Proyecto Final

Recomendaciones para presentar la Actividad:

 Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Proyecto Final.
 Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Brian Andrés Menjura Quintero

Fecha 25/02/2018
Actividad Final
Tema Proyecto

*Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el

estudio previo que se hizo para establecer la base del sistema de seguridad, el
programa de seguridad, el plan de acción, las tablas de grupos de acceso, la
valoración de los elementos de la red, los formatos de informes presentados a la
gerencia para establecer el sistema de seguridad, los procedimientos escogidos
para la red, así como las herramientas, y el desarrollo de cada procedimiento en
forma algorítmica (agregue todo lo que considere necesario). Recuerde que el
manual de procedimientos es un proceso dinámico, por lo que debe modular todos
los contenidos en unidades distintas, para poder modificarlas en caso de que sea
necesario.

RTA=

MANUAL DE PROCEDIMIENTOS

Conociendo lo importante que es la seguridad informática para nuestra institución

entregamos un manual de procedimiento que tiene como finalidad conducir de mejor
forma la seguridad y cuidado con todo lo relacionado a la información digital. A
continuación presentare todo un compendio de todos los equipos físicos y lógicos que
intervendrán en dicho proceso para su mejor uso. Describiré cuales son los pasos a
seguir de cada departamento al momento de interactuar con los dispositivos y software
del de la informática y redes. Los objetivos, la justificación, las generalidades, las
amenazas, las políticas de seguridad informática, etc. Sabiendo las grandes amenazas
que no enfrentamos comúnmente en el campo de la información, este manual restringirá a
los usuarios inescrupulosos como medida de protección. Además este manual integra no
solo seguridad virtual sino también seguridad física de cada equipo de nuestras
instalaciones. Cada departamento tienes sus funciones que debe de cumplir con el
departamento de tecnología, este reglamento le delega deberes a cada usuario que debe
de cumplir para que podamos tener una red más segura y más estable.

Entendemos que la seguridad en nuestra organización son de carácter primordial e

importante para la buena gestión de las tareas diarias, por lo tanto un manual de
procedimiento es lo más idóneo para entendernos en le convivir diario

Contenido:
1. Introducción

2. Objetivos

3. Justificación

4. Generalidades

5. Políticas de seguridad informática

6. Estudio y análisis de los recursos informáticos actuales

7. Amenazas posibles

8. Elementos de análisis para la seguridad informática

9. Análisis del sistema a proteger -Valoración elementos de red

10. Tablas de acceso

11. Programa de Seguridad y Plan de Acción

12. Manual de procedimientos y normativas

13. Herramientas de control de acceso

14. Herramientas para la integridad del sistema

15. Plan de acción

 1. NTRODUCCIÓN

Muchas veces en las compañías se valida la seguridad, solo por el uso de contraseñas en
cada uno de sus procedimientos, ¿es realmente útil solo el uso de contraseñas para
proteger la información de una organización?

El uso de contraseñas es necesario pero a esto hay que agregar un paquete de medidas
denominadas Políticas de seguridad Informática (PSI), las cuales deben ser legibles y
entendibles para cada uno de los miembros de las organizaciones, acompañadas de un
manual de procedimientos el cual será elaborado para mejorar la seguridad en nuestra
empresa.

Cabe aclarar que es vital la protección de la información, por lo que se deben tomar
correctivos para evitar posibles ataques que vulneren la capacidad de respuesta de la red
o en el peor de los casos destruyan la información.

El presente documento tiene como finalidad la implementación de políticas de Seguridad

Informática (PSI) para la empresa “En-Core Fox” de la ciudad de Bogotá en Colombia.

Para la ejecución del proyecto, se ha tomado como base un estudio y análisis de los
componentes informáticos, lógicos y físicos, que actualmente mantiene la empresa para
su gestión y administración, así mismo se ha procedido a realizar el análisis de las
condiciones del uso de dichos recursos por parte de los empleados, y determinar las
posibles vulnerabilidades a que puede estar expuesta la información de la empresa.

En base al estudio y análisis requerido que determinan los posibles riesgos inherentes a
los recursos informáticos, se ha procedido a distinguir las políticas de seguridad
informática actual y/o establecer nuevos procedimientos y estrategias, tanto Gerenciales
como Administrativas, que permitan el resguardo de la información de los recursos
informáticos de la empresa.

