ACTIVIDAD

Proyecto final

Hecho por:

Sebastian Camilo Martinez Sandoval

Tutor:

JONHATA LUCIA CARDENAS TRIGOS

Curso Virtual
Ficha: 1887438 - REDES Y SEGURIDAD
Servicio Nacional de Aprendizaje - SENA
 INTRODUCCIÓN

Las redes informática en el mundo han mostrado un gran progreso, la posibilidad

de comunicarse a través de redes ha abierto mucho horizontes a las empresas para
mejorar su productividad y poder expandirse a muchos países, debido a esto hay
que garantizar la seguridad de la información que se trabaja día a día, estos riesgos
nos han llevado a implementar nuevos procedimientos que nos van a ayudar en el
adecuado uso de los sistemas tecnológicos y de las redes en general, la cual
consisten en compartir recursos, y que todos los programas, datos y equipo estén
disponibles para cualquiera de la red que así lo solicite, sin importar la localización
del recurso y del usuario.

También consiste en proporcionar una alta fiabilidad, al contar con fuentes

alternativas de suministro. Además, la presencia de múltiples CPU significa que si
una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su
trabajo, aunque se tenga un rendimiento menor. Este manual fue elaborado con
nociones Básicas de Seguridad en redes informáticas, recogiendo los principales
conceptos y recomendaciones de los problemas que se pueden presentar en una
red, con el fin de informar a los trabajadores sobre los riesgos más comunes y sus
medidas preventivas.
 Nombre Sebastian Camilo Martinez Sandoval

Fecha 19 de Mayo del 2019

Actividad Proyecto final

Tema Unidad 4

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe

tener el estudio previo que se hizo para establecer la base del sistema de
seguridad, el programa de seguridad, el plan de acción, las tablas de
grupos de acceso, la valoración de los elementos de la red, los formatos
de informes presentados a la gerencia para establecer el sistema de
seguridad, los procedimientos escogidos para la red, así como las
herramientas, y el desarrollo de cada procedimiento en forma algorítmica
(agregue todo lo que considere necesario). Recuerde que el manual de
procedimientos es un proceso dinámico, por lo que debe modular todos
los contenidos en unidades distintas, para poder modificarlas en caso de
que sea necesario.

 ESTUDIO DEL SISTEMA DE SEGURIDAD.

En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo
hay que facilitar la formalización de los empleados para que ellos materialicen las
Políticas de Seguridad Informática, por otra parte hay una gran cantidad de
inconvenientes porque las personas no se acoplan al cambio y no les gusta regirse
a los avances; Si realmente quiere que las PSI sean aceptadas, debemos realizar
una integración en la empresa con la misión, visión y objetivos estratégicos. Por lo
anterior es muy importante saber las clases de riesgo tiene la empresa como lo
descritos a continuación:

 Mucha información confidencial puede ser observada y alterada

continuamente por otros usuarios.
 Se puede suplantar con facilidad la identidad de los usuarios o
administradores.
No hay restricción a personas ajenas a la empresa.
 Los equipos de cómputo son el punto más débil en la seguridad porque se
maneja personal variado.
 No hay niveles de jerarquía entre jefes, administradores y usuarios.
 En los sistemas de cómputo la información está completamente abierta.
 No hay responsabilidades en los cargos de las distintas dependencias y se
delegaran a sus subordinados sin autorización.
 No se cuenta con un programa de mantenimiento preventivo y correctivo de los
sistemas de cómputo.
 La falla continúa por no tener las normas eléctricas bien aplicadas; dan pie a
cortes de electricidad sin previo aviso.

 PROGRAMA DE SEGURIDAD.

La seguridad en la información, es un concepto relacionado con los componentes

del sistema (hardware), las aplicaciones utilizadas en este (software) y la
capacitación del personal que se encargara del manejo de los equipos. Por esta
razón un paso primordial es establecer normas y estándares que permitan obtener
un manejo seguro de toda la infraestructura de comunicación, la información, y por
consiguiente los recursos de la empresa. Se han convertido en un activo de altísimo
valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace
necesario proteger, asegurar y administrar la información necesaria para garantizar
su integridad, confidencialidad y disponibilidad.

