Proyecto Final

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que

llamars Proyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Activida
d
Tema

EMERSON RENE CERON ORTEGA

17 DE JUNIO DE 2016
ACTIVIDAD 4
PROYECTO FINAL MANUAL DE PROCEDIMIENTOS

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas
para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta
magna de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el

estudio previo que se hizo para establecer la base del sistema de seguridad, el
programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin
de los elementos de la red, los formatos de informes presentados a la gerencia para
establecer el sistema de seguridad, los procedimientos escogidos para la red, as como
las herramientas, y el desarrollo de cada procedimiento en forma algortmica (agregue
todo lo que considere necesario). Recuerde que el manual de procedimientos es un
proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas,
para poder modificarlas en caso de que sea necesario.

ESTUDIO DEL SISTEMA DE SEGURIDAD.

En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo hay que
facilitar la formalizacin de los empleados para que ellos materialicen las Polticas de
Seguridad Informtica, por otra parte hay una gran cantidad de inconvenientes porque las
personas no se acoplan al cambio y no les gusta regirse a los avances; Si realmente quiere que
las PSI sean aceptadas, debemos realizar una integracin en la empresa con la misin, visin y
objetivos estratgicos. Por lo anterior es muy importante saber las clases de riesgo tiene la
empresa como lo descritos a continuacin:
Mucha informacin confidencial puede ser observada y alterada continuamente por otros
usuarios.

1 Redes y seguridad
Proyecto Final

 Se puede suplantar con facilidad la identidad de los usuarios o administradores.

No hay restriccin a personas ajenas a la empresa.
Los equipos de cmputo son el punto ms dbil en la seguridad porque se maneja
personal variado.
No hay niveles de jerarqua entre jefes, administradores y usuarios.
En los sistemas de cmputo la informacin est completamente abierta.
No hay responsabilidades en los cargos de las distintas dependencias y se delegaran a
sus subordinados sin autorizacin.
No se cuenta con un programa de mantenimiento preventivo y correctivo de los sistemas
de cmputo.
La falla contina por no tener las normas elctricas bien aplicadas; dan pie a cortes de
electricidad sin previo aviso.

PROGRAMA DE SEGURIDAD.

La seguridad en la informacin, es un concepto relacionado con los componentes del sistema

(hardware), las aplicaciones utilizadas en este (software) y la capacitacin del personal que se
encargara del manejo de los equipos. Por esta razn un paso primordial es establecer normas
y estndares que permitan obtener un manejo seguro de toda la infraestructura de
comunicacin, la informacin, y por consiguiente los recursos de la empresa. Se han convertido
en un activo de altsimo valor, de tal forma que, la empresa no puede ser indiferente y por lo
tanto, se hace necesario proteger, asegurar y administrar la informacin necesaria para
garantizar su integridad, confidencialidad y disponibilidad.
El presentar bases, normas de uso y seguridad informticas dentro de la empresa respecto a la
manipulacin, uso de aplicaciones y equipos computacionales permitir el buen desarrollo de
los procesos informticos y elevar el nivel de seguridad de los mismos y as preservar la
informacin y los diferentes recursos informticos con que cuenta la Empresa.
Cuando hablamos de herramientas de seguridad tenemos en cuenta varias alternativas que
son de facilidad y buen uso as que cuando hablamos de que Toda herramienta usada en la
administracin de una red, es potencialmente maligna y potencialmente benigna
tenemos en cuenta que el uso de alternativas de seguridad para las redes como programas y
similares nos brindan facilidades en el momento de hacer seguimiento al trfico de red y
verificar el comportamiento de nuestras aplicaciones, pero tambin se suelen convertir en el
punto de debilidad en la estructura de seguridad ya que algunos programas pueden generar
huecos que son aprovechados por manos criminales para tener acceso a nuestra informacin
y secuestrarla o peor an entrar en nuestras configuraciones y alterar los archivos de tal
manera que interrumpan el normal desarrollo de las actividades de la entidad y colapsar
nuestros sistemas de informacin.

