1 Redes y seguridad

Proyecto Final


Proyecto Final

Recomendaciones para presentar la Actividad:
Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars
Proyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre NELSON HORACIO JIMENEZ CARANTON
Fecha JUNIO 2-2014
Actividad PROYECTO FINAL
Tema Proyecto_Final_CRS

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas
para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta
magna de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio
previo que se hizo para establecer la base del sistema de seguridad, el programa de
seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos
de la red, los formatos de informes presentados a la gerencia para establecer el sistema de
seguridad, los procedimientos escogidos para la red, as como las herramientas, y el
desarrollo de cada procedimiento en forma algortmica (agregue todo lo que considere
necesario). Recuerde que el manual de procedimientos es un proceso dinmico, por lo que
debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso
de que sea necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la capacidad que tiene,
como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de
presentacin para cualquier empleo en el que se le exija experiencia.




2 Redes y seguridad
Proyecto Final



INTRODUCCIN


INVERSIONES AJOVECO, se caracteriza por darle vital importancia, a la
coordinacin de esfuerzos en pro de asegurar un ptimo entorno informtico
mediante la implementacin de polticas de seguridad informtica (PSI) para el
completo desarrollo de las actividades econmicas de la compaa, en lo
referente la prestacin de servicios informticos de investigacin tecnolgica.


A continuacin se presenta el siguiente manual instructivo acerca de normas y
polticas de seguridad informtica. Con esto se pretende establecer reglas,
normas, controles y procedimientos que sirven de regulacin para prevenir,
proteger y mantener los ndices de riesgos informticos que atacan
continuamente las redes de comunicacin de cualquier empresa lo ms bajo
posibles.


Estas normas y polticas no se consideran absolutas ni finales, por lo que se
espera una continua retroalimentacin con todos los empleados y sus saberes,
para mejora continua de las mismas, por el bien de la seguridad de la informacin
de la empresa, seremos todos auditores del diseo de este plan de proteccin
informtica.



















3 Redes y seguridad
Proyecto Final



OBJETIVOS

Desarrollar un sistema que permita proteger la informacin confidencial de una
compaa, utilizando Psi adecuadas.
Orientar a los empleados, sobre el uso adecuado de los recursos del sistema y
as evitar posibles fallas que comprometan la seguridad de los datos.
Interactuar con las polticas de seguridad, para que estas mismas tengan un
buen manejo dentro de la organizacin.
Proponer estrategias que ayuden a proteger el sistema contra posibles ataques.





























4 Redes y seguridad
Proyecto Final

PRESENTACIN TERICA
Para el correcto funcionamiento y aseguramiento de nuestra informacin de
nuestra empresa, la topologa ms recomendada y que actualmente tenemos es
la estrella, la cual explicaremos en detalle apoyndonos con la figura:



Topologa en estrella: Un computador central recibe las conexiones de todos los
otros computadores que lo rodean, de manera que todo el trfico (el trfico se
define como el paso de datos por los medios de conexin) de la red es escuchado
por el computador central.
Esto quiere decir que se tiene un equipo el cual es la central donde se maneja
toda la red de un edificio, en el caso particular la organizacin.
Capas del Modelo OSI que pueden resultar afectadas en caso de ataque.
Si bien todas las capas del Modelo OSI son claves para la comunicacin entre
uno o ms puntos a travs de la red es importante destacar dos niveles que
constituyen la parte vital en la comunicacin: Nivel de Red, Nivel de transporte.
Nivel de red: Es el encargado de que los datos lleguen desde el origen especfico
hasta el destino apropiado.

5 Redes y seguridad
Proyecto Final

Nivel de Transporte: Es uno de los niveles ms importantes del modelo OSI, ya
que define el esquema en el que dos equipos establecen contacto y
comunicacin.


