El presentar bases, normas de uso y seguridad informáticas dentro de la empresa

respecto a la manipulación, uso de aplicaciones y equipos computacionales
permitirá el buen desarrollo de los procesos informáticos y elevará el nivel de
seguridad de los mismos y así preservar la información y los diferentes recursos
informáticos con que cuenta la Empresa.

 PLAN DE ACCIÓN.

El propósito de este plan de acción es asegurar que los funcionarios utilicen

correctamente los recursos tecnológicos que la empresa pone a su disposición, este
será de obligatorio cumplimiento y el usuario que incumpla deberá responderá por
los daños causados a el sistema informático de la empresa, y tendrá acciones
disciplinarias y penales ante la ley. En el plan de acción a seguir de la empresa
adoptaremos los siguientes pasos:

 Crear una cuenta para cada usuario la cual, impedirá que pueda dañar al
sistema o a otros usuarios, y le dará solo los recursos necesarios para la labor
asignada.

 En esta cuenta de usuario se asignaran permisos o privilegios al usuario para

acceder a los sistemas de información y desarrollará actividades dentro de ellas
de forma personalizada.
 Implementar una base de datos de usuario, esto permite realizar seguimiento y
control.

 Para la creación de cuentas se deberá enviar una solicitud a la oficina de

Sistemas, con el visto bueno del jefe de cada área, donde se bebe resaltar los
privilegios que va a tener el usuario.

 Cuando un usuario reciba una cuenta, deberá acercarse a la oficina de sistema

para informarle las responsabilidades y el uso de esta.

 Por ningún motivo se concederá una cuenta a personas ajenas a la empresa.

 El departamento de Recursos Humanos debe informar al departamento de

Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta.

 El acceso a internet se permitirá al personal que lo necesite este será de uso

laboral y no personal, con el fin de no saturar el ancho de banda.

 No acceder a páginas de entretenimiento, pornografía, o que estén fuera del

contexto laboral.

 No se descargara información en archivos adjuntos de dudosa procedencia,

esto para evitar el ingreso de virus al equipo.

 Ningún usuario está autorizado para instalar software en su ordenador. El

usuario que necesite algún programa específico para desarrollar su actividad
laboral, deberá comunicarlo al Departamento de Sistemas.

 Los empleados de la Empresa solo tendrán acceso a la información necesaria

para el desarrollo de sus actividades.

 Ningún empleado debe instalar ningún programa para ver vídeos, música o
juegos vía Internet.

 se debe utilizar el correo electrónico como una herramienta de trabajo, y no para

recibir mensajes de amigos y familiares, para eso está el correo personal.

 No enviar archivos de gran tamaño a compañeros de oficina, esto ocupa mucho

espacio en la banda.
 No participar en la propagación de mensajes encadenados o de esquemas de
pirámides.

 No enviar grandes cadenas de chistes en forma interna.

 No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podrían

contener códigos maliciosos.

 El acceso a las cuentas personales no debe hacerse en jornadas laborales ni

en los equipo de la empresa.

 Cuando el usuario deje de usar su estación de trabajo deberá cerrar y verificar

el cierre del correo, para evitar que otra persona use su cuenta.

 Se debe mantener los mensajes que se desea conservar, agrupándolos por

temas en carpetas personales.

 El departamento de Sistemas determinará el tamaño máximo que deben tener

los mensajes del correo electrónico.

 Los mensajes tendrán una vigencia de 30 días desde la fecha de entrega o

recepción. Terminada la fecha, los mensajes deberán ser eliminados del
servidor de correo.

 Se creara una carpeta compartida para todos los empleados esta es de uso
laboral para compartir tareas y no para almacenar cosas personales o
innecesarias.

 También se crearan unas subcarpetas compartidas de cada departamento,

jefes, supervisores y administradores pero se crearan privilegio para el uso de
estas.

 A la información vital se le realizara una copia de seguridad todos los fines de

semana, con el fin de proteger, tener respaldo de los datos y el buen manejo de
la red.

 La información que se guarde en la red y no sea utilizada, debe eliminarse y

guardarla ya sea en el equipo o en memorias USB, para no mantener la red
llena.
 No modificar ni manipular archivos que se encuentren en la red que no sean de
su propiedad.