PLAN DE ACCIN.

El propsito de este plan de accin es asegurar que los funcionarios utilicen correctamente los
recursos tecnolgicos que la empresa pone a su disposicin, este ser de obligatorio
cumplimiento y el usuario que incumpla deber responder por los daos causados a el

2 Redes y seguridad
Proyecto Final

sistema informtico de la empresa, y tendr acciones disciplinarias y penales ante la ley. En el

plan de accin a seguir de la empresa adoptaremos los siguientes pasos:
Crear una cuenta para cada usuario la cual, impedir que pueda daar al sistema o a otros
usuarios, y le dar solo los recursos necesarios para la labor asignada.
En esta cuenta de usuario se asignaran permisos o privilegios al usuario para acceder a
los sistemas de informacin y desarrollar actividades dentro de ellas de forma
personalizada.
Implementar una base de datos de usuario, esto permite realizar seguimiento y control.
Para la creacin de cuentas se deber enviar una solicitud a la oficina de Sistemas, con el
visto bueno del jefe de cada rea, donde se debe resaltar los privilegios que va a tener el
usuario.
Cuando un usuario reciba una cuenta, deber acercarse a la oficina de sistemas para
informarle las responsabilidades y el uso de esta.
Por ningn motivo se conceder una cuenta a personas ajenas a la empresa.
El departamento de Recursos Humanos debe informar al departamento de Sistemas los
funcionarios que dejan de laborar, para desactivarle la cuenta.
El acceso a internet se permitir al personal que lo necesite este ser de uso laboral y no
personal, con el fin de no saturar el ancho de banda.
No acceder a pginas de entretenimiento, pornografa, o que estn fuera del contexto
laboral.
No se descargara informacin en archivos adjuntos de dudosa procedencia, esto para
evitar el ingreso de virus al equipo.
Ningn usuario est autorizado para instalar software en su ordenador. El usuario que
necesite algn programa especfico para desarrollar su actividad laboral, deber
comunicarlo al Departamento de Sistemas.
Los empleados de la Empresa solo tendrn acceso a la informacin necesaria para el
desarrollo de sus actividades.
Ningn empleado debe instalar ningn programa para ver vdeos, msica o juegos va
Internet.
se debe utilizar el correo electrnico como una herramienta de trabajo, y no para recibir
mensajes de amigos y familiares, para eso est el correo personal.
No enviar archivos de gran tamao a compaeros de oficina, esto ocupa mucho espacio
en la banda.
No participar en la propagacin de mensajes encadenados o de esquemas de pirmides.

3 Redes y seguridad
Proyecto Final

 No enviar grandes cadenas de chistes en forma interna.

No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podran contener
cdigos maliciosos.
El acceso a las cuentas personales no debe hacerse en jornadas laborales ni en los
equipo de la empresa.
Cuando el usuario deje de usar su estacin de trabajo deber cerrar y verificar el cierre del
correo, para evitar que otra persona use su cuenta.
Se debe mantener los mensajes que se desea conservar, agrupndolos por temas en
carpetas personales.
El departamento de Sistemas determinar el tamao mximo que deben tener los
mensajes del correo electrnico.
Los mensajes tendrn una vigencia de 30 das desde la fecha de entrega o recepcin.
Terminada la fecha, los mensajes debern ser eliminados del servidor de correo.
Se creara una carpeta compartida para todos los empleados esta es de uso laboral para
compartir tareas y no para almacenar cosas personales o innecesarias.
Tambin se crearan unas subcarpetas compartidas de cada departamento, jefes,
supervisores y administradores pero se crearan privilegio para el uso de estas.
A la informacin vital se le realizara una copia de seguridad todos los fines de semana,
con el fin de proteger, tener respaldo de los datos y el buen manejo de la red.
La informacin que se guarde en la red y no sea utilizada, debe eliminarse y guardarla ya
sea en el equipo o en memorias USB, para no mantener la red llena.
No modificar ni manipular archivos que se encuentren en la red que no sean de su
propiedad.
Los usuarios no pueden instalar, suprimir o modificar el software entregado en su
computador.
No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los
equipos.
No es permitido abrir la tapa de los equipos, y retirar parte de estos por personal diferente
al departamento de sistemas.
Los equipos, escner, impresoras, lectoras y equipos de comunicacin no podrn ser
trasladados del sitio que se les asign inicialmente, sin previa autorizacin del
departamento de sistemas o seguridad.
Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones elctricas,
asegurando que los equipos estn conectados a una corriente regulada, o Ups.

