Académique Documents
Professionnel Documents
Culture Documents
Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas
para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta
magna de la seguridad de la red: El manual de procedimientos.
Proyecto Final
En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo hay que
facilitar la formalizacin de los empleados para que ellos materialicen las Polticas de
Seguridad Informtica, por otra parte hay una gran cantidad de inconvenientes porque las
personas no se acoplan al cambio y no les gusta regirse a los avances; Si realmente quiere que
las PSI sean aceptadas, debemos realizar una integracin en la empresa con la misin, visin y
objetivos estratgicos. Por lo anterior es muy importante saber las clases de riesgo tiene la
empresa como lo descritos a continuacin:
Mucha informacin confidencial puede ser observada y alterada continuamente por otros
usuarios.
1 Redes y seguridad
Proyecto Final
PROGRAMA DE SEGURIDAD.
PLAN DE ACCIN.
El propsito de este plan de accin es asegurar que los funcionarios utilicen correctamente los
recursos tecnolgicos que la empresa pone a su disposicin, este ser de obligatorio
cumplimiento y el usuario que incumpla deber responder por los daos causados a el
2 Redes y seguridad
Proyecto Final
3 Redes y seguridad
Proyecto Final
4 Redes y seguridad
Proyecto Final
Los equipos deben estar ubicados en sitios adecuados, evitando la exposicin al agua,
polvo o calor excesivo.
Ningn usuario, podr formatear los discos duros de los computadores.
Ningn usuario podr retirar partes o usar los equipos de comunicacin para uso personal
sin la autorizacin del departamento de sistemas.
A los equipos personales no se les brindar soporte de ninguna ndole: ni de hardware ni
de software, porque son responsabilidad del dueo.
La direccin IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la
autorizacin del departamento de Sistemas porque esto ocasionara conflictos y esto
alterara el flujo de la red.
No llenar el espacio de disco del equipo con msica ni videos, ni informacin personal que
no sea necesaria para el desarrollo de sus tareas con respecto a la entidad.
Se capacitara al personal para tener un anlisis previo y evaluar en qu parte es necesario
mejorar o resolver un problema.
Dar una capacitacin de la actividad a desarrollarse y en la que cada funcionario se va a
desempear especficamente.
Es estrictamente obligatorio, informar oportunamente al departamento de sistemas las
novedades por problemas elctricos, tcnicos, de planta fsica, etc. que altere la correcta
funcionalidad del sistema.
NOMBRE
SERVIDOR
PRINCIPAL
ROUTER
SWITCH 1
BRIDGE
SERVIDOR
DE
IMPRESION
1
2
3
4
5
5 Redes y seguridad
Proyecto Final
RIESGO
(Ri)
IMPORTANCI
A (Wi)
RIESGO
EVALUADO
(WRi)
10
10
100
5
3
3
8
5
5
40
15
15
21
NOMBRE
SERVIDOR
LOCAL
ROUTER
SWITCH
EQUPO
CLIENTE
IMPRESOR
A DE RED
RIESGO
(Ri)
IMPORTANCI
A (Wi)
RIESGO
EVALUADO
(WRi)
10
10
100
5
3
10
5
50
15
15
21
RIESGO
(Ri)
IMPORTANCI
A (Wi)
RIESGO
EVALUADO
(WRi)
10
10
100
5
3
10
5
50
15
15
21
RIESGO
(Ri)
IMPORTANCI
A (Wi)
RIESGO
EVALUADO
(WRi)
SUCURSAL MEDELLIN 2
RECURSO DEL SISTEMA
NUMERO
1
2
3
4
5
NOMBRE
SERVIDOR
LOCAL
ROUTER
SWITCH 1
EQUIPO
CLIENTE
IMPRESOR
A DE RED
SUCURSAL BOGOTA
RECURSO DEL SISTEMA
NUMERO
NOMBRE
6 Redes y seguridad
Proyecto Final
1
2
3
4
5
SERVIDOR
LOCAL
ROUTER
SWITCH 1
EQUIPO
CLIENTE
IMPRESOR
A DE RED
10
10
100
5
3
10
5
50
15
15
21
PROCEDIMIENTOS.
En la empresa se utilizaran una serie de procedimientos que nos ayudaran a tener un
control sobre los equipos, usuarios y toda la informacin vital en la red, estos
procedimientos sern una propuesta de polticas de seguridad, como un recurso o
mecanismo para mitigar los riesgos a los que se ve expuesta.
se tiene que crear un medio de escrito para controlar y velar la seguridad informtica de
las diferentes reas de la Empresa.
7 Redes y seguridad
Proyecto Final
Para los efectos de este instrumento se entender por: Comit Al equipo integrado por la
Gerencia, los Jefes de rea y el personal administrativo (ocasionalmente) convocado para
fines especficos como: Adquisiciones para la compra de nuevos Hardware y software para
la empresa.
