consiste en proporcionar una alta fiabilidad, al contar con fuentes alternativas de suministro. Adems, la presencia de mltiples CPU significa que si una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su trabajo, aunque se tenga un rendimiento menor. Este manual fue elaborado con nociones Bsicas de Seguridad en redes informticas, recogiendo los principales conceptos y recomendaciones de los problemas que se pueden presentar en una red, con el fin de informar a los trabajadores sobre los riesgos ms comunes y sus medidas preventivas.
3. Nombre Carlos Andrs Prez Cabrales Fecha Agosto 10 del 2013
Actividad Proyecto final Tema Unidad 4 1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as como las
herramientas, y el desarrollo de cada procedimiento en forma
algortmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario. ESTUDIO DEL SISTEMA DE SEGURIDAD. En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo hay que facilitar la formalizacin de los empleados para que ellos materialicen las Polticas de Seguridad Informtica, por otra parte hay una gran cantidad de inconvenientes porque las personas no se acoplan al cambio y no les gusta regirse a los avances; Si realmente quiere que las PSI sean aceptadas, debemos realizar una integracin en la empresa con la misin, visin y objetivos estratgicos. Por lo anterior es muy importante saber las clases de riesgo tiene la empresa como lo descritos a continuacin: Mucha informacin confidencial puede ser observada y alterada continuamente por otros usuarios. Se puede suplantar con facilidad la identidad de los usuarios o administradores. No hay restriccin a personas ajenas a la empresa. Los equipos de cmputo son el punto ms dbil en la seguridad porque se maneja personal variado. No hay niveles de jerarqua entre jefes, administradores y usuarios. En los sistemas de cmputo la informacin est completamente abierta.
4. No hay responsabilidades en los cargos de las distintas
dependencias y se delegaran a sus subordinados sin autorizacin. No se cuenta con un programa de mantenimiento preventivo y correctivo de los sistemas de cmputo. La falla contina por no tener las normas elctricas bien aplicadas; dan pie a cortes de electricidad sin previo aviso. PROGRAMA DE SEGURIDAD. La seguridad en la informacin, es un concepto relacionado con los componentes del sistema (hardware), las aplicaciones utilizadas en este (software) y la capacitacin del personal que se encargara del manejo de los equipos. Por esta razn un paso primordial es establecer normas y estndares que permitan obtener un manejo seguro de toda la infraestructura de comunicacin, la informacin, y por consiguiente los recursos de la empresa. Se han convertido en un activo de altsimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la informacin necesaria para garantizar su integridad, confidencialidad y disponibilidad. El presentar bases, normas de uso y seguridad informticas dentro de la empresa respecto a la manipulacin, uso de aplicaciones y equipos computacionales permitir el buen desarrollo de los procesos informticos y elevar el nivel de seguridad de los mismos y as preservar la informacin y los diferentes recursos informticos con que cuenta la Empresa. PLAN DE ACCIN. El
propsito de este plan de accin es asegurar que los funcionarios
utilicen correctamente los recursos tecnolgicos que la empresa pone a su disposicin, este ser de obligatorio cumplimiento y el usuario que incumpla deber responder por los daos causados a el sistema informtico de la empresa, y tendr acciones disciplinarias y penales ante la ley. En el plan de accin a seguir de la empresa adoptaremos los siguientes pasos: Crear una cuenta para cada usuario la cual, impedir que pueda daar al sistema o a otros usuarios, y le dar solo los recursos necesarios para la labor asignada. En esta cuenta de usuario se asignaran permisos o privilegios al usuario para acceder a los sistemas de informacin y desarrollar actividades dentro de ellas de forma personalizada.
5. Implementar una base de datos de usuario, esto permite realizar
seguimiento y control. Para la creacin de cuentas se deber enviar una solicitud a la oficina de Sistemas, con el visto bueno del jefe de cada rea, donde se bebe resaltar los privilegios que va a tener el usuario. Cuando un usuario reciba una cuenta, deber acercarse a la oficina de sistema para informarle las responsabilidades y el uso de esta. Por ningn motivo se conceder una cuenta a personas ajenas a la empresa. El departamento de Recursos Humanos debe informar al departamento de Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta. El acceso a internet se permitir al personal que lo necesite este ser de uso laboral y no personal, con el fin de no saturar el ancho de banda. No acceder a pginas de entretenimiento, pornografa, o que estn fuera del contexto laboral. No se descargara informacin en archivos adjuntos de dudosa procedencia, esto para evitar el ingreso de virus al equipo. Ningn usuario est autorizado para instalar software en su ordenador. El usuario que necesite algn programa especfico para desarrollar su actividad laboral, deber comunicarlo al Departamento de Sistemas. Los empleados de la Empresa solo tendrn acceso a la informacin necesaria para el desarrollo de sus actividades. Ningn empleado debe instalar ningn programa para ver vdeos, msica o juegos va Internet. se debe utilizar el correo electrnico como una herramienta de trabajo, y no para recibir mensajes de amigos y familiares, para eso est el correo personal. No enviar archivos de gran tamao a compaeros de oficina, esto ocupa mucho espacio en la banda.