Como resultado del presente proyecto hay la documentación y ejecución de un plan

estratégico, con el cual se implementen las Políticas de Seguridad Informática para la
Empresa “En-Core Fox” de la ciudad de Bogotá.

2. OBJETIVOS

Desarrollar un sistema de seguridad significa "planear, organizar, dirigir y controlar las

actividades, para mantener y garantizar la integridad física de los recursos informáticos,
así como resguardar los activos de la empresa".

Los objetivos que se desean alcanzar, luego de implantar nuestro sistema de seguridad
son los siguientes:
 -Generales:

 Desarrollar un sistema que permita proteger la información confidencial de una compañía,

utilizando PSI adecuadas.

 Orientar a los empleados, sobre el uso adecuado de los recursos del sistema y así evitar
posibles fallas que comprometan la seguridad de los datos.

 Interactuar con las políticas de seguridad, para que estas mismas tengan un buen manejo
dentro de la organización.

 Proponer estrategias que ayuden a proteger el sistema contra posibles ataques.

-Particulares:

 Realizar el estudio y análisis de los recursos informáticos de la empresa.

 Evaluar y determinar los posibles riesgos ante los sistemas informáticos.

 Establecer y documentar el programa de seguridad, a través de un plan de acción,

procedimientos y normativas necesarios para implementar un Sistema de Seguridad
Informática.

 Ejecutar las políticas de Seguridad de la información en la Empresa, mediante las

respectivas estrategias tanto a nivel Gerencial como Administrativo.

3. JUSTIFICACIÓN

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto

relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en
la institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario);
por esta razón, es un paso primordial el establecer normativas y estándares que permitan
obtener una base de manejo seguro de todo lo relacionado con la infraestructura de
comunicación de la empresa.

En consecuencia, la información, y por consiguiente los recursos mencionados

anteriormente, se han convertido en un activo de altísimo valor, de tal forma que, la
empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y
administrar la información para garantizar su integridad, confidencialidad y disponibilidad,
de conformidad con lo establecido por la ley.

El sentar bases y normas de uso y seguridad informáticas dentro de la empresa, respecto

a la manipulación y uso de aplicaciones y equipos computacionales, permitirá optimizar
los procesos informáticos y elevará el nivel de seguridad de los mismos.
 4. GENERALIDADES

La seguridad informática ha tomado gran auge, debido a las cambiantes condiciones y

nuevas plataformas tecnológicas disponibles. La posibilidad de interconectarse a través
de redes, ha abierto nuevos horizontes a las empresas para mejorar su productividad y
poder explorar más allá de las fronteras nacionales, lo cual, lógicamente, ha traído
consigo la aparición de nuevas amenazas para los sistemas de información. Estos riesgos
que se enfrentan, han llevado a que se desarrolle un documento de directrices que
orienten en el uso adecuado de estas destrezas tecnológicas, y recomendaciones para
obtener el mayor provecho de estas ventajas, evitando el uso indebido de las mismas, lo
cual puede ocasionar serios problemas a los bienes, servicios y operaciones de la
empresa.

En este sentido, las políticas de seguridad informática definidas partiendo desde el

análisis de los riesgos a los que se encuentra propensa la empresa, surgen como una
herramienta organizacional para concienciar a los colaboradores de la organización, sobre
la importancia y sensibilidad de la información y servicios críticos que permiten a la
empresa crecer y mantenerse competitiva. Ante esta situación, el proponer nuestra
política de seguridad requiere un alto compromiso con la organización, agudeza técnica
para establecer fallas y debilidades en su aplicación, y constancia para renovar y
actualizar dicha política en función del dinámico ambiente que rodea a la empresa.