Para toda compra que se haga en tecnologa informtica se realizara a travs del Comit,
que est conformado por el personal de la Administracin de Informtica.
El comit de Informtica deber planear las operaciones para la compra de los bienes
informticos que se necesitan con prioridad y en su eleccin deber tomar en cuenta: el
estudio tcnico, precio, calidad, experiencia, desarrollo tecnolgico, estndares y
capacidad, costo inicial, costo de mantenimiento y consumibles por el perodo estimado de
uso de los equipos.
Para la compra de Hardware el equipo que se desee adquirir deber estar dentro de las
listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los
estndares de la empresa.
Instalacin de equipos.
8 Redes y seguridad
Proyecto Final
Los equipos y las redes para uso de la empresa se instalarn en lugares adecuados, lejos
de polvo y trfico de personas.
Las instalaciones elctricas y redes, estarn fijas o resguardadas del paso de personas o
mquinas, y libres de cualquier peligro elctrico o magnetismo.
Manejo de la informacin.
Funcionamiento de la red.
Una obligacin del comit de la Administracin de Informtica es vigilar que las redes y los
equipos se usen bajo las condiciones especificadas por el proveedor.
Mantener claves de acceso que permitan el uso solamente al personal autorizado para tal
fin.
Verificar la informacin que provenga de fuentes externas a fin de examinar que est libre
de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.
Contraseas.
9 Redes y seguridad
Proyecto Final
Todos los que laboren en la parte de las dependencias de la empresa deben tener un
usuario con acceso a un sistema de informacin o a una red informtica, colocando una
nica autorizacin de acceso compuesta de usuario y contrasea.
Ningn trabajador tendr acceso a la red, recursos informticos o aplicaciones hasta que
no acepte formalmente la Poltica de Seguridad.
Los usuarios tendrn acceso autorizado solo a los recursos que le asignen la empresa
para el desarrollo de sus funciones.
La contrasea tendr una longitud mnima de igual o superior a ocho caracteres, y estarn
constituidas por combinacin de caracteres alfabticos, numricos y especiales.
Responsabilidades.
Los usuarios son responsables de toda actividad relacionada con el uso de su acceso
autorizado que la empresa le asigno.
Los usuarios no deben revelar bajo ningn concepto su contrasea a ninguna persona ni
mantenerla por escrito a la vista, ni al alcance de terceros.
Los usuarios no deben utilizar ningn acceso o contrasea de otro usuario, aunque
dispongan de la autorizacin del propietario.
Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que
afecte o pueda afectar a la seguridad de los datos de carcter personal: prdida de
listados y/o informacin, sospechas de uso indebido del acceso autorizado por otras
personas.
HERRAMIENTAS.
Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son las siguientes:
GABRIEL: Detecta ataques SATAN, genera alertas va e-mail o en el servidor.
NETLOG: Registra conexin cada milisegundo, corrige ataques SATAN o ISS, genera
Trazas.
10 Redes y seguridad
Proyecto Final
GLOSARIO.
Cracker: Un "cracker" es una persona que intenta acceder a un sistema informtico sin
autorizacin. Estas personas tienen a menudo malas intenciones, en contraste con los
"hackers", y suelen disponer de muchos medios para introducirse en un sistema.
Hacker: Persona que tiene un conocimiento profundo acerca del funcionamiento de redes
y que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker
busca acceder por diversas vas a los sistemas informticos pero con fines de
protagonismo contratado.
Local rea Network (LAN): (Red de datos para dar servicio a un rea geogrfica
pequea, un edificio por ejemplo, por lo cual mejorar de rea Local) los protocolos de
seal de la red para llegar a velocidades de transmisin de hasta 100 Mbps (100 millones
de bits por segundo).
SATAN (Security Analysis Tool for Auditing Networks): Herramienta de Anlisis de
Seguridad para la Auditoria de redes. Conjunto de programas escritos por Dan Farmer
junto con Wietse Venema para la deteccin de problemas relacionados con la seguridad.
TCP/IP (Transmisin Control Protocol/Internet Protocol): Arquitectura de red
desarrollada por la "Defense Advanced Research Projects Agency" en USA, es el conjunto
de protocolos bsicos de Internet o de una Intranet.
11 Redes y seguridad
Proyecto Final
Trojan Horse (Caballo de Troya): programa informtico que lleva en su interior la lgica
necesaria para que el creador del programa pueda acceder al interior del sistema que lo
procesa.
Intranet: Una red privada dentro de una compaa u organizacin que utiliza el mismo
software que se encuentra en Internet, pero que es solo para uso interno.
12 Redes y seguridad
Proyecto Final