ACTIVIDAD

PROYECTO FINAL

JENNIFER ALEJANDRA GUARIN GIRALDO

REDES Y SEGURIDAD
973973

GIOVANNY ZAMBRANO LONDOO

SENA

11 DE JUNIO DE 2015

1. Introduccion.
2. estudio del sistema de seguridad.
3. programa de seguridad.
4. plan de accion.
5. tabla de grupos de acceso.
6. Valoracin de elementos de la Red
7. procedimientos.
8. herramientas.
1. INTRODUCCION.
Las redes informtica en el mundo han mostrado un gran progreso, la posibilidad
de comunicarse a travs de redes ha abierto mucho horizontes a las empresas
para mejorar su productividad y poder expandirse a muchos pases, debido a esto
hay que garantizar la seguridad de la informacin que se trabaja da a da, estos
riesgos nos han llevado a implementar nuevos procedimientos que nos van a
ayudar en el adecuado uso de los sistemas tecnolgicos y de las redes en
general, la cual consisten en compartir recursos, y que todos los programas, datos
y equipo estn disponibles para cualquiera de la red que as lo solicite, sin
importar la localizacin del recurso y del usuario. Tambin consiste en
proporcionar una alta fiabilidad, al contar con fuentes alternativas de suministro.
Adems, la presencia de mltiples CPU significa que si una de ellas deja de
funcionar, las otras pueden ser capaces de encargarse de su trabajo, aunque se
tenga un rendimiento menor. Este manual fue elaborado con nociones Bsicas de
Seguridad en redes informticas, recogiendo los principales conceptos y
recomendaciones de los problemas que se pueden presentar en una red, con el fin
de informar a los trabajadores sobre los riesgos ms comunes y sus medidas
preventivas.

2. ESTUDIO DEL SISTEMA DE SEGURIDAD.

En esta empresa un mecanismo para evitar que la seguridad sea un factor de
riesgo hay que facilitar la formalizacin de los empleados para que ellos
materialicen las Polticas de Seguridad Informtica, por otra parte hay una gran
cantidad de inconvenientes porque las personas no se acoplan al cambio y no les
gusta regirse a los avances; Si realmente quiere que las PSI sean aceptadas,
debemos realizar una integracin en la empresa con la misin, visin y objetivos
estratgicos. Por lo anterior es muy importante saber las clases de riesgo tiene la
empresa como lo descritos a continuacin:
Mucha informacin confidencial puede ser observada y alterada continuamente
por otros usuarios.
Se puede suplantar con facilidad la identidad de los usuarios o administradores.
No hay restriccin a personas ajenas a la empresa.
Los equipos de cmputo son el punto ms dbil en la seguridad por que se
maneja personal variado.
No hay niveles de jerarqua entre jefes, administradores y usuarios.
En los sistemas de cmputo la informacin est completamente abierta.
No hay responsabilidades en los cargos de las distintas dependencias y se
delegaran a sus subordinados sin autorizacin.
No se cuenta con un programa de mantenimiento preventivo y correctivo de los
sistemas de cmputo.
La falla contina por no tener las normas elctricas bien aplicadas; dan pie a
cortes de electricidad sin previo aviso.
3. PROGRAMA DE SEGURIDAD.
La seguridad en la informacin, es un concepto relacionado con los componentes
del sistema (hardware), las aplicaciones utilizadas en este (software) y la
capacitacin del personal que se encargara del manejo de los equipos. Por esta

