REDES Y SEGURIDAD

TRABAJO PRESENTADO A TUTOR:

JOSE GEOVANNY ANGULO





TRABAJO PRESENTADO POR:
FERNEY CAMILO VEGA








SERVICIO NACIONAL DE APRENDIZAJE
SENA

Proyecto final

Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el
estudio previo que se hizo para establecer la base del sistema de seguridad, el
programa de seguridad, el plan de accin, las tablas de grupos de acceso, la
valoracin de los elementos de la red, los formatos de informes presentados a la
gerencia para establecer el sistema de seguridad, los procedimientos escogidos para
la red, as como las herramientas, y el desarrollo de cada procedimiento en forma
algortmica (agregue todo lo que considere necesario). Recuerde que el manual de
procedimientos es un proceso dinmico, por lo que debe modular todos los
contenidos en unidades distintas, para poder modificarlas en caso de que sea
necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la
capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde
este documento, pues es su carta de presentacin para cualquier empleo en el que
se le exija experiencia.


RESOLUCION PROYECTO FINAL

La baja seguridad en las redes es un problema que est en crecimiento. Cada vez es
mayor el nmero de atacantes y estn ms organizados, por lo que van adquiriendo
al paso de los dias habilidades ms especializadas que les permiten obtener mayores
beneficios. No se deben subestimarse las fallas de seguridad provenientes del
interior mismo de la organizacin.
El proponer o identificar una poltica de seguridad requiere un alto compromiso con
la organizacin, agudeza tcnica para establecer fallas y debilidades, y constancia
para renovar y actualizar dicha poltica en funcin del dinmico ambiente que rodea
las organizaciones modernas.
En este manual de procedimientos encontraran una forma precisa en la cual ser
administrada los sistemas de informacin de esta empresa para brindar una mayor
seguridad de su informacin .

Que es seguridad Informatica

La seguridad informtica es una disciplina que se encarga de proteger la integridad y
la privacidad de la informacin almacenada en un sistema informtico. De todas
formas, no existe ninguna tcnica que permita asegurar la inviolabilidad de un
sistema.
Un sistema informtico puede ser protegido desde un punto de vista lgico (con el
desarrollo de software) o fsico (vinculado al mantenimiento elctrico, por ejemplo).
Por otra parte, las amenazas pueden proceder desde programas dainos que se
instalan en la computadora del usuario (como un virus) o llegar por va remota (los
delincuentes que se conectan a Internet e ingresan a distintos sistemas).
Propsito
Redactar y sugerir los pasos correctos que se deben realizar para garantizar la
seguridad en una red

Alcance
Este procedimiento es aplicado tanto para el jefe de seguridad o como para el
tcnico de sistemas.
Referencia
Para la elaboracin de este manual, se tom como referencia el manual de
procedimientos.

Responsabilidades
Administrador: Responsable de autorizar este procedimiento.
Director de Sistemas: Responsable de revisar y supervisar la aplicacin de este
Procedimiento
Tecnico en sistemas: Responsable de elaborar y aplicar este procedimiento.
CLIENTES Y PROVEEDORES
PROVEEDORES ENTREGABLES
Externos Equipo, Software y Licenciamiento.

Jefe de sistemas y administradores Formato de Solicitudes

Clientes ENTREGABLES
Unidad Administrativa Especificaciones tcnicas Hardware y
Software.
Equipos con Polticas de Seguridad
Implementados o Servicios de redes
Configurados.

1. DIRECTORIO ACTIVO
El directorio activo permite al administrador de red establecer polticas de seguridad,
esta almacena informacin de una organizacin en una base de datos central.
Nos permite una serie de objetivos relacionados como agregar usuarios, grupos de
usuarios, permisos y asignacin de recursos y polticas de acceso.
NOMBRE RIESGO (R) IMPORTANCIA
(I)
RIESGO
EVALUADO
(RE)
DETALLE
Base de
Datos
10 10 100 Aqu estn
almacenados
todos los
daros de la
empresa y es
la fuente
principal de
la empresa
Servidor
Web
8 10 80 Es un Equipo
robusto ya
que hay esta
montado
toda la base
de datos.
Swith 3 5 15 El swith es
un equipo
activo que se
puede
cambiar,
resetear y
volver a
configurar.
PC 7 3 21 Equipos por
los cuales los
empleados
procesan
informacin
se puede
modificar y
cambiar
piezas
fcilmente.
Impresora 2 1 2 Recurso para
la
elaboracin
de trabajos
lo cual si se
daa se
cambia con
facilidad.