5. POLÍTICAS DE SEGURIDAD INFORMÁTICA

Las políticas de seguridad informática de la empresa, se basan en las buenas prácticas

que se le pueden dar a los distintos sistemas informáticos de la misma, y a diferentes
mecanismos que existen para evitar posibles daños o catástrofes futuras, que puedan
afectar de una u otra manera la integridad y la confidencialidad de los datos o información
que esta contenga; por lo que la empresa ha decidido implementar las siguientes políticas
de seguridad informática, que serán ejecutadas y llevadas a cabo por cada uno de los
empleados que tengan acceso a información privilegiada, y que por su manipulación o
extravío puedan afectar los procesos que internamente lleva la empresa:

 Dentro del manual de políticas de seguridad informática de la empresa se evitarán

en lo posible los tecnicismos, que de alguna u otra manera puedan dificultar el
completo entendimiento de las normas

 Dentro del manual se harán ejemplos prácticos, que faciliten la comprensión del
mismo evitando confusiones o malos entendidos que puedan afectar la integridad
de la misma.

 Las políticas de seguridad serán generales, cumplidas por cada uno de los
empleados, pero se tendrá prioridad por aquellos que de forma directa o indirecta
tienen acceso a información privilegiada, por lo que se tendrá más rigurosidad con
estos.
  La protección de la información será el principal objetivo de estas políticas y todos
los procedimientos que se lleven a cabo tendrán como fin la seguridad de la
misma.

 Cumplir las normas es deber de todo empleado, no importa su rango en la

empresa, las normas los cobijan a todos, por lo tanto deben ser cumplidas en la
misma medida

 .No todos los sistemas tendrán los mismos niveles de seguridad, se le dará más
importancia a aquellos sistemas que sean transcendentales para la empresa y que
por la pérdida, extravío o alteración de la información que contengan puedan
causar costosos e irreparables daños dentro de esta.

 Los miembros de la empresa mediante el cumplimiento de las políticas de

seguridad, estarán en plena facultad para desarrollar el sentido de la
responsabilidad frente a la información a que tienen acceso.

 Será violación de las normas de seguridad, cualquier acto que permita que
externamente se penetre la red de la empresa, o conlleve a pérdida, alteración o
cualquier otra causa que pueda poner en peligro la confidencialidad de los
procesos que lleva internamente la empresa.

 Los miembros de la organización serán capacitados en seguridad informática

básica, esto les permitirá tener nociones acerca de cuáles son los riesgos que se
pueden correr al descuidar cierta información. La trascendencia de las PSI en la
organización conlleva a la concientización del personal, sobre el alto grado de
importancia y sensibilidad de la información y servicios, que le permiten a la
empresa un crecimiento positivo y una estabilidad óptima. Por lo tanto es
necesario, para implementar estas políticas, elaborar un plan que contenga los
siguientes puntos:

 Llevar a cabo un análisis de los riesgos informáticos, para luego realizar un
estimado del tipo y valor que representa, tanto la información como los activos de
la empresa, para de este modo ajustar las PSI a la naturaleza de la misma.

 Reunirse con los departamentos dueños de los recursos, ya que ellos poseen la
experiencia y son la principal fuente para establecer el alcance y definir las
violaciones a las políticas.

 Establecer un esquema de seguridad con la más debida claridad.

 Inculcar a todo el personal un sentido de pertenencia por todo lo que se encuentra

en la organización, asimismo enfatizar en adentrarlos en el proceso de seguridad y
a su vez que se vayan familiarizando con cada uno de los mecanismos
ejecutados, buscando que se trabaje en total armonía.
  Destacar que todos y cada uno de las personas que hacen parte de la
organización, automáticamente se convierten en interventores del sistema de
seguridad, con el debido manejo y manipulación del mismo; estos pueden realizar
sus respectivas opiniones y sugerencias, para una posible actualización o
modificación a las PSI previamente pactadas.

 Comunicar a todo el personal involucrado sobre el desarrollo de las políticas,

incluyendo los beneficios y riesgos relacionados con los recursos y bienes, y sus
elementos de seguridad.

 Identificar quién tiene la autoridad para tomar decisiones en cada departamento,

pues son ellos los interesados en salvaguardar los activos críticos de su área.

 Tener un monitoreo constante sobre las tareas ejecutadas, con el fin principal de
verificar posibles fallas y de qué manera pueden formularse alternativas que
conlleven al mejoramiento de las PSI.