 Los usuarios no pueden instalar, suprimir o modificar el software entregado en

su computador.

 No se puede instalar ni conectar dispositivos o partes diferentes a las

entregadas en los equipos.

 No es permitido abrir la tapa de los equipos, y retirar parte de estos por personal
diferente al departamento de sistemas.

 Los equipos, escáner, impresoras, lectoras y equipos de comunicación no

podrán ser trasladados del sitio que se les asignó inicialmente, sin previa
autorización del departamento de sistemas o seguridad.

 Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones

eléctricas, asegurando que los equipos estén conectados a una corriente
regulada, o Ups.

 Los equipos deben estar ubicados en sitios adecuados, evitando la exposición

al agua, polvo o calor excesivo.

 Ningún usuario, podrá formatear los discos duros de los computadores.

 Ningún usuario podrá retirar partes o usar los equipos de comunicación para
uso personal sin la autorización del departamento de sistemas.

 A los equipos personales no se les brindará soporte de ninguna índole: ni de

hardware ni de software, porque son responsabilidad del dueño.

 La dirección IP asignada a cada equipo debe ser conservada y no se debe

cambiar sin la autorización del departamento de Sistemas porque esto
ocasionaría conflictos y esto alteraría el flujo de la red.

 No llenar el espacio de disco del equipo con música ni videos, ni información

personal que no sea necesaria para el desarrollo de sus tareas con respecto a
la entidad.

 Se capacitara al personal para tener un análisis previo y evaluar en qué parte

es necesario mejorar o resolver un problema.
 Dar una capacitación de la actividad a desarrollarse y en la que cada
funcionario se va a desempeñar específicamente.

 Es estrictamente obligatorio, informar oportunamente al departamento de

sistemas las novedades por problemas eléctricos, técnicos, de planta física, etc.
que altere la correcta funcionalidad del sistema.

 TABLA DE GRUPOS DE ACCESO.

 Recurso del Sistema
 Riesgo R
 Tipos de Acceso
 Permisos Otorgados
 Numero
 Nombre

1. Router (56):Es uno de los más importantes ya que de la buenaconfiguración

de este depende mucho la seguridad de nuestrared.

2. Swiche (48):El buen funcionamiento de este hace posible distribuir

todalainformación a la red.

3. Impresora (16):En este recurso es posible llevar cualquier información aun

documento físico.

4. Cableado (20):De este depende intercomunican entre terminales yservidores.

5. Servidor (100):Es el de mayor importancia porque todas las acciones

serealizarán a través de este.

6. Terminal (25):Es importante porque por medio de estos alimentaremos al

servidor.

7. Base de Datos (48):Es de gran importancia ya que almacena toda la

informaciónde la empresa.

 PROCEDIMIENTOS.

En la empresa se utilizaran una serie de procedimientos que nos ayudaran a

tener un control sobre los equipos, usuarios y toda la información vital en la red,
estos procedimientos serán una propuesta de políticas de seguridad,
 como un recurso o mecanismo para mitigar los riesgos a los que se ve
expuesta.

 Equipos y Bienes de la empresa:

 se tiene que crear un medio de escrito para controlar y velar la seguridad

informática de las diferentes áreas de la Empresa.

 Para los efectos de este instrumento se entenderá por: Comité Al equipo

integrado por la Gerencia, los Jefes de área y el personal administrativo
(ocasionalmente) convocado para fines específicos como: Adquisiciones para
la compra de nuevos Hardware y software para la empresa.

 Velar por el buen funcionamiento de las herramientas tecnológicas que se van

a utilizar en las diferentes áreas de la empresa.

 Elaborar y efectuar seguimiento el Plan de acción de la empresa verificando

todas la normatividad vigente de la misma.

 Elaborar el plan correctivo realizando en forma clara cada dependencia de la

empresa para poder corregirlo, y en las futuras revistas poder tener solucionado
las novedades encontradas y levar a un margen de error de cero.

 La instancia rectora de los sistemas de informática de la empresa es la

Gerencia, y el organismo competente para la aplicación de este ordenamiento,
es el Comité que fue nombrado.