NOMBRE GRUPO DE
USUARIOS
TIPO DE ACCESO PRIVILEGIOS
Base de Datos Empleados y
Administracin
Local Solo Lectura
Acceso a Internet Usuario Local Solo Lectura
Servidor Pagina
Web
Tcnicos de
Mantenimiento
Local Lectura y Escritura.
Acceso a
Servidor, Router
y Swith
Administradores
de red
Local y Remoto Lectura y Escritura
Acceso a Equipos Tcnicos de
Sistemas
Local Todos


CREACIN DE LOS USUARIOS
Cada usuario de la de la empresa se le creara un usuario corporativo con su
respectivo modo de acceso y sus limitaciones.
Procedimiento de alta cuenta de usuarios: se lleva a cabo cuando se crea una
cuenta de usuario teniendo en cuenta datos personales, cargo y funciones a realizar.
El administrador deber solicitar los siguientes datos:

-Nombres y Apellidos
-rea de desempeo
-Cargo
-Extensin del rea de trabajo
-Tipo de contrato

-Correo electrnico



Con estos datos el LOGIN del usuario seria

-Letra inicial del nombre
-Apellido completa
-Letra inicial del apellido
NOMBRE 1 APELLIDO 2 APELLIDO LOGIN
Camilo vega avila Cvegaa
carlos Sanchez ruiz csanchezr

Procedimiento de buenas contraseas: Determinar buenas contraseas de usuario
que deben contener letras, nmeros y caracteres para que sea ms difcil de descifrar
para que sea ms tedioso para el software que descifran las claves.

CREACIN DE LA CUENTA CORPORATIVA

La cuenta corporativa es importante por los datos confidenciales de la empresa el
administrador solicita los siguientes datos:

-Nombres y Apellidos
-rea de desempeo
-Cargo
-Extensin del rea de trabajo
-Tipo de contrato
-Correo electrnico

Con estos datos el administrador crea el ID de la siguiente forma:

-Letra inicial del nombre
-Apellido completa
-Letra inicial del apellido

Nombre 1 apellido 2apellido ID CORREO
Camilo vega avila Cvegav.global@gmail.com
carlos Sanchez ruiz Csanchezs.global@gmail.com




PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS
Cuando ingresa nuevo personal a la empresa el jefe de dicha rea o departamento
ser el encargado de enviar una solicitud por correo electrnico al rea de
informtica, este correo debe llegar tanto al encargado de los bienes tecnolgicos
como al jefe de dicha rea (Informtica).

Inmediatamente el agente de soporte tcnico empezar a preparar la mquina con
los programas solicitados, incluyendo el correo, corporativo, impresora y el S.O con
todas sus actualizaciones (parches de seguridad). Adems antes de entregar el
equipo de cmputo el usuario deber firmar un acta en la cual se describe las partes
esenciales con sus respectivos seriales. El formato utilizado aplica tambin para
cuando una persona realiza un reintegro al rea de sistemas.


PROCEDIMIENTO PARA SOPORTE TCNICO

Se implementar una mesa de ayuda de 3 niveles de los cuales se dividen as:

Primer nivel
Por medio de la lnea telefnica que se habilitar los usuarios que llamen recibirn
asistencia remota hasta donde lo permita la situacin, en este caso el incidente que
se presenta, si no se resuelve de forma oportuna el servicio que el usuario necesita
se deber tomar los datos del usuario y registrarlo en el software de incidentes para
que el segundo nivel se haga cargo.

