REDES Y SEGURIDAD

GEORGE MARTIN BARON CASTILLO

735327

Instructora
Luz Dary Bautista Parra

Servicio Nacional de Aprendizaje

SENA

Villavicencio - Meta, 12 de Mayo de 2014

INTRODUCCION
Las redes informticas en el mundo han mostrado un gran progreso, la posibilidad
de comunicarse a travs de redes ha abierto mucho horizontes a las empresas
para mejorar la productividad y poder expandirse a muchos pases, debido a esto
hay que garantizar la seguridad de la informacin que se trabaja da a da, estos
riesgos nos han llevado a implementar nuevos procedimientos que nos van a
ayudar en el adecuado uso de los sistemas tecnolgicos y delas redes en general,
la cual consisten en compartir recursos, y que todos los programas, datos y equipo
estn disponibles para cualquiera de la red que as lo solicite, sin importar la
localizacin del recurso y del usuario.
Tambin consiste en proporcionar una alta fiabilidad, al contar con fuentes
alternativas de suministro. Adems, la presencia de mltiples CPU significa que si
una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su
trabajo, aunque se tenga un rendimiento menor. Este manual fue elaborado con
nociones Bsicas de Seguridad en redes informticas, recogiendo los principales
conceptos y recomendaciones de los problemas que se pueden presentar en una
red, con el fin de informar a los trabajadores sobre los riesgos ms comunes y sus
medidas

Nombre
Fecha
Activida
d
Tema

George Martin Barn Castillo

12 de Mayo del 2014
Evidencias 4

Proyecto final

Proyecto Final

1) Desarrolle el manual de procedimientos de la empresa. Este manual debe

tener el estudio previo que se hizo para establecer la base del sistema de
seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de
acceso, la valoracin de los elementos de la red, los formatos de informes
presentados a la gerencia para establecer el sistema de seguridad, los
procedimientos escogidos para la red, as como las herramientas, y el desarrollo
de cada procedimiento en forma algortmica (agregue todo lo que considere
necesario). Recuerde que el manual de procedimientos es un proceso dinmico,
por lo que debe modular todos los contenidos en unidades distintas, para poder
modificarlas en caso de que sea necesario ...

ESTUDIO DEL SISTEMA DE SEGURIDAD

En esta empresa un mecanismo para evitar que la seguridad sea un factor de
riesgo hay que facilitar la formalizacin de los empleados para que ellos
materialicen las Polticas de Seguridad Informtica, por otra parte hay una gran
cantidad de inconvenientes porque las personas no se acoplan al cambio y no
les gusta regirse a los avances; Si realmente quiere las PSI sean aceptadas,
debemos realizar una integracin en la empresa con la misin, visin y objetivos
estratgicos. Por lo anterior es muy importante saber las clases de riesgo tiene la
empresa como lo descrito a continuacin:
Mucha informacin confidencial puede ser observada y alterada continuamente
por otros usuarios.
Se puede suplantar con facilidad la identidad de los usuarios o administradores
No hay restriccin a personas ajenas a la empresa

Los equipos de cmputo son el punto ms dbil en la seguridad porque se

maneja personal variado.
No hay niveles de jerarqua entre jefes, administradores y usuarios
En los sistemas de cmputo la informacin est completamente abierta
No hay responsabilidades en los cargos de las distintas dependencias y se
delegaran a sus subordinados sin autorizacin
No se cuenta con un programa de mantenimiento preventivo y correctivo de los
sistemas de cmputo
La falla contina por no tener las normas elctricas bien aplicadas; dan pie a
cortes de electricidad sin previo aviso.

PROGRAMA DE SEGURIDAD
La seguridad en la informacin es un concepto relacionado con los componentes
del sistema (hardware), las aplicaciones utilizadas en este (software) y por la
capacitacin del personal que se encargara del manejo de los equipos. Por esta
razn un paso primordial es establecer normas y estndares que permitan
obtener un manejo seguro de toda la infraestructura de comunicacin, la
informacin, y por consiguiente los recursos de la empresa. Se han convertido en
un activo de altsimo valor, de tal forma, la empresa no se puede ser indiferente y
por lo tanto, se hace necesario proteger, asegurar y administrar la informacin
necesaria para garantizar su integridad, confidencialidad y disponibilidad
El presentar bases, normas de uso y seguridad informticas dentro de la
empresa respecto a la manipulacin, uso de aplicaciones y equipos
computacionales permitir el buen desarrollo de los procesos informticos y
elevara el nivel de seguridad de los mismos y as preservara la informacin y los
diferentes recursos informticos con que cuenta la empresa