razn un paso primordial es establecer normas y estndares que permitan obtener

un manejo seguro de toda la infraestructura de comunicacin, la informacin, y por
consiguiente los recursos de la empresa. se han convertido en un activo de
altsimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto,
se hace necesario proteger, asegurar y administrar la informacin necesaria para
garantizar su integridad, confidencialidad y disponibilidad.
El presentar bases, normas de uso y seguridad informticas dentro de la empresa
respecto a la manipulacin, uso de aplicaciones y equipos computacionales
permitir el buen desarrollo de los procesos informticos y elevar el nivel de
seguridad de los mismos y as preservar la informacin y los diferentes recursos
informticos con que cuenta la Empresa.
4. PLAN DE ACCION.
El propsito de este plan de accin es asegurar que los funcionarios utilicen
correctamente los recursos tecnolgicos que la empresa pone a su disposicin,
este ser de obligatorio cumplimiento y el usuario que incumpla deber
responder por los daos causados a el sistema informtico de la empresa, y
tendr acciones disciplinarias y penales ante la ley. En el plan de accin a seguir
de la empresa adoptaremos los siguientes pasos:
1. Crear una cuenta para cada usuario la cual, impedir que pueda daar al
sistema o a otros usuarios, y le dar solo los recursos necesarios para la labor
asignada.
2. En esta cuenta de usuario se asignaran permisos o privilegios al usuario para
acceder a los sistemas de informacin y desarrollar actividades dentro de ellas
de forma personalizada.
3. Implementar una base de datos de usuario, esto permite realizar seguimiento y
control.
4. Para la creacin de cuentas se deber enviar una solicitud a la oficina de
Sistemas, con el visto bueno del jefe de cada rea, donde se bebe resaltar los
privilegios que va a tener el usuario.

5. Cuando un usuario reciba una cuenta, deber acercarse a la oficina de sistema

para informarle las responsabilidades y el uso de esta.
6. Por ningn motivo se conceder una cuenta a personas ajenas a la empresa.
7. El departamento de Recursos Humanos debe informar al departamento de
Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta.
8. El acceso a internet se permitir a el personal que lo necesite este ser de uso
laboral y no personal, con el fin de no saturar el ancho de banda.
9. No acceder a pginas de entretenimiento, pornografa, o que estn fuera del
contexto laboral.
10. No se descargara informacin en archivos adjuntos de dudosa procedencia,
esto para evitar el ingreso de virus al equipo.
11. Ningn usuario est autorizado para instalar software en su ordenador. El
usuario que necesite algn programa especfico para desarrollar su actividad
laboral, deber comunicarlo al Departamento de Sistemas.
12. Los empleados de la Empresa solo tendrn acceso a la informacin necesaria
para el desarrollo de sus actividades.
13. Ningn empleado debe instalar ningn programa para ver vdeos, msica o
juegos va Internet.
14. se debe utilizar el correo electrnico como una herramienta de trabajo, y no
para recibir mensajes de amigos y familiares, para eso est el correo personal.
15. No enviar archivos de gran tamao a compaeros de oficina, esto ocupa
mucho espacio en la banda.
16. No participar en la propagacin de mensajes encadenados o de esquemas de
pirmides.
17. No enviar grandes cadenas de chistes en forma interna.
18. No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que
podran contener cdigos maliciosos.
19. El acceso a las cuentas personales no debe hacerse en jornadas laborales ni
en los equipo de la empresa.
20. Cuando el usuario deje de usar su estacin de trabajo deber cerrar y verificar
el cierre del correo, para evitar que otra persona use su cuenta.

21. Se debe mantener los mensajes que se desea conservar, agrupndolos por
temas en carpetas personales.
22. El departamento de Sistemas determinar el tamao mximo que deben tener
los mensajes del correo electrnico.
23. Los mensajes tendrn una vigencia de 30 das desde la fecha de entrega o
recepcin. Terminada la fecha, los mensajes debern ser eliminados del servidor
de correo.
24. Se creara una carpeta compartida para todos los empleados esta es de uso
laboral para compartir tareas y no para almacenar cosas personales o
innecesarias.
25. Tambin se crearan unas subcarpetas compartidas de cada departamento,
jefes, supervisores y administradores pero se crearan privilegio para el uso de
estas.
26. A la informacin vital se le realizara una copia de seguridad todos los fines de
semana, con el fin de proteger, tener respaldo de los datos y el buen manejo de la
red.
27. La informacin que se guarde en la red y no sea utilizada, debe eliminarse y
guardarla ya sea en el equipo o en memorias usb, para no mantener la red llena.
28. No modificar ni manipular archivos que se encuentren en la red que no sean
de su propiedad.
29. Los usuarios no pueden instalar, suprimir o modificar el software entregado en
su computador.
30. No se puede instalar ni conectar dispositivos o partes diferentes a las
entregadas en los equipos.
31. No es permitido abrir la tapa de los equipos, y retirar parte de estos por
personal diferente al departamento de sistemas.
32. Los equipos, escner, impresoras, lectoras y equipos de comunicacin no
podrn ser trasladados del sitio que se les asign inicialmente, sin previa
autorizacin del departamento de sistemas o seguridad.

33. Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones

elctricas, asegurando que los equipos estn conectados a una corriente
regulada, o Ups.
34. Los equipos deben estar ubicados en sitios adecuados, evitando la exposicin
al agua, polvo o calor excesivo.
35. Ningn usuario, podr formatear los discos duros de los computadores.
36. Ningn usuario podr retirar partes o usar los equipos de comunicacin para
uso personal sin la autorizacin del departamento de sistemas.
37. A los equipos personales no se les brindar soporte de ninguna ndole: ni de
hardware ni de software, porque son responsabilidad del dueo.
38. La direccin IP asignada a cada equipo debe ser conservada y no se debe
cambiar sin la autorizacin del departamento de Sistemas porque esto ocasionara
conflictos y esto alterara el flujo de la red.
39. No llenar el espacio de disco del equipo con msica ni videos, ni informacin
personal que no sea necesaria para el desarrollo de sus tareas con respecto a la
entidad.
40. Se capacitara al personal para tener un anlisis previo y evaluar en qu parte
es necesario mejorar o resolver un problema.
41. Dar una capacitacin de la actividad a desarrollarse y en la que cada
funcionario se va a desempear especficamente.
42. Es estrictamente obligatorio, informar oportunamente al departamento de
sistemas las novedades por problemas elctricos, tcnicos, de planta fsica, etc.
que altere la correcta funcionalidad del sistema.

5. TABLA DE GRUPOS DE ACCESO.

Nmero

Nombre

Informacin
1

personal
administrativa.

Riesgo

Gerencia, jefe
de personal

Tipo de

Permisos

acceso

otorgados

local

Lectura y
escritura

Gerencia,
2

Base de datos

grupo de

Local y remoto

Lectura

auditores
Secretaria,
3

Archivo fsico

gerencia,

Local

auditores

Computadores

con usuario y

local

login

internet

con usuario y
login

descargar link
diferentes a la
entidad

Empleados
5

escritura

Manejo sin

Empleados
4

Lectura y

Local y remoto

Manejo
institucional

6. VALORACION DE ELEMENTOS DE LA RED

Es necesario que se conozcan los elementos principales de la red y el valor que
se le dan a los mismos, por eso elaboramos esta tabla sencilla para explicarlo.

Nivel de
Nmero

Nombre

importancia del
recurso (R1)

Riesgo
Severidad de

evaluado

la prdida (w1)
R1 * W1

Bridge

10

Computador

24

Switch

30

Router

48

Servidor

10

10

100

1 nivel medio, es el encargado de la interconexin de redes en los

computadores, transfiere datos de una red a otra. Si llegara a averiarse se vera
afectada la red, pero puede ser fcilmente cambiado el puente.
2 su nivel de importancia es bajo, ya que en una empresa hay varios equipos
que pueden realizar dicha labor, adems, se recurre a la copia de seguridad de
datos. Si llegara a perderse o daarse se corre el riesgo de perder informacin
importante para la empresa, y tiempo que se gastara en configurarlo nuevamente.
3 - el nivel de conexin que maneja es medio, este proporciona la conexin de
varios equipos en un solo recurso. Recibe conexin del router para conectar en
red a los dems equipos. Si se llegara a daar no habr otro elemento que lo
reemplace perdiendo as la conexin de otros equipos.
4 maneja la red de la empresa, si se pierde o daa podra ocasionar graves
daos a la red y por supuesto a la informacin.
5 - se le da el mximo de importancia en ambos caso, ya que adems de costoso,
es primordial por la informacin que maneja, an hasta de los otros equipo, sin
olvidar lo costoso que es conseguirlo.