6. ESTUDIO Y ANÁLISIS DE LOS RECURSOS INFORMÁTICOS ACTUALES

Para evaluar las posibles amenazas, causas y determinar las mejores políticas de
seguridad de la información, es necesario realizar un estudio previo de todos y cada uno
de los recursos tecnológicos y recursos humanos con que cuenta la empresa, de ésta
manera ejecutar el plan y los procedimientos para aplicar efectivamente las políticas de
seguridad informática en la empresa.

*Amenazas posibles:

-Físico:

 Robo de equipos informáticos.

 Incendio en las instalaciones.
 Fallas eléctricas en los equipos.

-Lógico:

 Robo de información.
 Virus Informáticos.
 Accesos no autorizados a los computadores y servidores.

Estas amenazas han hecho que las empresas creen documentos y normativas para
regular el nivel de seguridad de su estructura interna, protegiéndolas así de ataques
externos o de negligencia por parte de los propios empleados.
Hemos revisado las características generales de las PSI y los elementos implícitos en
cada observación, pero ¿tenemos un esquema de cómo formularlas o establecerlas?
Antes que nada, se debe hacer una evaluación de riesgos informáticos, para valorar los
elementos sobre los cuales serán aplicadas las PSI.

7. Elementos de análisis para la seguridad informática

Número Amenaza Consecuencias Ambiente Mecanismos Factor Humano

1 Ingreso de Robo de equipos Institución Vigilantes en la Descuido

personas no informáticos y de privada, institución
autorizadas a información dedicada a la
las ejecución de
instalaciones proyectos

2 Personas que Extracción de Institución Claves de Descuido

no información ajena, privada, seguridad de
corresponden ingreso de dedicada a la acceso al
al uso de información falsa ejecución de terminal
determinado proyectos
terminal

3 Virus Eliminación de Institución Antivirus No utilización y

informáticos información privada, actualización de
dedicada a la antivirus
ejecución de
proyectos

4 Compartición Eliminación, robo de Institución Compartición de Desconocimiento,

de recursos y información privada, recursos con personal confiado
carpetas en la dedicada a la restricciones
red ejecución de
proyectos

5 Compartir las Ingreso de Institución Asignar claves Personal confiado,

claves de personas ajenas al privada, de acceso único desconocen
acceso equipo, dedicada a la para cada consecuencias
personal manipulación de ejecución de usuario
datos proyectos

6 No existe No se evalúa, Institución Asignar las Descuido o falta de

responsable estudia y determina privada, funciones de la información de los
del área de procedimientos y dedicada a la Seguridad de la directivos y
seguridad gestión de la ejecución de Información a administradores de la
informática seguridad de la proyectos una o varias empresa
información personas

8. Análisis del sistema a proteger

En-core es una empresa dedicada a la investigación tecnológica para otras empresas del
país, por tal motivo la empresa utiliza tecnología de punta y su principal materia de trabajo
son los documentos, históricos y nuevos, generados por cada uno de los investigadores
de la compañía.
Al ser una empresa que se dedica a la investigación, esta debe de contratar consultores
externos constantemente para casos específicos, y también el personal interno debe de
hacer estudios de campo, por este motivo es importante que la información generada,
mantenga protegida y segura para evitar que caiga en manos de la competencia.

9. Valoración elementos de red

Recursos de la Importancia Severidad Riesgo evaluado

empresa Riesgo (Ri) de la
Número Nombre pérdida(Wi)
1 Servidores 5 6 30
DNS
2 Routeres 8 9 72
3 Firewall 8 8 64
4 Servidor VPN 8 8 64

5 Sistema ERP 10 10 100

6 Sistema de 10 10 100
backups
7 Base de 10 10 100
datos
8 Switches 8 9 72
9 Server Active 8 9 72
Direct
10 Server 10 10 100
Sharepoint
11 Sistema IDS 5 5 25

10. Tablas de acceso

-Nomenclaturas:

R= Permiso de lectura o consulta.