PLAN DE ACCION
El propsito de este plan de accin es asegurar que los funcionarios utilicen
correctamente los recursos tecnolgicos que la empresa pone a su disposicin,
este ser de obligatorio cumplimiento y el usuario que incumpla deber
responder por daos causados al sistema informtico de la empresa, y tendr

acciones disciplinarias y penales ante la ley. En el plan de accin a seguir de la

empresa adoptaremos los siguientes pasos:
Crear una cuenta para cada usuario la cual, impedir que pueda daar al sistema
o a otros usuarios, y le dar solo los recursos necesarios para la labor asignada
En esta cuenta de usuario se asignara permisos o privilegios al usuario para
acceder a los sistemas de informacin y desarrollara actividades dentro de ellas
de forma personalizada
Implementar una base de datos de usuario, esto permite realizar seguimiento y
control
Para la creacin de cuentas se deber enviar una solicitud a la oficina de
sistemas, con el visto bueno del jefe de cada rea, donde se debe resaltar los
privilegios que va a tener el usuario
Cuando un usuario reciba una cuenta, deber acercarse a la oficina de sistema
para informarle las responsabilidades y el uso de esta
Por ningn motivo se conceder a personas ajenas a la empresa
El departamento de Recursos Humanos debe informar al departamento de
Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta
El acceso a internet se permitir al personal que lo necesite este ser de uso
laboral y no personal, con el fin de no saturar el ancho de banda
No acceder a pginas de entretenimiento, pornografa, o que estn fuera del
contexto laboral
No se descargara informacin en archivos adjuntos de dudosa procedencia, esto
para evitar el ingreso de virus al equipo
Ningn usuario est autorizado a instalar software en su ordenador. El usuario
que necesite algn problema especfico para desarrollar su actividad laboral,
deber comunicarlo al departamento de sistemas
Los empleados de la empresa solo tendrn acceso a la informacin necesaria
para el desarrollo de sus actividades
Ningn empleado debe instalar ningn programa para ver videos, msica o
juegos va internet
Se debe utilizar el correo electrnico como una herramienta de trabajo, y no para
recibir mensajes de amigos y familiares, para eso est el correo personal

No enviar archivos de gran tamao a compaeros de oficina, esto ocupa mucho

espacio en la banda
No participar en la propagacin de mensajes encadenados o de esquemas de
pirmides
No enviar grandes cadenas de chiste en forma interna
No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podran
contener cdigos maliciosos
El acceso a las cuentas personales no debe hacerse en jornadas laborales no e
los equipos de la empresa
Cuando el usuario jefe debe usar su estacin de trabajo deber cerrar y verificar
el cierre del correo, para evitar que otra persona use su cuenta
Se debe mantener los mensajes que se desea conservar, agrupndolos por
temas en carpetas personales
El departamento de Sistemas determinara el tamao mximo que deben tener
los mensajes del correo electrnico
Los mensajes tendrn una vigencia de 30 das desde la fecha de entrega o
recepcin. Terminada la fecha, los mensajes debern ser eliminados del servidor
de correo
Se creara una carpeta compartida para todos los empleados esta es de uso
laboral para compartir tareas y no para almacenar cosas personales o
innecesarias
Tambin se crearan una subcarpetas compartidas de cada departamento, jefes,
supervisores y administradores pero se crearan privilegio para el uso de estas
A la informacin vital se le realizara una copia de seguridad todos los fines de
semana, con el fin de proteger, tener el respaldo de datos y el buen manejo de la
red
La informacin que se guarde en la red y no sea utilizada, debe eliminarse y
guardarla ya sea en el quipo o en memorias USB, para no mantener la red llena
No modificar ni manipular archivos que se encuentren en la red que no sean de
su propiedad
Los usuarios no pueden instalar, suprimir o modificar software entregado en su
computador

No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas

en los equipos
No es permitido abrir la tapa de los equipos, y retirar parte de estos por personal
diferentes al departamento de sistemas
Los equipos, escner, impresoras, lectoras y equipos de comunicacin no podrn
trasladados del sitio que se les asigno inicialmente, sin previa autorizacin del
departamento de sistemas o seguridad
Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones
elctricas, asegurando que los equipos estn conectados a una corriente
regulada, o Ups
Los equipos deben estar ubicados en sitios adecuados, evitando la exposicin el
agua, polvo o calor excesivo
Ningn usuario podr formatear los discos duros de los computadores
Ningn usuario podr retirar partes o usar equipos de comunicacin para uso
personal sin la autorizacin del departamento de sistemas
A los equipos personales no se les brindara soporte de ninguna ndole: ni de
hardware ni de software, porque son responsabilidad del dueo
La direccin IP asignada a cada equipo debe ser conservada y no se debe
cambiar sin la autorizacin del departamento de Sistemas porque esto
ocasionara conflictos y esto alterara el flujo de la red
No llenar el espacio de disco del equipo con msica ni videos, ni informacin
personal que no sea necesaria para el desarrollo de sus tareas con respecto a la
entidad
Se capacitara al personal para tener un anlisis previo y evaluar en qu parte es
necesario mejorar un problema
Dar capacitacin de la actividad a desarrollarse y en la que cada funcionaron se
va a desempaar especialmente
Estrictamente obligatorio, informa oportunamente al departamento de sistemas
las novedades por problemas elctricos, tcnicos, de planta fsica, etc. Que
altere la correcta funcionalidad del sistema