 Compra de recursos informáticos.

 Para toda compra que se haga en tecnología informática se realizara a través

del Comité, que está conformado por el personal de la Administración de
Informática.

 El comité de Informática deberá planear las operaciones para la compra de los

bienes informáticos que se necesitan con prioridad y en su elección deberá
tomar en cuenta: el estudio técnico, precio, calidad, experiencia, desarrollo
tecnológico, estándares y capacidad, costo inicial, costo de mantenimiento y
consumibles por el período estimado de uso de los equipos.
 Para la compra de Hardware el equipo que se desee adquirir deberá estar
dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del
mismo y dentro de los estándares de la empresa.

 La marca de los equipos o componentes deberá contar con presencia y

permanencia demostrada en el mercado nacional e internacional, así como con
asistencia técnica.

 Los dispositivos de almacenamiento, así como las interfaces de entrada- salida,

deberán estar acordes con la tecnología de punta vigente, tanto en velocidad
de transferencia de datos.

 Las impresoras deberán apegarse a los estándares de Hardware y Software

vigente en el mercado y en la empresa.

 En lo que se refiere a los servidores, equipos de comunicaciones, deben de

contar con un programa de mantenimiento preventivo y correctivo que incluya
su período de garantía.

 Instalación de equipos.

 Los equipos y las redes para uso de la empresa se instalarán en lugares

adecuados, lejos de polvo y tráfico de personas.

 La Administración de Informática, así como las áreas operativas deberán contar

con un mapa actualizado de las redes, equipos, instalaciones eléctricas y de
comunicaciones de la red.

 Las instalaciones eléctricas y redes, estarán fijas o resguardadas del paso de

personas o máquinas, y libres de cualquier peligro eléctrico o magnetismo.

 Manejo de la información.

 La información almacenada en medios magnéticos o físicos se deberá

inventariar, anexando la descripción y las especificaciones de la misma,
clasificándola en categorías.
 Los jefes de las dependencias responsables de la información contenida en la
oficina a su cargo, delegaran responsabilidades a sus subordinados y
determinarán quien está autorizado a efectuar operaciones salientes con dicha
información tomando las medidas de seguridad pertinentes.
 Se establecerán tres tipos de prioridad para la información de la dependencia:
Información vital, necesaria y ocasional o eventual.

 La información vital para el funcionamiento de la dependencia, se deberán tener

un buen proceso a la información, así como tener el apoyo diario de las
modificaciones efectuadas y guardando respaldos históricos semanalmente.

 Funcionamiento de la red.

 Una obligación del comité de la Administración de Informática es vigilar que las

redes y los equipos se usen bajo las condiciones especificadas por el proveedor.

 El personal ajeno de la empresa al usar la red o un equipo de cómputo, debe

estar su vigilado por un miembro de la empresa y se abstendrán de consumir
alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo
o deterioren la información almacenada.

 Mantener claves de acceso que permitan el uso solamente al personal

autorizado para tal fin.

 Verificar la información que provenga de fuentes externas a fin de examinar que

esté libre de cualquier agente contaminante o perjudicial para el funcionamiento
de los equipos.

 En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos

informáticos de la dependencia, por consecutivo, se prohíbe el ingreso y/o
instalación de hardware y software a particulares, es decir que no sea propiedad
de la empresa.

 Contraseñas.

 Todos los que laboren en la parte de las dependencias de la empresa deben

tener un usuario con acceso a un sistema de información o a una red
informática, colocando una única autorización de acceso compuesta de usuario
y contraseña.
 Ningún trabajador tendrá acceso a la red, recursos informáticos o aplicaciones
hasta que no acepte formalmente la Política de Seguridad.

 Los usuarios tendrán acceso autorizado solo a los recursos que le asignen la
empresa para el desarrollo de sus funciones.

 La contraseña tendrá una longitud mínima de igual o superior a ocho caracteres,

y estarán constituidas por combinación de caracteres alfabéticos, numéricos y
especiales.

 Los identificadores para usuarios temporales se configurarán para un corto

período de tiempo. Una vez expirado dicho período, se desactivarán de los
sistemas inmediatamente.

 Responsabilidades.