W= Permiso de escritura.
X= Permiso de ejecución o uso.
A= Permiso de acceso al panel administrativo de dispositivos, es igual a tener todos los
permisos sobre el recurso.
N= No tiene permisos.
 Recursos
Nombre del Impresoras Red ERP Router firewall Herramientas Active Sharepoint
grupo control de Directory
acceso
Gerencia X X R, N N R X R, W
W

Ventas X X R, N N N X R, W
W

Secretarias X X R N N N X R, W
Investigadores X X N N N N X R, W

Documentación X X N N N N X R, W
Sistemas A A A A A A A A

Consultores N X N N N N N R
externos

11. PROGRAMA DE SEGURIDAD Y PLAN DE ACCIÓN

Se sustentan principalmente en lo siguiente:

a. Las PSI tendrán una revisión periódica, se recomienda que sea semestral
para realizar actualizaciones, modificaciones y ajustes basados en las
recomendaciones y sugerencias de todo el personal.

b. Todo usuario nuevo debe aceptar las condiciones de confidencialidad, de

uso adecuado de los bienes informáticos y de la información.

c. Realizar seguimiento de los usuarios nuevos y los que se dan de baja en la

compañía.

d. Prevenir el acceso no autorizado a los equipos de cómputo.

e. Detectar actividades no autorizadas.

f. Los administradores de centro de operaciones de cómputo, llenarán los

formularios específicos para crear las listas de empleados de la empresa
con el fin de asignarle los derechos correspondientes, equipo de cómputo,
creación de usuario para la red (perfil de usuario en el Directorio Activo).
 g. Capacitación de seguridad informática, donde se den a conocer las
obligaciones para los usuarios y las sanciones en que pueden incurrir en
caso de incumplimiento.

h. Protección de la información y de los bienes informáticos.

i. Mantenimiento de equipos, encargado solo a un personal específico; los

usuarios deberán asegurarse de respaldar en copias de respaldo o
backups, la información que consideren relevante cuando el equipo sea
enviado a reparación, y borrar aquella información sensible que se
encuentre en el equipo, previendo así la pérdida involuntaria de
información, derivada del proceso de reparación.

j. Controles contra virus o software malicioso.

k. Planes de Contingencia ante Desastre.

l. Realizar registro y seguimiento de los eventos en el sistema.

12. MANUAL DE PROCEDIMIENTOS Y NORMATIVAS

Un procedimiento se define como una sucesión cronológica de operaciones concatenadas

entre sí, con el objetivo de obtener un fin o meta. Como nuestra meta es mantener la
seguridad de la organización, y mantener estable el algoritmo P-C, debemos contar con
una serie de procedimientos que nos permitan responder de manera apropiada a las
situaciones más comunes. Todos estos procedimientos se deben almacenar en
un “manual de procedimientos” que debe ser seguido al pie de la letra.

-Procedimiento para proveer programas de capacitación: Continua y efectiva para

crear cultura para trabajadores en la compañía y protección de la información. La
compañía debe contar con un programa para creación de la cultura en seguridad de la
información, a todos los trabajadores, para asegurar que sean continuamente informados
acerca de sus responsabilidades y de las posibles amenazas a la seguridad de la
información.

-Procedimiento de Cuentas: Se establece principalmente qué es una cuenta de usuario

de cómputo, de qué se compone, a qué tipo de usuario le es otorgada, la persona
encargada de asignar los roles, la creación de la misma y la comunicación. Nota: Las
cuentas son otorgadas a usuarios legítimos y deben estar conformadas por un nombre de
usuario y el respectivo password.

-Procedimiento de alta de cuenta de usuario: Este procedimiento se lleva a cabo para

cuando se requiere una cuenta de operación para cualquier usuario. Se debe llenar
entonces un formulario en el que existan datos como:
A. Nombre y apellido
B. Puesto de trabajo
C. Jefe que avala el pedido
D. Trabajos a realizar en el sistema
E. Tipo de cuenta
F. Fecha de caducidad
G. Permisos de trabajo.

-Procedimiento de baja de cuenta de usuario: Si un empleado de la organización se

debe retirar, sea parcial o totalmente de la organización, debe realizarse un formulario en
el que se indiquen, aparte de los datos del mismo, el tipo de alejamiento del usuario
(parcial o total) para saber si se inhabilita su cuenta totalmente, o de manera temporal.

-Procedimiento para la determinación de identificación del usuario y su grupo de

pertenencia por defecto: Cuando se crea un usuario en el sistema, se le debe dar una
identificación personal y al mismo tiempo, hacerlo parte de un grupo para que tenga
ciertos beneficios. Cuando el usuario va a cambiar de perfil o de grupo, se necesita
entonces un procedimiento que le indique a este los pasos para cambiar los derechos que
posee.