4 Redes y seguridad
Proyecto Final

 Los equipos deben estar ubicados en sitios adecuados, evitando la exposicin al agua,
polvo o calor excesivo.
Ningn usuario, podr formatear los discos duros de los computadores.
Ningn usuario podr retirar partes o usar los equipos de comunicacin para uso personal
sin la autorizacin del departamento de sistemas.
A los equipos personales no se les brindar soporte de ninguna ndole: ni de hardware ni
de software, porque son responsabilidad del dueo.
La direccin IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la
autorizacin del departamento de Sistemas porque esto ocasionara conflictos y esto
alterara el flujo de la red.
No llenar el espacio de disco del equipo con msica ni videos, ni informacin personal que
no sea necesaria para el desarrollo de sus tareas con respecto a la entidad.
Se capacitara al personal para tener un anlisis previo y evaluar en qu parte es necesario
mejorar o resolver un problema.
Dar una capacitacin de la actividad a desarrollarse y en la que cada funcionario se va a
desempear especficamente.
Es estrictamente obligatorio, informar oportunamente al departamento de sistemas las
novedades por problemas elctricos, tcnicos, de planta fsica, etc. que altere la correcta
funcionalidad del sistema.

TABLA DE GRUPOS DE ACCESO.

Recurso del Sistema
Riesgo R
Tipos de Acceso
Permisos Otorgados
Numero
Nombre
SEDE PRINCIPAL
RECURSO DEL SISTEMA
NUMERO

NOMBRE
SERVIDOR
PRINCIPAL
ROUTER
SWITCH 1
BRIDGE
SERVIDOR
DE
IMPRESION

1
2
3
4
5

5 Redes y seguridad
Proyecto Final

RIESGO
(Ri)

IMPORTANCI
A (Wi)

RIESGO
EVALUADO
(WRi)

10

10

100

5
3
3

8
5
5

40
15
15

21

El servidor principal presenta el mayor riesgo evaluado ya que determina la cada

general del sistema y por lo tanto la interrupcin del trabajo general de la entidad, el
router tiene un riesgo de 5 ya que las posibilidad de prdida de informacin
corresponden a la falta de servicio general o la prdida del sistema elctrico, su
importancia es elevada pero es un equipo que se puede reconfigurar en lnea o ser
reemplazable fcilmente, el switch 1 se lo considera el equipo de salida principal a la
red interna tiene un riesgo bajo de 3 ya que la sede cuenta con un respaldo de
energa as como equipos de respaldo en caso de dao dado esto considero su
importancia de nivel 5 porque es un medio de transporte vital a nivel interno pero no
determina afectacin importante en el desempeo de la entidad, as como el switch el
bridge es un elemento de poca complejidad en la entidad ya que se fcilmente
configurable como reemplazable, en relacin al servidor de impresin por lo general
se la puede considerar una aplicacin dentro del servidor general y esta implica un
riesgo bajo ya que se puede reconfigurar ms fcilmente y tiene al igual una
importancia elevada porque determina la incapacidad de generar informes.
SUCURSAL MEDELLIN 1
RECURSO DEL SISTEMA
NUMERO
1
2
3
4
5

NOMBRE
SERVIDOR
LOCAL
ROUTER
SWITCH
EQUPO
CLIENTE
IMPRESOR
A DE RED

RIESGO
(Ri)

IMPORTANCI
A (Wi)

RIESGO
EVALUADO
(WRi)