Segundo nivel
Interviene el Agente de soporte en sitio, el cul brindar atencin de una forma
amable y educada y resolver el incidente que se presente.
El agente de soporte en sitio se encargar fuera de resolver el incidente, el de
verificar que el sistema local est sin problemas, es decir, mirar que el equipo no
presente dems fallas para as evitar el llamado concurrente del usuario.
Si el segundo nivel no puede dar solucin al incidente se escalar el servicio al tercer
nivel.

Tercer nivel
En este nivel encontramos a los administradores de servidores.
HERRAMIENTAS PARA CONTROL
Las herramientas para uso de administracin de redes, ser nica y exclusivamente
para el personal administrativo del rea de redes y sobre ellos caer toda
responsabilidad por el uso de la misma.

ARANDA SOFTWARE

Se utilizarn los mdulos de Aranda para llevar un control preciso tanto en software
como en hardware, hay que tener en cuenta que se deber instalar en cada mquina
(computador) un agente el cual recoger toda la informacin a nivel de software y
hardware.

Mdulo Metrix
Recoge informacin del software que tenga instalado cada equipo, esto nos ayudar
a tener control sobre los programas que se instalen ya que la idea aqu es evitar que
la empresa se vea sancionada por no tener un ptimo control sobre este tema.

Mdulo Network
Permite conocer los dispositivos de red en un diagrama topolgico que permite las
vistas de routers, switches, servidores, estaciones de trabajo y servicios.
CRACK
Esta herramienta es muy til para implementar la cultura en los usuarios de generar
contraseas ptimas, pues recordemos y tengamos presentes que los datos son un
valor muy importante de una empresa.
Esta herramienta es muy til para implementar la cultura en los usuarios de
generar contraseas ptimas, pues recordemos y tengamos presentes que los
datos son un valor muy importante de una empresa.
Realiza una inspeccin para detectar passwords dbiles y vulnerables
Comprueba la complejidad de las contraseas.


TRINUX

Ser muy til para controlar el trfico de correos electrnicos entrantes y salientes,
evitar el robo de contraseas y la intercepcin de correos, esta herramienta nos
evitara un DoS que hara colapsar los sistemas de una empresa.
PLAN DE EJECUCIN

Elaborando el plan de ejecucin como una lista de chequeo o checklist no enfocamos
en una lista de tareas a llevar a cabo para chequear el funcionamiento del sistema.
-Asegurar el entorno. Qu es necesario proteger? Cules son los riesgos?
-Determinar prioridades para la seguridad y el uso de los recursos.
-Crear planes avanzados sobre qu hacer en una emergencia.
-Trabajar para educar a los usuarios del sistema sobre las necesidades y las
ventajas de la buena seguridad
-Estar atentos a los incidentes inusuales y comportamientos extraos.
-Asegurarse de que cada persona utilice su propia cuenta.
-Estn las copias de seguridad bien resguardadas?
-No almacenar las copias de seguridad en el mismo sitio donde se las realiza
-Los permisos bsicos son de slo lectura?
-Si se realizan copias de seguridad de directorios/archivos crticos, usar
chequeo de comparacin para detectar modificaciones no autorizadas.
-Peridicamente rever todo los archivos de booteo de los sistemas y los
archivos de configuracin para detectar modificaciones y/o cambios en ellos.
Elementos de una PSI
-Rango de accin de las polticas. Esto se refiere a las personas sobre las
cuales se posa la ley, as como los sistemas a los que afecta.

-Reconocimiento de la informacin como uno de los principales activos de
la empresa
.
-Objetivo principal de la poltica y objetivos secundarios de la misma. Si se
hace referencia a un elemento particular, hacer una descripcin de dicho
elemento
.
-Responsabilidades generales de los miembros y sistemas de la empresa.

-Como la poltica cubre ciertos dispositivos y sistemas, estos deben tener
un mnimo nivel de seguridad. Se debe definir este umbral mnimo.

-Explicacin de lo que se considera una violacin y sus repercusiones ante
el no cumplimiento de las leyes.

-Responsabilidad que tienen los usuarios frente a la informacin a la que
tienen acceso.