TABLA DE GRUPOS DE ACCESO

Recurso del Sistema
Riesgo R
Tipos de Acceso
Permisos Otorgados
Numero
Nombre
1) Routers: Es uno de los ms importantes ya que de la buena configuracin de
este depende mucho la seguridad informtica de nuestra red
2) Swiche: El buen funcionamiento de este hace posible distribuir toda la
informacin a la red
3) Impresora: En este recurso es posible llevar cualquier informacin aun
documento fsico
4) Cableado: De este depende intercomunican entre terminales y servidores
5) Servidor: Es el de mayor importancia porque todas las acciones se realizaran
a travs de este
6) Terminal: Es importante porque por medio de estos alimentaremos al servidor
7) Base de datos: Es de gran importancia ya que almacena toda la informacin
de la empresa
PROCEDIMIENTOS
En la empresa se utilizan una serie de procedimientos que nos ayudaran a tener
un control sobre los equipos, usuarios y toda la informacin vital en la red, estos
procedimientos sern una propuesta de polticas de seguridad, como un recurso
o mecanismo para mitigar los riesgos a los que se ve expuesta
Equipos y bienes de la empresa:
Se tiene que crear un medio de escrito para controlar y velar la seguridad
informtica de las diferentes reas de la Empresa
Para los efectos de este instrumento se entender por: Comit al equipo
integrado por la gerencia, los jefes de rea y el personal administrativo

(ocasionalmente) convocado para fines especficos como: Adquisiciones para la

compra de nuevos Hardware y software para la empresa
Velar por el buen funcionamiento de las herramientas tecnolgicas que se van a
utilizar en las diferentes reas de la empresa
Elaborar y efectuar seguimiento el Plan de accin de la empresa verificando
todas la normatividad vigente de la misma
Elaborar el plan correctivo realizando en forma clara cada dependencia de la
empresa para poder corregirlo, y en las futuras revistas poder tener solucionado
las novedades encontradas y levar a un margen de error de cero
La instancia rectora de los sistemas de informtica de la empresa es la Gerencia,
y el organismo competente para la aplicacin de este ordenamiento es el Comit
que fue nombrado
Compra de recursos informticos
Para toda compra que se haga en tecnologa informtica se realizara a travs del
Comit, que est conformando por el personal de la Administracin de
Informtica
El comit de Informtica deber planear las operaciones para la compra de los
bienes informticos que se necesitan don prioridad y en su eleccin deber
tomar en cuenta: el estudio tcnico, precio, calidad, experiencia, desarrollo
tecnolgico, estndares y capacidad, costo inicial, costo de mantenimiento y
consumibles por el periodo estipulado de uso de los equipos
Para la compra de Hardware el equipo que se desee adquirir deber estar dentro
de las listas de ventas vigentes de los fabricantes y/ o distribuidores del mismo y
dentro de los estndares de la empresa
La marca de los equipos o componentes deber contar con presencia y
permanencia demostrada en el mercado nacional e internacional, as como con
asistencia tcnica
Los dispositivos de almacenamiento, as como las interfaces de entrada salida,
debern estar acordes con la tecnologa de punta vigente, tanto en velocidad de
transferencia de datos
Las impresoras debern apegarse a los estndares de Hardware y Software
vigente en el mercado y en la empresa