10

10

100

5
3

10
5

50
15

15

21

RIESGO
(Ri)

IMPORTANCI
A (Wi)

RIESGO
EVALUADO
(WRi)

10

10

100

5
3

10
5

50
15

15

21

RIESGO
(Ri)

IMPORTANCI
A (Wi)

RIESGO
EVALUADO
(WRi)

SUCURSAL MEDELLIN 2
RECURSO DEL SISTEMA
NUMERO
1
2
3
4
5

NOMBRE
SERVIDOR
LOCAL
ROUTER
SWITCH 1
EQUIPO
CLIENTE
IMPRESOR
A DE RED

SUCURSAL BOGOTA
RECURSO DEL SISTEMA
NUMERO

NOMBRE

6 Redes y seguridad
Proyecto Final

1
2
3
4
5

SERVIDOR
LOCAL
ROUTER
SWITCH 1
EQUIPO
CLIENTE
IMPRESOR
A DE RED

10

10

100

5
3

10
5

50
15

15

21

Los equipos para las sedes de la entidad se consideran de la siguiente manera,

servidor alto nivel de riesgo ya que perderan la conectividad con el servidor general
y detendran el proceso r gestin as tambin los equipos como router o cliente tiene
alta prioridad porque son importantes para la comunicacin con el servidor principal y
por ende as como el router toda conexin directa con la red principal es de vital
importancia.
DESCRIPCION ADICIONAL DE EQUIPOS:
1. Router (50): Es uno de los ms importantes ya que de la buena configuracin de este
depende mucho la seguridad de nuestra red.
2. Switch (15): El buen funcionamiento de este hace posible distribuir toda la informacin a
la red.
3. Impresora (21): En este recurso es posible llevar cualquier informacin a un documento
fsico.
4. Cableado (20): De este depende intercomunican entre terminales y servidores.
5. Servidor (100): Es el de mayor importancia porque todas las acciones se realizarn a
travs de este.
6. Terminal (25): Es importante porque por medio de estos alimentaremos al servidor.
7. Base de Datos (48): Es de gran importancia ya que almacena toda la informacin de la
empresa.

PROCEDIMIENTOS.
En la empresa se utilizaran una serie de procedimientos que nos ayudaran a tener un
control sobre los equipos, usuarios y toda la informacin vital en la red, estos
procedimientos sern una propuesta de polticas de seguridad, como un recurso o
mecanismo para mitigar los riesgos a los que se ve expuesta.

Equipos y Bienes de la empresa:

se tiene que crear un medio de escrito para controlar y velar la seguridad informtica de
las diferentes reas de la Empresa.

7 Redes y seguridad
Proyecto Final

Para los efectos de este instrumento se entender por: Comit Al equipo integrado por la
Gerencia, los Jefes de rea y el personal administrativo (ocasionalmente) convocado para
fines especficos como: Adquisiciones para la compra de nuevos Hardware y software para
la empresa.

Velar por el buen funcionamiento de las herramientas

en las diferentes reas de la empresa.

Elaborar y efectuar seguimiento el Plan de accin de la empresa verificando todas la

normatividad vigente de la misma.

Elaborar el plan correctivo realizando en forma clara cada dependencia de la empresa

para poder corregirlo, y en las futuras revistas poder tener solucionado las novedades
encontradas y levar a un margen de error de cero.

La instancia rectora de los sistemas de informtica de la empresa es la Gerencia, y el

organismo competente para la aplicacin de este ordenamiento, es el Comit que fue
nombrado.

tecnolgicas que se van a utilizar

Compra de recursos informticos.

Para toda compra que se haga en tecnologa informtica se realizara a travs del Comit,
que est conformado por el personal de la Administracin de Informtica.

El comit de Informtica deber planear las operaciones para la compra de los bienes
informticos que se necesitan con prioridad y en su eleccin deber tomar en cuenta: el
estudio tcnico, precio, calidad, experiencia, desarrollo tecnolgico, estndares y
capacidad, costo inicial, costo de mantenimiento y consumibles por el perodo estimado de
uso de los equipos.