ESTUDIO PREVIO

PROBLEMAS PERCIBIDOS


6 Redes y seguridad
Proyecto Final

A continuacin se presentan los problemas encontrados por parte del gestor de
seguridad informtica para la implementacin de las PSI:

Dificultad en asignacin de recursos monetarios en la implantacin de
polticas de seguridad en redes, debido a que no generan productividad en
la organizacin.
Inseguridad con el robo de informacin de usuarios (tarjeta de crdito,
contraseas, etc.), para transacciones bancarias y compras en lnea;
llevado a cabo por personas inescrupulosas con alto conocimiento en
informtica (Hackers).
Alta vulnerabilidad de los equipos de cmputo, ante virus, spam, entre
otros, debido a la falta de conocimiento de los usuarios, acerca de software
especializado (Antivirus, antispam, etc.).
Bajo nivel de conocimiento en ofimtica por parte del personal de la
empresa ajeno al departamento de informtica.
Diferencias de conceptos entre el departamento administrativo y el de
informtica









PROGRAMA DE SEGURIDAD

Al hablares de las PSI es necesario que entiendan algo: No generan un sistema
ms ptimo, ni ms rpido, ni ms eficiente a la hora de procesar informacin

7 Redes y seguridad
Proyecto Final

Pues la virtud y prioridad de las PSI es proteger la informacin de nuestra
empresa, es decir, lograr darle menos cabida a los delitos informticos como por
ejemplo robo de informacin confidencial, para lograr esto se cuenta con
herramientas que en un ambiente real funcionaran as: el usuario se ver
obligado a Loguearse en una mquina y ste ser responsable de lo que ocurra
en ella, pues con software especializado se podr verificar el historia pblico (se
puede configurara para que lo persona no se almacene, que no debera ser as
pues las maquinas o pcs de la empresa son solo para trabajar en los inters de
nuestra empresa y no para cosas de ndole personal) de las actividades del
usuario.
En cuestin de productividad ser mucho mejor, pues tendr un fuerte control
sobre la red y se definir en ella polticas de acceso a cierta informacin,
aplicaciones, recursos y en cuestin de navegacin en la web podr filtrar Spam,
virus, entre otras.
Un pilar importante para nuestra empresa son los datos y la salud electrnica de
ellos, por eso tener control sobre cada mquina que hay conectada en la red,
concientizar a los usuarios sobre la importancia de las PSI y hacerles ver el valor
de estas, har del personal que conforma nuestra en definitiva una variable
menos peligrosa y har ms resistente la seguridad informtica.

Para tomar un ejemplo se trata de que un empleado trabaje rpido y le entregue
al jefe el reporte de inmediato, es saber que ese reporte no ir a otro lugar, que
slo quin tendr acceso a l ser usted como jefe.

El robo, prdida y/o manipulacin mal intencionada de informacin puede hacer
perder mucho dinero a una empresa si no cuenta con las PSI adecuadas,
seremos blanco fcil de ataques tanto a nivel local como a nivel externo.

Para dar paso a la aplicacin del manual de procedimientos, inicialmente
debemos sentar unas ptimas bases en la empresa, para implantar la normativa
necesaria.

Con lo anterior se espera poder asegurar un umbral de seguridad lo
suficientemente eficaz, para lograr un buen entorno para la aplicacin de las PSI.

PLAN DE ACCIN


De acuerdo al Plan de Sistemas de Informtica cuyo principal objetivo es velar por
mantener los ndices de vulnerabilidad contra ataques de cualquier ndole hacia la
informacin de nuestra empresa, se hace necesario generar un PSI ceido a lo
que somos como empresa por eso nuestro Plan de Sistemas de Informacin