6. No participar en la propagacin de mensajes encadenados o de
esquemas de pirmides. No enviar grandes cadenas de chistes en forma interna. No se debe abrir o ejecutar archivos adjuntos a correos
dudosos, ya que podran contener cdigos maliciosos. El acceso a las
cuentas personales no debe hacerse en jornadas laborales ni en los equipo de la empresa. Cuando el usuario deje de usar su estacin de trabajo deber cerrar y verificar el cierre del correo, para evitar que otra persona use su cuenta. Se debe mantener los mensajes que se desea conservar, agrupndolos por temas en carpetas personales. El departamento de Sistemas determinar el tamao mximo que deben tener los mensajes del correo electrnico. Los mensajes tendrn una vigencia de 30 das desde la fecha de entrega o recepcin. Terminada la fecha, los mensajes debern ser eliminados del servidor de correo. Se creara una carpeta compartida para todos los empleados esta es de uso laboral para compartir tareas y no para almacenar cosas personales o innecesarias. Tambin se crearan unas subcarpetas compartidas de cada departamento, jefes, supervisores y administradores pero se crearan privilegio para el uso de estas. A la informacin vital se le realizara una copia de seguridad todos los fines de semana, con el fin de proteger, tener respaldo de los datos y el buen manejo de la red. La informacin que se guarde en la red y no sea utilizada, debe eliminarse y guardarla ya sea en el equipo o en memorias USB, para no mantener la red llena.
7. No modificar ni manipular archivos que se encuentren en la red que
no sean de su propiedad. Los usuarios no pueden instalar, suprimir o modificar el software entregado en su computador. No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos. No es permitido abrir la tapa de los equipos, y retirar parte de estos por personal diferente al departamento de sistemas. Los equipos, escner, impresoras, lectoras y equipos de comunicacin no podrn ser trasladados del sitio que se les asign inicialmente, sin previa autorizacin del departamento de sistemas o seguridad. Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones elctricas, asegurando que los equipos estn conectados a una corriente regulada, o Ups. Los equipos deben estar ubicados en sitios adecuados, evitando la exposicin al agua, polvo o calor excesivo. Ningn usuario, podr formatear los discos duros de los computadores. Ningn usuario podr retirar partes o usar los equipos de comunicacin para uso personal sin la autorizacin del departamento de sistemas. A los equipos personales no se les brindar soporte de ninguna ndole: ni de hardware ni de software, porque son responsabilidad del dueo. La direccin IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la autorizacin del departamento de Sistemas porque esto ocasionara conflictos y esto alterara el flujo de la red. No llenar el
espacio de disco del equipo con msica ni videos, ni informacin
personal que no sea necesaria para el desarrollo de sus tareas con respecto a la entidad. Se capacitara al personal para tener un anlisis previo y evaluar en qu parte es necesario mejorar o resolver un problema.