-Procedimiento para determinar los buenos passwords: Se debe tener un

procedimiento para indicarles a los usuarios cuales son las características de los
passwords que deben asignar a sus cuentas, como el número de caracteres, las
características de los caracteres usados, etc. Es conveniente usar un programa
crackeador (Crack) sobre el password del usuario para evaluar su seguridad.

-Procedimiento de verificación de accesos: Como generamos logísticos de diferentes

datos de los usuarios, estos logísticos deben ser auditados, para detectar anomalías en
cuanto al comportamiento de los mismos y generar reportes de dichas auditorías, todo
esto con el fin de verificar los accesos realizados por los usuarios de la organización a la
red.

-Procedimiento Uso Adecuado: Se especifica lo relativo a un uso adecuado o

inadecuado del sistema por parte de los usuarios, asimismo lo que está permitido y
prohibido dentro del mismo.

-Procedimiento para el monitoreo de conexiones activas: Con este procedimiento se

evita que el usuario deje su terminal abierta y que otro usuario pueda usarla de manera
mal intencionada. Lo que se hace es detectar el tiempo de inactividad de las conexiones,
y después de un determinado tiempo, se desactiva la conexión, y se genera un logístico
con el acontecimiento.

-Procedimiento para el monitoreo de los puertos en la red: Permite saber los puertos
habilitados en la red y si funcionan de acuerdo a lo esperado.

-Procedimiento para la verificación de las máquinas de los usuarios: Este

procedimiento permite el escaneo de las máquinas de los usuarios para la detección de
programas no autorizados, sin licencia o como fuente potencial de virus.
-Procedimiento para el chequeo de gráficos de la red: Generar gráficos del tráfico de
la red, para observar anomalías en la transferencia de información, el uso indebido de
programas, etc.

-Procedimiento para verificar el contenido descargado de internet: La finalidad de

este procedimiento, es verificar si el contenido que es descargado de internet por los
usuarios diariamente, corresponde a las labores que verdaderamente tienen que realizar y
garantizar que este contenido no se encuentre infectado por virus.

-Procedimiento para el chequeo de volúmenes de correo: Se usa para conocer los

volúmenes de tráfico en los correos electrónicos de los usuarios. Con esto, se permite
conocer el uso de los medios de comunicación, el spamming (ataque con correo basura),
entre otros datos referentes a la comunicación o transferencia de información confidencial
de la empresa.

-Procedimiento para el bloqueo de páginas web: Este procedimiento permite el

bloqueo de páginas web de entretenimiento público como Facebook, Twitter, Youtube,
etc.

-Procedimiento para realizar auditoría en cada dependencia: Procedimiento que nos

permitiría saber si algún empleado está realizando fraude, robo o estafa.

-Procedimiento para recuperar información: Un procedimiento sin duda muy

importante, permite reconstruir todo el sistema, o parte de él, a través de los backups
tomados periódicamente de la información.

-Procedimiento de respaldos: Detalla cuál es el tipo de información que debe

respaldarse, el lapso de tiempo, los medios para respaldar la información, el lugar donde
se deben almacenar los backups.

-Procedimiento para modificación de archivos: Es usado para detectar la modificación

no autorizada de archivos, la integridad de los mismos, y para generar un rastro de las
modificaciones realizadas.

-Procedimiento de autorizaciones para instalación de software licenciado o

libre: Cualquier software instalado en los sistemas de cómputo de la compañía, debe
tener una licencia válida, deberá ser almacenado en un lugar central (servidor) y no puede
ser copiado o duplicado, excepto si los términos o condiciones de uso de la licencia
explícitamente lo permiten. El uso de software libre deberá ser analizado dentro de los
procesos definidos y aprobados por el comité de Seguridad.

-Procedimiento de gestión de cambios tecnológicos: Cada adquisición o cambio

tecnológico debe asegurar el cumplimiento de la presente Política y sus respectivas
normas.