8 Redes y seguridad
Proyecto Final

estar planteado sobre varios tems todos muy importantes en pro de nuestro
desarrollo estratgico empresarial:

a- Anlisis descriptivo en el campo tcnico de nuestro entorno actual para definir
puntos dbiles y fuertes

b-con ayuda de un software como Project crear un calendario con diferentes
proyectos y/o modelos a seguir para ir llevando a cabo la disminucin de nuestra
vulnerabilidad, cabe decir que se hace necesario ponderar c/u de estos proyectos
y asi darle valor numrico a nuestras prioridades

c-determinar el recurso que se habr que disponer y asignar para llevar a cabo las
estrategias y/o proyectos antes desarrollados (punto b)

d- dentro de nuestra agenda de proyectos se ha de manejar una agenda paralela
que nos sirva de interventora para analizar el buen desarrollo de c/u de los
objetivos de en nuestros proyectos

e- Capacitacin al personal de la empresa en herramientas ofimticas.

f- Crear una cuenta para cada usuario que tenga acceso al sistema y crear
contraseas basado en polticas de seguridad que hagan difcil el hackeo de estas
con lo cual se impedir que se pueda acceder al sistema de manera no autorizada
y daar al sistema, cada usuario estar definido por un perfil de acuerdo a sus
necesidades y tareas realizadas en el sistema contando solo con los recursos
necesarios para la labor asignada.
g- Implementar una base de datos de usuario, esto permite realizar seguimiento y
control.
h- El acceso a internet se permitir al personal que lo necesite este ser de uso
laboral y no personal, con el fin de no saturar el ancho de banda
i- No se descargara informacin en archivos adjuntos de dudosa procedencia,
esto para evitar el ingreso de virus al equipo
j-en la medida de lo posible evitar enviar archivos de gran tamao a compaeros
de oficina, esto ocupa mucho espacio en la banda
k- El acceso a las cuentas personales no debe hacerse en jornadas laborales ni
en los equipo de la empresa.

9 Redes y seguridad
Proyecto Final

l- A la informacin vital se le realizara una copia de seguridad todos los fines de
semana, con el fin de proteger, tener respaldo de los datos y el buen manejo de la
red.

m- Los usuarios no pueden instalar, suprimir o modificar el software entregado en
su computador

n-Los equipos, escner, impresoras, lectoras y equipos de comunicacin no
podrn ser trasladados del sitio que se les asign inicialmente, sin previa
autorizacin del departamento de sistemas o seguridad

o- A los equipos personales no se les brindar soporte de ninguna ndole: ni de
hardware ni de software, porque son responsabilidad del dueo.

q- La direccin IP asignada a cada equipo debe ser conservada y no se debe
cambiar sin la autorizacin del departamento de Sistemas porque esto
ocasionara conflictos y esto alterara el flujo de la red

r- Es estrictamente obligatorio, informar oportunamente al departamento de
sistemas las novedades por problemas elctricos, tcnicos, de planta fsica, etc.
que altere la correcta funcionalidad del sistema.

Nuestro Plan de Sistemas de Informacin se llevara a cabo contando para eso
con el apoyo directo de todos y cada uno de los departamentos de nuestra
empresa cada uno recibir capacitacin y plan de responsabilidades














GRUPOS DE ACCESO


10 Redes y seguridad
Proyecto Final

Para la definicin de los grupos de empleados y usuarios, se considera los
siguientes cargos dentro de la empresa:


Administradores de redes
Personal de mantenimiento de hardware y software
Gestin de seguridad informtica
Gerencia general y personal de trabajo.
Terceros o clientes de la empresa, a los cuales debe prestarse atencin y
asistencia a sus inquietudes.

La jerarquizacin del acceso, manejo y administracin del sistema y recursos
informticos se da en base al dominio acadmico, es decir usuarios con mayor
conocimiento, que en este caso, son los administradores de las redes. Ellos
tienen acceso total a los recursos del servidor y toda la informacin digital de la
empresa.

Para los empleados encargados de la parte administrativa de la empresa, se hace
uso de un recurso en el espacio virtual creado para este departamento (Base de
datos Administracin).

El resto de empleados tiene un entorno virtual para el desarrollo de sus labores
(Base de datos empleados).

Los empleados encargados del mantenimiento de las redes, equipos
computacionales y de comunicaciones tienen un recurso virtual con el que tienen
acceso a ms recursos que los empleados normales, esto se hace con el fin de
posibilitar un eficaz mantenimiento de las redes de comunicacin en la empresa.