Para la compra de Hardware el equipo que se desee adquirir deber estar dentro de las
listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los
estndares de la empresa.

La marca de los equipos o componentes deber contar con presencia y permanencia

demostrada en el mercado nacional e internacional, as como con asistencia tcnica.

Los dispositivos de almacenamiento, as como las interfaces de entrada-salida, debern

estar acordes con la tecnologa de punta vigente, tanto en velocidad de transferencia de
datos.

Las impresoras debern apegarse a los estndares de Hardware y Software vigente en el

mercado y en la empresa.

En lo que se refiere a los servidores, equipos de comunicaciones, deben de contar con un

programa de mantenimiento preventivo y correctivo que incluya su perodo de garanta.

Instalacin de equipos.

8 Redes y seguridad
Proyecto Final

Los equipos y las redes para uso de la empresa se instalarn en lugares adecuados, lejos
de polvo y trfico de personas.

La Administracin de Informtica, as como las reas operativas debern contar con un

mapa actualizado de las redes, equipos, instalaciones elctricas y de comunicaciones de
la red.

Las instalaciones elctricas y redes, estarn fijas o resguardadas del paso de personas o
mquinas, y libres de cualquier peligro elctrico o magnetismo.

Manejo de la informacin.

La informacin almacenada en medios magnticos o fsicos se deber inventariar,

anexando la descripcin y las especificaciones de la misma, clasificndola en categoras.
Los jefes de las dependencias responsables de la informacin contenida en la oficina a su
cargo, delegaran responsabilidades a sus subordinados y determinarn quien est
autorizado a efectuar operaciones salientes con dicha informacin tomando las medidas
de seguridad pertinentes.

Se establecern tres tipos de prioridad para la informacin de la dependencia: Informacin

vital, necesaria y ocasional o eventual.

La informacin vital para el funcionamiento de la dependencia, se debern tener un buen

proceso a la informacin, as como tener el apoyo diario de las modificaciones efectuadas
y guardando respaldos histricos semanalmente.

Funcionamiento de la red.

Una obligacin del comit de la Administracin de Informtica es vigilar que las redes y los
equipos se usen bajo las condiciones especificadas por el proveedor.

El personal ajeno de la empresa al usar la red o un equipo de cmputo, debe estar su

vigilado por un miembro de la empresa y se abstendrn de consumir alimentos, fumar o
realizar actos que perjudiquen el funcionamiento del mismo o deterioren la informacin
almacenada.

Mantener claves de acceso que permitan el uso solamente al personal autorizado para tal
fin.

Verificar la informacin que provenga de fuentes externas a fin de examinar que est libre
de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.

En ningn caso se autorizar la utilizacin de dispositivos ajenos a los procesos

informticos de la dependencia, por consecutivo, se prohbe el ingreso y/o instalacin de
hardware y software a particulares, es decir que no sea propiedad de la empresa.

Contraseas.

9 Redes y seguridad
Proyecto Final

Todos los que laboren en la parte de las dependencias de la empresa deben tener un
usuario con acceso a un sistema de informacin o a una red informtica, colocando una
nica autorizacin de acceso compuesta de usuario y contrasea.

Ningn trabajador tendr acceso a la red, recursos informticos o aplicaciones hasta que
no acepte formalmente la Poltica de Seguridad.

Los usuarios tendrn acceso autorizado solo a los recursos que le asignen la empresa
para el desarrollo de sus funciones.

La contrasea tendr una longitud mnima de igual o superior a ocho caracteres, y estarn
constituidas por combinacin de caracteres alfabticos, numricos y especiales.

Los identificadores para usuarios temporales se configurarn para un corto perodo de

tiempo. Una vez expirado dicho perodo, se desactivarn de los sistemas inmediatamente.

Responsabilidades.

Los usuarios son responsables de toda actividad relacionada con el uso de su acceso
autorizado que la empresa le asigno.