-Procedimiento para dar a conocer las nuevas normas de seguridad: Es muy

importante que todos los usuarios conozcan las nuevas medidas de seguridad adoptadas
por la empresa, por lo que se requiere un procedimiento que indique la manera en la que
esta será llevada a cabo. Esto evita la excusa de los usuarios de “no conocía las normas”.
Procedimiento de escaneo antivirus: La compañía debe contar con un proceso
controlado para realizar escaneos de información, semanales o mensuales, para
garantizar fiabilidad y destruir posibles troyanos que afecten el sistema.

*Procedimiento de veeduría externa de las PSI.

*Procedimiento para identificación del problema presentado.
*Procedimiento para la solución del problema presentado.
*Procedimiento para solicitud, recibo o cambio de dispositivos.
*Procedimiento para realizar mantenimiento a dispositivos.
*Procedimiento de mantenimiento preventivo.
*Procedimiento de mantenimiento correctivo.
*Procedimiento para la configuración de los dispositivos.
*Procedimiento de actualización mensual de las políticas, para implementarlas según los
cambios o reforzar las ya utilizadas.
*Procedimiento de publicación de eventos en la agenda de los usuarios, para que estos
estén enterados de los acontecimientos de la empresa.
*Procedimiento de asesoría para usuarios de Sistemas de Información.

13. Herramientas de control de acceso

-SATAN (Security Administrator Tool for Analyzing Networks): Con esta herramienta
se chequean las máquinas que están conectadas a la red, informando sobre el tipo de
máquina conectada, los servicios que presta cada una, además de detectar fallos de
seguridad. La lectura de sus datos es sencilla, a través de un navegador.
Califica los fallos encontrados en la máquina como baja, media o altamente insegura,
generando un registro de esos fallos con una breve explicación e información (si se
puede) sobre una posible solución. Con la información obtenida de todas las máquinas
registradas genera una base de datos.

-Courtney: SATAN es muy buena herramienta para detectar topologías de redes por lo
que se necesita otra que detecte a SATAN; con esta la detectamos a partir de información
pasada por el programa TcpDump. Al detectar un continuo chequeo de puertos en un
lapso corto de tiempo, el programa genera un aviso.

-NetLog: Hay ataques a una red que pueden pasar desapercibidos por su extremada
velocidad; esta vulnerabilidad se puede corregir con este programa que en realidad es
una serie de programas que trabajan conjuntamente, generando trazas de los paquetes
que se mueven en la red, sobre todo los sospechosos que indican un posible ataque a la
red. Al igual que el Argus, el Netlog también permite filtrar contenidos y ver solo los de
interés.

-Nocol (Network Operations Center On-Line): Esta herramienta, está hecha de diversos
paquetes para monitorear redes. Recopila, analiza, agrupa y le asigna niveles de
gravedad a la información (info, warning, error, crítical), siendo manejada cada gravedad
por distintos agentes, para filtrarla y analizar la que nos interesa.

-ISS (Internet Security Scanner): Con esta herramienta chequeamos el nivel de

seguridad de una máquina evaluando servicios y direcciones IP; también se ven los
puertos que usan el protocolo TCP de la máquina analizada. Así mismo transferimos
 archivos de contraseñas por la red, creando un registro de la máquina que posee tal
contraseña con su dirección IP.

14. Herramientas para la integridad del sistema

-COPS (Computer Oracle and Password System): Con este programa chequeamos
aspectos de seguridad relacionados al sistema operativo UNIX; por ejemplo permisos a
determinados archivos, chequeo de passwords débiles, permisos de escritura y lectura
sobre elementos importantes de la configuración de red, entre otras funcionalidades.

-Tiger: Parecido al COPS. Chequea la seguridad del sistema para detectar problemas y
vulnerabilidades, elementos como:

 Configuración general del sistema

 Sistema de archivos
 Caminos de búsqueda generados
 Alias y cuentas de usuarios
 Configuraciones de usuarios
 Chequeo de servicios
 Comprobación de archivos binarios

La información que se recoge se almacena en un archivo, que luego se analiza con una
herramienta que permite explicar los elementos del archivo. También se puede
seleccionar el tipo de chequeo del sistema.