El encargado de la gestin de seguridad tambin tiene acceso a ms recursos
que los empleados normales, pero no a todos, como es el caso de la informacin
privada de la empresa.

A continuacin se presentan la distribucin de los accesos a la red, segn el
cargo ocupado en la empresa.







NOMBRE GRUPO DE
USUARIOS
TIPO DE
ACCESO
PERMISOS
PRIVILEGIOS
Base de Datos Administracin Local Solo Lectura

11 Redes y seguridad
Proyecto Final

Base de Datos Clientes, y
usuarios
generales
Local Solo Lectura
Acceso a
Internet
Usuario Local Solo Lectura
Servidor Pagina
Web
Tcnicos en
mtto de
sistemas y
comunicaciones
Local Accesos de
lectura y
escritura, a todos
los recursos del
servidor de la
empresa

Acceso a
Servidor, Router
y Swith
Administradores
de red
Local y Remoto Lectura y
Escritura
Acceso a
Equipos
Tcnicos en
mtto de
sistemas y
comunicaciones
Local Todos






















VALORACIN DE LOS ELEMENTOS DE LA RED


12 Redes y seguridad
Proyecto Final


Dada la actividad fundamental de nuestra empresa se hace necesario dar una
ponderacin a las actividades, procesos que tcnicamente podran genera
riesgos, dicha ponderacin se definir por nmero que irn de 1 a 10 donde 1 es
bajo riesgo y 10 alto riesgo
12 RIESGO
(R)
IMPORTANCIA
(W)
RIESGO
EVALUADO
(RXW)
DETALLE

Servidor
Web Base
de Datos
10 10 100 Servidor fsico
que dentro de
su hardware
tiene instalado
vm esxi 5.0
una plataforma
virtual donde
reposa el
servidor,
corazn de
nuestro
funcionamiento
empresarial
Database
oracle
10 10 100 Si el servidor
es el corazn,
la databse es
el cerebro de
nuestra
empresa aqu
no solo estn
las imgenes
medicas si no
tambin los
datos clnicos
de todos los
pacientes
Swith 3 6 18 Aunque no es
un equipo
relativamente
no muy
relevante,
pues al
momento de
fallar se podra
cambiar por
otro sin tantos

13 Redes y seguridad
Proyecto Final

inconvenientes
de
configuracion.
Estaciones
de trabajo
7 3 21 Son las
estacione de
lectura donde
todos los
usuario
(mdicos
enfermeras,
etc) pueden
ver las
imgenes
mdicas de los
pacientes
Router 6 7 42 Equipo
fundamental
para permitir la
interconexin
satisfactoria
entre las
diferentes
redes que por
seguridad se
han
configurado en
la empresa


Se puede observar de la anterior tabla, que el recurso que demanda mayor
proteccin, es el servidor y la base de datos, del cual depende el funcionamiento
ptimo de la empresa

se puede concluir que la consideracin del riesgo de los equipos nombrados
anteriormente es muy importante. Por lo que se hace necesario el mantenimiento
planificado, preventivo y correctivo de estos equipos por parte de los tcnicos de
mantenimiento de las sedes de la empresa.





INFORMES PRESENTADOS A LA GERENCIA



14 Redes y seguridad
Proyecto Final

Para la realizacin del plan de presentacin de las PSI a los miembros de la
gerencia de la organizacin, se hace uso de diapositivas, y un informe detallado
sobre el desarrollo y funcionalidad de las PSI

Con la presentacin se intenta que cada uno de los miembros de la empresa logre
una visin conjunta de la importancia de las PSI en nuestra empresa, esto con el
fin de evitar discusiones y mal entendidos entra la junta administrativa y el gestor
de seguridad informtica.