7. PROCEDIMIENTOS.
En la empresa se utilizaran una serie de procedimientos que nos ayudaran a tener
un control sobre los equipos, usuarios y toda la informacin vital en la red, estos
procedimientos sern una propuesta de polticas de seguridad, como un recurso o
mecanismo para mitigar los riesgos a los que se ve expuesta.

Equipos y Bienes de la empresa:

 Se tiene que crear un medio de escrito para controlar y velar la seguridad

informtica de las diferentes reas de la Empresa.
Para los efectos de este instrumento se entender por: Comit Al equipo
integrado por la Gerencia, los Jefes de rea y el personal administrativo
(ocasionalmente) convocado para fines especficos como: Adquisiciones
para la compra de nuevos Hardware y software para la empresa.
Velar por el buen funcionamiento de las herramientas tecnolgicas que
se van a utilizar en las diferentes reas de la empresa.
Elaborar y efectuar seguimiento el Plan de accin de la empresa
verificando todas la normatividad vigente de la misma.
Elaborar el plan correctivo realizando en forma clara cada dependencia de
la empresa para poder corregirlo, y en las futuras revistas poder tener
solucionado las novedades encontradas y levar a un margen de error de
cero.
La instancia rectora de los sistemas de informtica de la empresa es la
Gerencia, y el organismo competente para la aplicacin de este
ordenamiento, es el Comit que fue nombrado.
Compra de recursos informticos.
Para toda compra que se haga en tecnologa informtica se realizara a
travs del Comit, que est conformado por el personal de la Administracin
de Informtica.
El comit de Informtica deber planear las operaciones para la compra
de los bienes informticos que se necesitan con prioridad y en su eleccin
deber tomar en cuenta: el estudio tcnico, precio, calidad, experiencia,
desarrollo tecnolgico, estndares y capacidad, costo inicial, costo de
mantenimiento y consumibles por el perodo estimado de uso de los
equipos.
Para la compra de Hardware el equipo que se desee adquirir deber estar
dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores
del mismo y dentro de los estndares de la empresa.

 La marca de los equipos o componentes deber contar con presencia y

permanencia demostrada en el mercado nacional e internacional, as como
con asistencia tcnica.
Los dispositivos de almacenamiento, as como las interfaces de entradasalida, debern estar acordes con la tecnologa de punta vigente, tanto en
velocidad de transferencia de datos.
Las impresoras debern apegarse a los estndares de Hardware y
Software vigente en el mercado y en la empresa.
En lo que se refiere a los servidores, equipos de comunicaciones, deben
de contar con un programa de mantenimiento preventivo y correctivo que
incluya su perodo de garanta.
Instalacin de equipos.
Los equipos y las redes para uso de la empresa se instalarn en lugares
adecuados, lejos de polvo y trfico de personas.
La Administracin de Informtica, as como las reas operativas debern
contar con un mapa actualizado de las redes, equipos, instalaciones
elctricas y de comunicaciones de la red.
Las instalaciones elctricas y redes, estarn fijas o resguardadas del paso
de personas o mquinas, y libres de cualquier peligro elctrico o
magnetismo.
Manejo de la informacin.
La informacin almacenada en medios magnticos o fsicos se deber
inventariar, anexando la descripcin y las especificaciones de la misma,
clasificndola en categoras.
Los jefes de las dependencias responsables de la informacin contenida
en la oficina a su cargo, delegaran responsabilidades a sus subordinados y
determinarn quien est autorizado a efectuar operaciones salientes con
dicha informacin tomando las medidas de seguridad pertinentes.
Se establecern tres tipos de prioridad para la informacin de la
dependencia: Informacin vital, necesaria y ocasional o eventual.