8. Dar una capacitacin de la actividad a desarrollarse y en la que cada
funcionario se va a desempear especficamente. Es estrictamente obligatorio, informar oportunamente al departamento de sistemas las novedades por problemas elctricos, tcnicos, de planta fsica, etc. que altere la correcta funcionalidad del sistema. TABLA DE GRUPOS DE ACCESO. Recurso del Sistema Riesgo R Tipos de Acceso Permisos Otorgados Numero Nombre 1. Router (56):Es uno de los ms importantes ya que de la buenaconfiguracin de este depende mucho la seguridad de nuestrared. 2. Swiche (48):El buen funcionamiento de este hace posible distribuir todalainformacin a la red. 3. Impresora (16):En este recurso es posible llevar cualquier informacin aun documento fsico. 4. Cableado (20):De este depende intercomunican entre terminales yservidores. 5. Servidor (100):Es el de mayor importancia porque todas las acciones serealizarn a travs de este. 6. Terminal (25):Es importante porque por medio de estos alimentaremos al servidor. 7. Base de Datos (48):Es de gran importancia ya que almacena toda la informacinde la empresa. PROCEDIMIENTOS. En la empresa se utilizaran una serie de procedimientos que nos ayudaran a tener un control sobre los equipos, usuarios y toda la informacin vital en la red, estos procedimientos sern una propuesta de polticas de seguridad,
9. como un recurso o mecanismo para mitigar los riesgos a los que se ve
expuesta. Equipos y Bienes de la empresa: se tiene que crear un medio de escrito para controlar y velar la seguridad informtica de las diferentes reas de la Empresa. Para los efectos de este instrumento se entender por: Comit Al equipo integrado por la Gerencia, los Jefes de rea y el personal administrativo (ocasionalmente) convocado para fines especficos como: Adquisiciones para la compra de nuevos Hardware y software para la empresa. Velar por el buen funcionamiento de las herramientas tecnolgicas que se van a utilizar en las diferentes reas de la empresa. Elaborar y efectuar seguimiento el Plan de accin de la empresa verificando todas la normatividad vigente de la misma. Elaborar el plan correctivo realizando en forma clara cada dependencia de la empresa para poder corregirlo, y en las futuras revistas poder tener solucionado las novedades encontradas y levar a un margen de error de cero. La instancia rectora de los sistemas de informtica de la empresa es la Gerencia, y el organismo competente para la aplicacin
de este ordenamiento, es el Comit que fue nombrado. Compra de
recursos informticos. Para toda compra que se haga en tecnologa informtica se realizara a travs del Comit, que est conformado por el personal de la Administracin de Informtica. El comit de Informtica deber planear las operaciones para la compra de los bienes informticos que se necesitan con prioridad y en su eleccin deber tomar en cuenta: el estudio tcnico, precio, calidad, experiencia, desarrollo tecnolgico, estndares y capacidad, costo inicial, costo de mantenimiento y consumibles por el perodo estimado de uso de los equipos.
10. Para la compra de Hardware el equipo que se desee adquirir deber
estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estndares de la empresa. La marca de los equipos o componentes deber contar con presencia y permanencia demostrada en el mercado nacional e internacional, as como con asistencia tcnica. Los dispositivos de almacenamiento, as como las interfaces de entrada- salida, debern estar acordes con la tecnologa de punta vigente, tanto en velocidad de transferencia de datos. Las impresoras debern apegarse a los estndares de Hardware y Software vigente en el mercado y en la empresa. En lo que se refiere a los servidores, equipos de comunicaciones, deben de contar con un programa de mantenimiento preventivo y correctivo que incluya su perodo de garanta. Instalacin de equipos. Los equipos y las redes para uso de la empresa se instalarn en lugares adecuados, lejos de polvo y trfico de personas. La Administracin de Informtica, as como las reas operativas debern contar con un mapa actualizado de las redes, equipos, instalaciones elctricas y de comunicaciones de la red. Las instalaciones elctricas y redes, estarn fijas o resguardadas del paso de personas o mquinas, y libres de cualquier peligro elctrico o magnetismo. Manejo de la informacin. La informacin almacenada en medios magnticos o fsicos se deber inventariar, anexando la descripcin y las especificaciones de la misma, clasificndola en categoras. Los jefes de las dependencias responsables de la informacin contenida en la oficina a su cargo, delegaran responsabilidades a sus subordinados y determinarn quien est autorizado a efectuar operaciones salientes con dicha informacin tomando las medidas de seguridad pertinentes.
11. Se establecern tres tipos de prioridad para la informacin de la
dependencia: Informacin vital, necesaria y ocasional o eventual. La informacin vital para el funcionamiento de la dependencia, se debern tener un buen proceso a la informacin, as como tener el apoyo diario
de las modificaciones efectuadas y guardando respaldos histricos
semanalmente. Funcionamiento de la red. Una obligacin del comit de la Administracin de Informtica es vigilar que las redes y los equipos se usen bajo las condiciones especificadas por el proveedor. El personal ajeno de la empresa al usar la red o un equipo de cmputo, debe estar su vigilado por un miembro de la empresa y se abstendrn de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la informacin almacenada. Mantener claves de acceso que permitan el uso solamente al personal autorizado para tal fin. Verificar la informacin que provenga de fuentes externas a fin de examinar que est libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos. En ningn caso se autorizar la utilizacin de dispositivos ajenos a los procesos informticos de la dependencia, por consecutivo, se prohbe el ingreso y/o instalacin de hardware y software a particulares, es decir que no sea propiedad de la empresa. Contraseas. Todos los que laboren en la parte de las dependencias de la empresa deben tener un usuario con acceso a un sistema de informacin o a una red informtica, colocando una nica autorizacin de acceso compuesta de usuario y contrasea.