El tema preponderante en la presentacin, se basar en la explicacin ms clara
posible de los siguientes elementos:


Campo de accin de las polticas, aqu se incluyen los sistemas y el
personal sobre los cuales se aplica las PSI.
Objetivos de las PSI y descripcin de la definicin de los elementos
involucrados.
Responsabilidades de los servicios y recursos informticos.
Requerimientos mnimos para la implementacin de las PSI.
Definicin de las violaciones y consecuencias al no cumplimiento de las
PSI.
Responsabilidades de los usuarios con respecto a la informacin de la
empresa y el buen uso de esta.

Se espera finalmente que los miembros de la organizacin queden absolutamente
convencidos de la importancia de las PSI, as como de los recursos y servicios
que estas abarcan. Se pretende adems satisfacer las expectativas de la
organizacin para posibilitar un continuo proceso de actualizacin de las mismas.













PASOS DE COMUNICACIN DE LAS PSI



15 Redes y seguridad
Proyecto Final

Establecer e implementar un esquema de seguridad informtica bajo el
control y supervisin paralela de la gerencia general y el gestor de
seguridad.
Dotar de la informacin necesaria a los usuarios, empleados y gerentes
nuestra empresa, acerca de las normas y mecanismos que han de
cumplirse para la proteccin de la informacin perteneciente a la empresa.
Posibilitar el total compromiso de todo el personal en este proceso de
seguridad informtica, mediante sanciones y beneficios.
Capacitacin y entrenamientos peridicos a empleados, acerca de los
temas concernientes a la seguridad informtica mediante grupos de
trabajo.
Recibir aportes de los empleados, para el desarrollo e innovacin de las
polticas de seguridad (auto-auditoria interna).
Comunicacin permanente con los empleados sobre posibles cambios o
modificaciones en las normas de seguridad.

PROCEDIMIENTOS PARA LA COMUNICACIN DE LAS PSI


Creacin de un espacio virtual en la plataforma para la comunicacin de
todas las polticas de seguridad informtica implantadas en la empresa.
Creacin de un buzn virtual de sugerencias, con el fin de mejorar
constantemente los recursos, servicios y normas de las PSI. (auto-auditoria
interna).
Informacin constante en la pgina, sobre los cambios que se realicen a
las PSI















USO DE DEMONIOS EN LA RED



16 Redes y seguridad
Proyecto Final

La utilidad de los demonios en la red, radica en la ejecucin de procesos y
servicios de manera silenciosa, adems de la no existencia de interfaz grfica de
comunicacin con el usuario y que no permiten la interaccin directa con este.
Esto permite que sean ptimos para realizar la instalacin de estos en la
empresa.

Se considera la instalacin de los siguientes demonios:

TELNET: Es un demonio que permite a los usuarios tener acceso de terminal a un
sistema (Ser clientes del mismo). A travs del demonio telnet, se crea una
conexin entre cliente y servidor que sirve para transferir informacin, solo que el
login y el password para acceder al sistema es hecho automticamente por el
demonio. Este demonio tiene el inconveniente de que un cracker pueda intervenir
el programa y obtener nombres de usuario y contraseas, por lo cual se necesita
hacer uso de un programa que encripte las contraseas.

ARGUS: Es una herramienta de dominio pblico, se ejecuta como un demonio y
permite auditar el trfico IP que se produce en nuestra red, mostrndonos todas
las conexiones del tipo indicado que descubre.


HERRAMIENTAS PARA CONTROL DE ACCESO

Las herramientas que se consideran necesarias para nuestro uso dentro de la
empresa mediante la red de datos, se mencionan a continuacin:

NETLOG
Registra las conexiones que se llevan a cabo cada milisegundo (ms).
Corrige ataques SATAN o ISS.
Genera Trazas de los paquetes movidos en la red.
Se compone de 5 subprogramas:

TCPLogger: Genera Trazas sobre todos los paquetes que usan protocolo
TCP.
UDPLogger: Genera Trazas sobre todos los paquetes que usan protocolo
UDP.
ICMPLogger: Genera Trazas de las conexiones basadas en ICMP.
Etherscan: Monitorea el uso de otros protocolos con actividad inusual, e
indica los archivos que han sido modificados.
Nstat: Detecta cambios en los patrones de uso de la red, y brinda
informacin sobre ciertos periodos de tiempo, adems de la posibilidad de
graficar determinados datos.