Los usuarios no deben revelar bajo ningn concepto su contrasea a ninguna persona ni
mantenerla por escrito a la vista, ni al alcance de terceros.

Los usuarios no deben utilizar ningn acceso o contrasea de otro usuario, aunque
dispongan de la autorizacin del propietario.

En el caso que el sistema no lo solicite automticamente, el usuario debe cambiar su

contrasea como mnimo una vez cada 30 das. En caso contrario, se le podr denegar el
acceso y se deber contactar con el jefe inmediato para solicitar al administrador de la red
una nueva clave.

Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que
afecte o pueda afectar a la seguridad de los datos de carcter personal: prdida de
listados y/o informacin, sospechas de uso indebido del acceso autorizado por otras
personas.

Los usuarios nicamente introducirn datos identificativos y direcciones o telfonos de

personas en las agendas de contactos de las herramientas informticas.

HERRAMIENTAS.

Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son las siguientes:
GABRIEL: Detecta ataques SATAN, genera alertas va e-mail o en el servidor.
NETLOG: Registra conexin cada milisegundo, corrige ataques SATAN o ISS, genera
Trazas.

10 Redes y seguridad
Proyecto Final

 COURTNEY: Detecta ataques SATAN, genera informacin procesada por TCPDump: ve la

informacin de cabecera de paquetes: Maquina de origen, mquina de destino, protocolos
utilizados y chequea los puertos en un lapso de tiempo corto.
Y las herramientas que se utilizaran para chequear el sistema son las siguientes:
CRACK: Es una herramienta virtual del sistema y permite forzar las contraseas de
usuario, para medir el grado de complejidad de las contraseas, las contraseas de
nuestro sistema siempre estn encriptados.
TRIPWIRE: Su funcin principal es la de detectar cualquier cambio o modificacin en el
sistema de archivos, como modificaciones no autorizadas o alteraciones maliciosas en los
software.
TIGER: Chequea elementos de seguridad del sistema para detectar problemas y
vulnerabilidades ayudando a configurar el sistema en general, sistemas de archivos,
caminos de bsqueda, cuentas de usuarios, y tambin configuraciones de usuarios.
Adems, el supervisor de Informtica, deber desarrollar una revisin a los dems distintos
medios como (intranet, email, sitio web oficial, etc.), y tomara las medidas necesarias para el
cumplimiento de los Procedimientos de Seguridad.

GLOSARIO.

Cracker: Un "cracker" es una persona que intenta acceder a un sistema informtico sin
autorizacin. Estas personas tienen a menudo malas intenciones, en contraste con los
"hackers", y suelen disponer de muchos medios para introducirse en un sistema.
Hacker: Persona que tiene un conocimiento profundo acerca del funcionamiento de redes
y que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker
busca acceder por diversas vas a los sistemas informticos pero con fines de
protagonismo contratado.
Local rea Network (LAN): (Red de datos para dar servicio a un rea geogrfica
pequea, un edificio por ejemplo, por lo cual mejorar de rea Local) los protocolos de
seal de la red para llegar a velocidades de transmisin de hasta 100 Mbps (100 millones
de bits por segundo).
SATAN (Security Analysis Tool for Auditing Networks): Herramienta de Anlisis de
Seguridad para la Auditoria de redes. Conjunto de programas escritos por Dan Farmer
junto con Wietse Venema para la deteccin de problemas relacionados con la seguridad.
TCP/IP (Transmisin Control Protocol/Internet Protocol): Arquitectura de red
desarrollada por la "Defense Advanced Research Projects Agency" en USA, es el conjunto
de protocolos bsicos de Internet o de una Intranet.

11 Redes y seguridad
Proyecto Final

 Trojan Horse (Caballo de Troya): programa informtico que lleva en su interior la lgica
necesaria para que el creador del programa pueda acceder al interior del sistema que lo
procesa.

Intranet: Una red privada dentro de una compaa u organizacin que utiliza el mismo
software que se encuentra en Internet, pero que es solo para uso interno.

12 Redes y seguridad
Proyecto Final