 La informacin vital para el funcionamiento de la dependencia, se debern

tener un buen proceso a la informacin, as como tener el apoyo diario de
las modificaciones efectuadas y guardando respaldos histricos
semanalmente.
Funcionamiento de la red.
Una obligacin del comit de la Administracin de Informtica es vigilar
que las redes y los equipos se usen bajo las condiciones especificadas por
el proveedor.
El personal ajeno de la empresa al usar la red o un equipo de cmputo,
debe estar su vigilado por un miembro de la empresa y se abstendrn de
consumir alimentos, fumar o realizar actos que perjudiquen el
funcionamiento del mismo o deterioren la informacin almacenada.
Mantener claves de acceso que permitan el uso solamente al personal
autorizado para tal fin.
Verificar la informacin que provenga de fuentes externas a fin de
examinar que est libre de cualquier agente contaminante o perjudicial para
el funcionamiento de los equipos.
En ningn caso se autorizar la utilizacin de dispositivos ajenos a los
procesos informticos de la dependencia, por consecutivo, se prohbe el
ingreso y/o instalacin de hardware y software a particulares, es decir que
no sea propiedad de la empresa.
Contraseas.
Todos los que laboren en la parte de las dependencias de la empresa
deben tener un usuario con acceso a un sistema de informacin o a una red
informtica, colocando una nica autorizacin de acceso compuesta de
usuario y contrasea.
Ningn trabajador tendr acceso a la red, recursos informticos o
aplicaciones hasta que no acepte formalmente la Poltica de Seguridad.
Los usuarios tendrn acceso autorizado solo a los recursos que le asignen
la empresa para el desarrollo de sus funciones.

 La contrasea tendr una longitud mnima de igual o superior a ocho

caracteres, y estarn constituidas por combinacin de caracteres
alfabticos, numricos y especiales.
Los identificadores para usuarios temporales se configurarn para un
corto perodo de tiempo. Una vez expirado dicho perodo, se desactivarn
de los sistemas inmediatamente.
Responsabilidades.
Los usuarios son responsables de toda actividad relacionada con el uso
de su acceso autorizado que la empresa le asigno.
Los usuarios no deben revelar bajo ningn concepto su contrasea a
ninguna persona ni mantenerla por escrito a la vista, ni al alcance de
terceros.
Los usuarios no deben utilizar ningn acceso o contrasea de otro
usuario, aunque dispongan de la autorizacin del propietario.
En el caso que el sistema no lo solicite automticamente, el usuario debe
cambiar su contrasea como mnimo una vez cada 30 das. En caso
contrario, se le podr denegar el acceso y se deber contactar con el jefe
inmediato para solicitar al administrador de la red una nueva clave.
Los usuarios deben notificar a su jefe inmediato cualquier incidencia que
detecten que afecte o pueda afectar a la seguridad de los datos de carcter
personal: prdida de listados y/o informacin, sospechas de uso indebido
del acceso autorizado por otras personas.
Los usuarios nicamente introducirn datos identificativos y direcciones o
telfonos de personas en las agendas de contactos de las herramientas
informticas.
8. HERRAMIENTAS.
Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son las siguientes:
GABRIEL: Detecta ataques SATAN, genera alertas va e-mail o en el servidor.

 NETLOG: Registra conexin cada milisegundo, corrige ataques SATAN o ISS,

genera Trazas.
COURTNEY: Detecta ataques SATAN, genera informacin procesada por
TCPDump: ve la informacin de cabecera de paquetes: Maquina de origen,
maquina de destino, protocolos utilizados y chequea los puertos en un lapso de
tiempo corto.
Y las herramientas que se utilizaran para chequear el sistema son las siguientes:
CRACK: Es una herramienta virtual del sistema y permite forzar las contraseas
de usuario, para medir el grado de complejidad de las contraseas, las
contraseas de nuestro sistema siempre estn encriptados.
TRIPWIRE: Su funcin principal es la de detectar cualquier cambio o
modificacin en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas en los software.
TIGER: Chequea elementos de seguridad del sistema para detectar problemas
y vulnerabilidades ayudando a configurar el sistema en general, sistemas de
archivos, caminos de bsqueda, cuentas de usuarios, y tambin configuraciones
de usuarios.
Adems, el supervisor de Informtica, deber desarrollar una revisin a los dems
distintos medios como (intranet, email, sitio web oficial, etc.), y tomara las medidas
necesarias para el cumplimiento de los Procedimientos de Seguridad.