 Los usuarios son responsables de toda actividad relacionada con el uso de su

acceso autorizado que la empresa le asigno.

 Los usuarios no deben revelar bajo ningún concepto su contraseña a ninguna

persona ni mantenerla por escrito a la vista, ni al alcance de terceros.

 Los usuarios no deben utilizar ningún acceso o contraseña de otro usuario,

aunque dispongan de la autorización del propietario.

 En el caso que el sistema no lo solicite automáticamente, el usuario debe

cambiar su contraseña como mínimo una vez cada 30 días. En caso contrario,
se le podrá denegar el acceso y se deberá contactar con el jefe inmediato para
solicitar al administrador de la red una nueva clave.

 Los usuarios deben notificar a su jefe inmediato cualquier incidencia que

detecten que afecte o pueda afectar a la seguridad de los datos de carácter
personal: pérdida de listados y/o información, sospechas de uso indebido del
acceso autorizado por otras personas.

 Los usuarios únicamente introducirán datos identificativos y direcciones o

teléfonos de personas en las agendas de contactos de las herramientas
informáticas.
 HERRAMIENTAS.

Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son las siguientes:

 GABRIEL: Detecta ataques SATAN, genera alertas vía e-mail o en el servidor.

 NETLOG: Registra conexión cada milisegundo, corrige ataques SATAN o ISS,

genera Trazas.

 COURTNEY: Detecta ataques SATAN, genera información procesada por

TCPDump: ve la información de cabecera de paquetes: Maquina de origen,
máquina de destino, protocolos utilizados y chequea los puertos en un lapso de
tiempo corto.

Y las herramientas que se utilizaran para chequear el sistema son las

siguientes:

 CRACK: Es una herramienta virtual del sistema y permite forzar las contraseñas
de usuario, para medir el grado de complejidad de las contraseñas, las
contraseñas de nuestro sistema siempre están encriptados.

 TRIPWIRE: Su función principal es la de detectar cualquier cambio o

modificación en el sistema de archivos, como modificaciones no autorizadas o
alteraciones maliciosas en los software.

 TIGER: Chequea elementos de seguridad del sistema para detectar problemas

y vulnerabilidades ayudando a configurar el sistema en general, sistemas de
archivos, caminos de búsqueda, cuentas de usuarios, y también
configuraciones de usuarios.

Además, el supervisor de Informática, deberá desarrollar una revisión a los demás

distintos medios como (intranet, email, sitio web oficial, etc.), y tomara las medidas
necesarias para el cumplimiento de los Procedimientos de Seguridad.
 GLOSARIO.

 Cracker:Un "cracker" es una persona que intenta acceder a un sistema

informático sin autorización.Estas personastienen a menudo malas intenciones,
en contraste con los "hackers", y suelen disponer de muchos medios para
introducirseen un sistema.

 Hacker:Persona que tiene un conocimiento profundo acerca del funcionamiento

de redes y que puede advertir loserrores y fallas de seguridad del mismo. Al
igual que un cracker busca acceder por diversas vías a lossistemas informáticos
pero con fines de protagonismo contratado.

 Local Área Network (LAN): (Red de datos para dar servicio a un área
geográfica pequeña, un edificio por ejemplo, por lo cual mejorarde Área Local)
los protocolos de señal de la red para llegar a velocidades de transmisión de
hasta 100 Mbps (100millones de bits por segundo).

 SATAN (Security Analysis Tool for Auditing Networks): Herramienta de

Análisis de Seguridad para la Auditoria de redes. Conjunto de programas
escritos por Dan Farmer junto con Wietse Venema para la detección de
problemas relacionados con la seguridad.

 TCP/IP (Transmisión Control Protocol/Internet Protocol): Arquitectura de

red desarrollada por la "DefenseAdvanced Research Projects Agency" en USA,
es el conjunto de protocolos básicos de Internet o de una Intranet.

 Trojan Horse (Caballo de Troya): programa informático que lleva en su interior

la lógica necesaria para que el creador del programa pueda acceder al interior
del sistema que lo procesa.

 Intranet: Una red privada dentro de una compañía u organización que utiliza el
mismo software que se encuentra en Internet, pero que es solo para uso interno.