-Crack: Nos sirve para “forzar” las contraseñas de los usuarios midiendo el grado de
complejidad de estas. Así se genera un diccionario y reglas que ayudan a crear
passwords comunes. Como se está usando para chequear la seguridad del sistema, le
proveemos el archivo de passwords y el programa lo barre detectando las contraseñas
débiles y vulnerables, tratando de deducir contraseñas del archivo cifrado de nuestro
sistema.
Es necesario el barrido periódico del programa “Crack” sobre nuestro sistema, para así
notificar a los dueños de las respectivas contraseñas sobre la necesidad de cambiarlas y
aumentar la seguridad en caso de ser víctimas de un ataque con un craqueador.

-Tripwire: Su función principal es la de detectar cualquier cambio o modificación en el

sistema de archivos, como modificaciones no autorizadas o alteraciones maliciosas de
algunos softwares.
El programa genera una base de datos en la que genera una “firma” o archivo
identificador por cada elemento en el sistema de archivos. La firma guarda información
relevante como el nombre del propietario del archivo, última fecha de modificación, última
fecha de acceso, etc. Esta base de datos de firmas, se compara a voluntad con una
nueva base de datos para detectar las modificaciones en los archivos del sistema.
Es útil esta base de datos, para hacer comparaciones periódicas y así detectar cambios, y
que esta sea actualizada cada vez que se ingresa un elemento nuevo al sistema de
manera autorizada.

-Cpm (Check Promiscuous Mode): ¿Qué es el modo promiscuo? En una red el modo
promiscuo se define como aquel en que una máquina, o conjunto de máquinas, se
encuentran “escuchando” todo el tráfico de la red.
Aunque es importante tener máquinas en modo promiscuo para correr archivos de
protección de la red, así mismo funcionan los olfateadores o “sniffers”, que podemos
detectar con el Cpm; por eso es necesario correr el Cpm en nuestro sistema para cazar
olfateadores que puedan estar recogiendo información de las contraseñas de la red.

-Trinux: Es un conjunto de herramientas para monitorear redes con el protocolo TCP-

IP. Es usada directamente desde el dispositivo de almacenamiento en que se encuentra,
corriendo enteramente en la memoria RAM del computador

Con este paquete de aplicaciones se controla el tráfico de mails, herramientas básicas de

redes, detector de sniffers, y herramientas de seguridad para los servidores de nuestra
organización.

15. PLAN DE ACCION

-Recursos Humanos:

-Funciones de cada personal, para determinar sus permisos.

-Recursos Técnico:

Ser Servidores, Modem, Switches, estaciones de trabajo, routers, conectores y cables,

etc. Con esto se determina dónde van ubicados y el nivel de seguridad tanto física como
lógica se le debe de implementar.

-Recursos Lógicos: Backup.

-Plan de contingencia:

Pasos a seguir para cualquier emergencia o eventualidad en el sistema o en la

organización o externa o interna.

-Supervisión.

-Plan de contingencias informáticas

La Administración de Informática creará para los departamentos un plan de contingencias

informáticas que incluya al menos los siguientes puntos:

1. Continuar con la operación del área con procedimientos informáticos alternos.

2. Tener los respaldos de información en un lugar seguro, fuera del lugar en el que se
encuentran los equipos.

3. Tener el apoyo por medios magnéticos o en forma documental, de las operaciones

necesarias para reconstruir los archivos dañados.

4. Contar con un instructivo de operación para la detección de posibles fallas, para que
toda acción correctiva se efectúe con la mínima degradación
 5. Contar con un directorio del personal interno y del personal externo de soporte, al cual
se pueda recurrir en el momento en que se detecte cualquier anomalía.

6. Ejecutar pruebas de la funcionalidad del plan.

7. Mantener revisiones del plan a fin de efectuar las actualizaciones respectivas.

La seguridad en la organización debe de estar celosamente reguardados y protegidos por

todo los miembros de la misma organización obedeciendo las normas y ajustándose a
este manual de procedimiento se podrá cumplir con las exigencias que se piden. La
seguridad es un asunto de todos por lo tanto todo empleado en la empresa debe de
conocer el manual para que no incurra en la ignorancia y perjudique el sistema y se
perjudique la persona. Este manual garantiza cuidado físico y lógico a cada equipo, ya
que entiende que se costoso la adquisición de cualquier equipo, además de que la
información de nuestra empresa estará contenida en ellas, así que es sumamente
importante su permanente cuidado y supervisión.