En lo que se refiere a los servidores, equipos de comunicaciones, deben de

contar con un programa de mantenimiento preventivo y correctivo que incluya su
periodo de garanta
Instalacin de equipos
Los equipos y las redes para uso de la empresa de instalaran en lugares
adecuados, lejos de polvo y trfico de personas
La administracin de Informtica, as como las reas operativas debern contar
con un mapa actualizado de las redes, equipos, instalaciones elctricas y de
comunicaciones de la red
Las instalaciones elctricas y redes, estarn fijas o resguardadas del paso de
personas o maquinas, y libres de cualquier peligro elctrico o magnetismo
Manejo de la informacin
La informacin almacenada en medios magnticos o fsicos se deber
inventariar, anexando la descripcin y las especificaciones de las mismas
clasificndola en categoras
Los jefes de las dependencias responsables de la informacin contenida en la
oficina a su cargo, delegaran responsabilidades a sus subordinados y
determinaran quien est autorizado a efectuar operaciones salientes con dicha
informacin tomando las medidas de seguridad pertinentes
Se establecern tres tipos de prioridad para la informacin de la dependencia:
Informacin vital, necesaria y ocasional o eventual
La informacin vital para el funcionamiento de la dependencia, se debern tener
un buen proceso a la informacin, as como tener el apoyo diario de las
modificaciones efectuadas y guardando respaldos histricos semanalmente
Funcionamiento de la red
Una obligacin del comit de la Administracin de Informtica es vigilar que las
redes y los equipos se usen bajo las condiciones especficas por el proveedor
El personal ajeno de la empresa al usar la red o un equipo de cmputo, debe
estar su vigilado por un miembro de la empresa y se abstendr de consumir
alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o
deterioraren la informacin almacenada

Mantener claves de acceso que permitan el uso solamente al personal

autorizado para tal fin
Verificar la informacin que provenga de fuentes externas a fin de examinar que
est libre de cualquier agente contaminante o perjudicial para el funcionamiento
de los equipos
En ningn caso se autorizara la utilizacin de dispositivos ajenos a los procesos
informticos de la dependencia, por consecutivo, se prohbe el ingreso o
instalacin de hardware y software a particulares, es decir que no sea propiedad
de la empresa
Contraseas
Todos los que laboren en la parte de las dependencias de la empresa deben
tener un usuario con acceso a un sistema de informacin o a una red informtica,
colocando una nica autorizacin de acceso compuesta de usuario y contrasea
Ningn trabajador tendr acceso a la red, recursos informticos o aplicaciones
hasta que no acepte formalmente la Poltica de Seguridad
Los usuarios tendrn acceso autorizado solo a los recursos que le asignen la
empresa para el desarrollo de sus funciones
La contrasea tendr una longitud mnima de igual o superior a ocho caracteres,
y estarn constituidas por una combinacin de caracteres alfabticos, numricos
y especiales
Los identificadores para usuarios temporales se configuraran para un corto
periodo de tiempo. Una vez expirado dicho periodo, se desactivaran de los
sistemas inmediatamente
Responsabilidades
Los usuarios son responsables de toda actividad relacionada con el uso de su
acceso autorizado que la empresa le asigno
Los usuarios no deben revelar bajo ningn concepto su contrasea a ninguna
persona ni mantenerla por escrito a la vista, ni al alcance de terceros
Los usuarios no deben utilizar ningn acceso o contrasea de otro usuario,
aunque dispongan de la autorizacin del propietario
En el caso que el sistema no lo solicite automticamente, el usuario debe
cambiar su contrasea como mnimo una vez cada 30 das. En caso contrario se

lo podr denegar al acceso y se deber contactar con el jefe inmediato para

solicitar la administracin de la red una red nueva clave
Los usuarios deben notificar a su jefe inmediato cualquier incidencia que
detecten que afecte o pueda afectar a la seguridad de los datos de carcter
personal: perdida de listados y /o informacin, sospechosas de uso indebido del
acceso autorizado por otras personas
Los usuarios nicamente introducirn datos identificativos y direcciones o
telfonos de personas en la agenda de contacto de las herramientas informticas
HARRAMIENTAS
Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son las siguientes:
Gabriel: Detecta ataques SATAN, genera alertas va e-mail o en el servidor
Netlog: Registra conexiones cada milisegundo, corrige ataques SATAN o ISS,
genera trazas
Courtney: Detecta ataques SATAN, genera informacin procesada por
TCPDump: ve la informacin de cabecera de paquetes: mquina de origen,
mquina de destino, protocolos utilizados y chequea los puertos en un lapso de
tiempo corto
Y las herramientas que se utilizaran para chequear el sistema son las siguientes:
Crack: Es una herramientas virtual del sistema y permite forzar las contraseas
de usuario, para medir el grado de complejidad de las contraseas, las
contraseas de nuestro sistema siempre estn encriptados.
Tripwire: Su funcin principal es la de detectar cualquier cambio o modificacin
en el sistema de archivos, como modificaciones no autorizadas o alteraciones
maliciosas en los software
Tiger: Chequea elementos de seguridad del sistema para detectar problemas y
vulnerabilidades ayudando a configurar el sistema en general, sistemas de
archivos, caminos de bsqueda, cuentas de usuario, y tambin configuraciones
de usuarios.
Adems, el supervisor de Informtica, deber desarrollar una revisin a los
dems distintos medios como (intranet, email, sitio web oficial, etc.), y tomara las
medidas necesarias para el cumplimiento de los procedimientos de seguridad