GABRIEL

17 Redes y seguridad
Proyecto Final

Detecta ataques tipo SATAN.
Genera alertas va e-mail u otro medio en el servidor.

COURTNEY
Detecta ataques tipo SATAN.
Genera informacin procesada mediante TCPDump.

NOCOL (NETWORK OPERATIONS CENTER ON-LINE)

Paquete que contiene diversos programas para monitorear la red de una
organizacin.
Recopila, analiza informacin para luego agruparla en eventos y asignar
una gravedad (info, warning, error, critical).
Maneja distintas herramientas para el manejo de los distintos eventos.


HERRAMIENTAS PARA CHEQUEO DE LA INTEGRIDAD DEL SISTEMA

Dentro de las herramientas ms especficas y que se cien a las caractersticas
de nuestro entorno informtico dentro de la empresa y que se sugiere utilizar se
encuentran las siguientes:

COPS

Chequea aspectos de seguridad relacionados con el sistema operativo
UNIX.
Permisos de archivos.
Permisos de passwords dbiles.
Chequeo de escritura y lectura sobre elementos de la configuracin de red.

TIGER

Chequea elementos de seguridad del sistema para detectar problemas y
vulnerabilidades.
Configuracin general del sistema.
Sistema de archivos.
Caminos de bsqueda generados.
Alias y cuentas de usuarios.
Configuraciones de usuarios.
Chequeo de servicio.
Comprobacin de archivos binarios.

CRACK


18 Redes y seguridad
Proyecto Final

Herramienta vital en el sistema.
Permite forzar las contraseas de los usuarios.
Los passwords de nuestro sistema siempre estarn encriptados y nunca se
los podr desencriptar.
Detecta las contraseas ms dbiles y ms vulnerables.

TRIPWIRE

Herramienta vital en el sistema.
Detecta cambios y modificaciones.
Genera una base de datos en que se genera una firma o archivo
identificador por cada elemento en el sistema de archivos.
Se almacena informacin con relevante de los usuarios.

OSH (OPERATOR SHELL)

Permite indicar al administrador de red, cuales son los comandos que
pueden ejecutar los usuarios de la red o redes.
Genera un archivo de permisos con los nombres de los usuarios y las listas
de comandos que cada uno de ellos puede usar.
Se usa para otorgar permisos de uso de comandos a grupos de usuarios y
usuarios especiales.

















ORGANIZACIN DE LA SEGURIDAD INFORMATICA



19 Redes y seguridad
Proyecto Final

Gerencia: Autoridad de nivel superior, la cual a partir de su administracin est la
aceptacin y seguimiento de las polticas y normativas de seguridad a
implementar.

Responsable de activos: Personal del departamento administrativo, que velar
por la seguridad y correcto funcionamiento de los activos informticos y la
informacin de la empresa.

Gestor de seguridad: Encargado de velar por la seguridad de la informacin,
realizacin de auditoras de seguridad, elaboracin de documentos con polticas y
normas de seguridad y llevar un control referente a los servicios prestados y
niveles de seguridad.

Administrador de red: Encargado de la seguridad y correcto funcionamiento de
los activos informticos, as como de la informacin procesada en stos, dentro
de las respectivas reas o niveles de mando.

Personal de mantenimiento: Encargado de la realizacin de mantenimiento
preventivo y correctivo de los dispositivos empleados para la implementacin de
las redes de comunicacin de la empresa.






