12. Ningn trabajador tendr acceso a la red, recursos informticos o
aplicaciones hasta que no acepte formalmente la Poltica de Seguridad. Los usuarios tendrn acceso autorizado solo a los recursos que le asignen la empresa para el desarrollo de sus funciones. La contrasea tendr una longitud mnima de igual o superior a ocho caracteres, y estarn constituidas por combinacin de caracteres alfabticos, numricos y especiales. Los identificadores para usuarios temporales se configurarn para un corto perodo de tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas inmediatamente. Responsabilidades. Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado que la empresa le asigno. Los usuarios no deben revelar bajo ningn concepto su contrasea a ninguna persona ni mantenerla por escrito a la vista, ni al alcance de terceros. Los usuarios no deben utilizar ningn acceso o contrasea de otro usuario, aunque dispongan de la autorizacin del propietario. En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave. Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carcter personal: prdida de listados y/o
informacin, sospechas de uso indebido del acceso autorizado por otras
personas. Los usuarios nicamente introducirn datos identificativos y direcciones o telfonos de personas en las agendas de contactos de las herramientas informticas.
13. HERRAMIENTAS. Las herramientas de control que se pueden
utilizar para administrar una red dependiendo de las fallas descritas en este manual son las siguientes: GABRIEL: Detecta ataques SATAN, genera alertas va e-mail o en el servidor. NETLOG: Registra conexin cada milisegundo, corrige ataques SATAN o ISS, genera Trazas. COURTNEY: Detecta ataques SATAN, genera informacin procesada por TCPDump: ve la informacin de cabecera de paquetes: Maquina de origen, mquina de destino, protocolos utilizados y chequea los puertos en un lapso de tiempo corto. Y las herramientas que se utilizaran para chequear el sistema son las siguientes: CRACK: Es una herramienta virtual del sistema y permite forzar las contraseas de usuario, para medir el grado de complejidad de las contraseas, las contraseas de nuestro sistema siempre estn encriptados. TRIPWIRE: Su funcin principal es la de detectar cualquier cambio o modificacin en el sistema de archivos, como modificaciones no autorizadas o alteraciones maliciosas en los software. TIGER: Chequea elementos de seguridad del sistema para detectar problemas y vulnerabilidades ayudando a configurar el sistema en general, sistemas de archivos, caminos de bsqueda, cuentas de usuarios, y tambin configuraciones de usuarios. Adems, el supervisor de Informtica, deber desarrollar una revisin a los dems distintos medios como (intranet, email, sitio web oficial, etc.), y tomara las medidas necesarias para el cumplimiento de los Procedimientos de Seguridad.
14. GLOSARIO. Cracker:Un "cracker" es una persona que intenta
acceder a un sistema informtico sin autorizacin.Estas personastienen a menudo malas intenciones, en contraste con los "hackers", y suelen disponer de muchos medios para introducirseen un sistema. Hacker:Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que puede advertir loserrores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vas a lossistemas informticos pero con fines de protagonismo contratado. Local rea Network (LAN): (Red de datos para dar servicio a un rea geogrfica pequea, un edificio por ejemplo, por lo cual mejorarde rea Local) los protocolos de seal de la red para llegar a velocidades de transmisin de hasta 100 Mbps (100millones de bits por segundo). SATAN (Security Analysis Tool for Auditing Networks): Herramienta de Anlisis de Seguridad para la Auditoria de redes.
Conjunto de programas escritos por Dan Farmer junto con Wietse
Venema para la deteccin de problemas relacionados con la seguridad. TCP/IP (Transmisin Control Protocol/Internet Protocol): Arquitectura de red desarrollada por la "DefenseAdvanced Research Projects Agency" en USA, es el conjunto de protocolos bsicos de Internet o de una Intranet. Trojan Horse (Caballo de Troya): programa informtico que lleva en su interior la lgica necesaria para que el creador del programa pueda acceder al interior del sistema que lo procesa. Intranet: Una red privada dentro de una compaa u organizacin que utiliza el mismo software que se encuentra en Internet, pero que es solo para uso interno.