NORMAS Y POLITICAS DE SEGURIDAD INFORMTICA



20 Redes y seguridad
Proyecto Final

PROGRAMA DE SEGURIDAD Y PLAN DE ACCION

Para proteger y contrarrestar lo vulnerables que podemos ser ante un ataque de
cualquier tipo a las PSI se propone lo siguiente:

Procedimiento para determinar buenas contraseas :utilizar polticas
de seguridad para la creacin de dichas contraseas con la utlizacion
obligatoria de textos alfanumricos caracteres aumentando asi el nivel de
dificultad en caso de querer hackear cuentas
Procedimiento de baja d cuenta de usuario :se llevara a cabo cuando
un usuario deja de pertenecer a la empresa o es desvinculado
temporalmente
Procedimiento de alta cuenta de usuarios: se llevara a cabo cuando se
crea una cuenta de usuario teniendo en cuenta datos personales, cargo y
funciones a realizar.
Procedimiento de actualizacin de normas: de acuerdo a las bitcoras
virtuales tomadas a partir de la activad diaria de nuestro sistema podemos
fortalecer nuestras polticas de seguridad a partir de los ataques
encontradas en dichos archivos
Procedimiento Monitorio de conexiones activas
Procedimientos para el resguardo de copias de seguridad
Procedimientos para la determinacin de identificacin de usuario y grupo
de pertenencia por defecto
Procedimiento para verificar el trfico de la red.
Procedimiento para determinar cumplimiento de polticas de cumplimiento
cuando se crean las contraseas
Mantenimiento:
1. El mantenimiento de las aplicaciones y software de sistemas es de
exclusiva responsabilidad del personal de mantenimiento informtica.
2. El cambio de archivos de sistema, no ser permitido, sin una justificacin
aceptable y verificable por el gestor de seguridad.
3. Realizar un mantenimiento planificado de todos los equipos
computacionales y de comunicaciones.
4. Procurar realizar un mantenimiento preventivo a todos los equipos, en
especial a los que conllevan un riesgo mayor (Servidores, Ruteadores,
entre otros).
5. En caso del dao de algn equipo, realizar su correspondiente
mantenimiento correctivo.
6. Manejo de fichas tcnicas, correspondientes a todo tipo de
mantenimiento realizado en la empresa.
7. Se llevar un registro global del mantenimiento efectuado sobre
hardware y software de la empresa.
SEGURIDAD FSICA

Seguridad de los equipos

21 Redes y seguridad
Proyecto Final


1. El cableado de red, se instalar fsicamente separado de cualquier otro tipo de
cables, para evitar interferencias.
2. Los servidores, con problemas de hardware, debern ser reparados localmente
por el departamento de soporte tcnico.
3. Los equipos computacionales y de comunicaciones (redes), debern ubicarse
en reas aisladas y seguras, protegidas con un nivel de seguridad verificable y
manejable por el gestor de seguridad, soporte tcnico y mantenimiento y
administrador de redes, quienes debern poseer su debida identificacin.

Controles generales

1. Las estaciones o terminales de trabajo, con procesamientos crticos no deben
de contar con medios de almacenamientos extrables, ya que facilitar el robo o
manipulacin de la informacin por terceros o personal ajeno a la empresa.
2. Toda rea de trabajo debe poseer entre sus inventarios, herramientas
auxiliares (extintores, alarmas contra incendios, lmparas de emergencia),
necesarias para salvaguardar los recursos tecnolgicos y la informacin.
3. La sala de servidores, deber estar separada de las oficinas administrativas,
mediante una divisin en la unidad de informtica, recubierta de material aislante
o protegido contra el fuego.
4. El suministro de energa elctrica debe hacerse a travs de un circuito
exclusivo para los equipos de cmputo, o en su defecto el circuito que se utilice
no debe tener conectados equipos que demanden una enorme potencia.
5. Las instalaciones de las reas de trabajo deben contar con una adecuada
instalacin elctrica, y proveer del suministro de energa mediante una estacin
de alimentacin ininterrumpida o UPS para poder proteger la informacin en caso
de desconexin elctrica.













SEGURIDAD LEGAL

Cumplimiento de requisitos legales

22 Redes y seguridad
Proyecto Final


1. Todo el software a utilizar deber estar legalmente registrado con sus
respectivas licencias.
2. El software comercial licenciado nuestra compaa , ser propiedad exclusiva
de la empresa, la cual se reserva los derechos de reproduccin de este sin contar
con el previo permiso de sus autores.
3. En caso de la existencia de transferencia de software a terceros, se realizaran
las respectivas gestiones necesarias para su efecto.
4. El software desarrollado internamente, por el personal nuestra empresa es de
propiedad exclusiva de la empresa.
5. Los contratos con terceros, en la gestin o prestacin de un servicio, debern
especificar, las medidas necesarias de seguridad, nivel de prestacin del servicio,
y personal involucrado en tal proceso.

Revisin de polticas de seguridad

1. Toda violacin a polticas de licenciamiento de software, ser motivo de
sanciones, suspensiones y despidos aplicables al personal que incurra en la
violacin.

Auditorias de sistemas

1. Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red
semestralmente, enmarcada en pruebas de acceso tanto internas como externas,
desarrolladas por el personal tcnico.
2. Toda auditoria estar debidamente aprobada por la gerencia general.
3. La auditora no deber modificar en ningn momento el sistema de archivos de
los sistemas implicados.
4. En caso de haber necesidad de modificar algunos, se deber hacer un respaldo
formal del sistema o sus archivos.











BENEFICIOS DE IMPLANTAR POLITICAS DE SEGURIDAD INFORMATICA



23 Redes y seguridad
Proyecto Final

Los beneficios de la aplicacin de PSI a considerar sern inmediatos, al posibilitar
que nuestra empresa, trabaje sobre una plataforma informtica confiable.

Estos beneficios se vern reflejados en los siguientes aspectos:

1. Incremento en la motivacin del personal de la empresa.
2. Un compromiso ms slido con la misin y visin de la compaa.
3. Alta seguridad ante ataques informticos.
4. Plataforma informtica (virtual y fsica) ptima para atencin al cliente.
5. Red segura para transmisin de datos entre sedes y a nivel local.
6. Personal de trabajo, altamente capacitados en herramientas ofimticas.
7. Alta capacitacin en mantenimiento de hardware y software, por parte del
personal de soporte tcnico.
8. Aumento de la tecnologa de la empresa.





























GLOSARIO

24 Redes y seguridad
Proyecto Final


Cracker: Un "cracker" es una persona que intenta acceder a un sistema
informtico sin autorizacin. Estas personas tienen a menudo malas
intenciones, en contraste con los "hackers", y suelen disponer de muchos
medios para introducirse en un sistema.

Hacker: Persona que tiene un conocimiento profundo acerca del
funcionamiento de redes y que puede advertir los errores y fallas de seguridad
del mismo. Al igual que un cracker busca acceder por diversas vas a los
sistemas informticos pero con fines de protagonismo contratado.

Local rea Network (LAN): (Red de datos para dar servicio a un rea
geogrfica pequea, un edificio por ejemplo, por lo cual mejorar de rea
Local) los protocolos de seal de la red para llegar a velocidades de
transmisin de hasta 100 Mbps (100 millones de bits por segundo).

SATAN (Security Analysis Tool for Auditing Networks): Herramienta de
Anlisis de Seguridad para la Auditoria de redes. Conjunto de programas
escritos por Dan Farmer junto con Wietse Venema para la deteccin de
problemas relacionados con la seguridad.

TCP/IP (Transmisin Control Protocol/Internet Protocol): Arquitectura de
red desarrollada por la "Defense Advanced Research Projects Agency" en
USA, es el conjunto de protocolos bsicos de Internet o de una Intranet.

Trojan Horse (Caballo de Troya): programa informtico que lleva en su
interior la lgica necesaria para que el creador del programa pueda acceder al
interior del sistema que lo procesa.

Intranet: Una red privada dentro de una compaa u organizacin que utiliza
el mismo software que se encuentra en Internet, pero que es solo para uso
interno.