Proyecto Final

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Proyecto Final. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema Luis Novoa Pazmio Actividad 4 Proyecto Final

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta magna de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as como las herramientas, y el desarrollo de cada procedimiento en forma algortmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

INTRODUCCIN Dada la necesidad de garantizar la Seguridad y Proteccin de la informacin que se procesa, intercambia reproduce y conserva mediante el uso de las tecnologas informticas y de comunicaciones con el fin de preservar la confidencialidad, integridad y disponibilidad de la informacin, se hace imprescindible poner en vigor un Plan de Seguridad Informtica, que regule la disciplina informtica a tener
1 Redes y seguridad Proyecto Final

en cuenta por todos los empleados de la empresa. El conjunto de las medidas de seguridad y proteccin de la informacin y de disciplina informtica constituirn la Seguridad Informtica, que comprende medidas administrativas, organizativas, fsicas, tcnicas, legales y educativas dirigidas a prevenir, detectar y responder a acciones que pongan en riesgo o constituyan una amenaza para la confidencialidad, integridad y disponibilidad de la informacin que se procese, intercambie, reproduzca y conserve a travs de las tecnologas informticas y de comunicaciones; as como el correcto uso y conservacin de las mismas. OBJETIVOS El presente Plan de Seguridad Informtica y manual de procedimientos tiene como objetivo fundamental la proteccin de todas las tecnologas informticas y de comunicacin que posee la Empresa. La proteccin va encaminada fundamentalmente a prevenir, detectar y contrarrestar aquellas acciones que pongan en riesgos la confidencialidad, disponibilidad e integridad de la informacin y resguardar el equipamiento contra el acceso no autorizado los locales donde se encuentran. Los equipos sern protegidos contra las contingencias siguientes: 1. Contaminacin con virus informticos. 2. Destruccin o modificacin del Sistema Operativo. 3. Contra inundaciones e incendios. 4. Fallas del fluido elctrico. 5. Fallos de las Comunicaciones. 6. Robos. 7. Fallas en el Hardware. ALCANCE Son objeto de anlisis para la elaboracin de este Plan de Seguridad y manual de procedimientos las tecnologas informticas y de comunicacin que posee la Empresa.

Redes y seguridad Proyecto Final

Este plan abarcar todas las tecnologas informticas instaladas en la Empresa. ESTRUCTURA DE GESTIN. Dada las caractersticas del centro, <nombre del responsable de Seguridad Informtica>, es el encargado de la Seguridad Informtica. Este especialista est subordinado a: ______________________ Entre las funciones, responsabilidades y obligaciones de la persona referido en el punto anterior se encuentran: a) Controlar porque se implanten y cumplan todas las medidas de Seguridad Informtica que se establezcan en el siguiente Plan de Seguridad Informtica. En caso de incumplimientos de las mismas lo informar por escrito a los niveles superiores. b) Elaborar los procedimientos indispensables para garantizar la seguridad de los Sistemas Informticos. c) Establecer el chequeo previo y posterior de todo soporte magntico que participe en actividades de carcter nacional o internacional, con el objetivo de evitar la posible propagacin de algn virus informtico y sus consecuencias. d) Controlar de forma sistemtica la integridad de todo software que se encuentra autorizado para su explotacin. e) Velar porque se apliquen los productos de proteccin actualizados y certificados. f) Registrar los virus que aparezcan en la empresa y tratar de determinar quienes lo introducen y cmo, sea de forma intencional o no. g) Ante indicios de contaminacin por un virus informtico nuevo o desconocido, aislarlo o apagar el equipo y preservar la microcomputadora infestada. SISTEMA DE MEDIDAS PARA LA SEGURIDAD INFORMTICA Polticas de Seguridad. Los bienes informticos a proteger son el hardware y el software. De ellos se har hincapi en el cuidado del software y los datos porque estn ms expuestos
3 Redes y seguridad Proyecto Final

al deterioro por el uso. Las caractersticas a priorizar son: la confidencialidad y la disponibilidad. El control de acceso a la informacin ser de mnimo privilegio, cada persona tendr acceso a la informacin imprescindible para su trabajo. Personal. El Responsable de Seguridad Informtica de la DPE y el resto del personal que trabajar permanente o eventualmente en estas tecnologas son confiables y estarn autorizados por el Director. El Modelo 9. Listado nominal de usuarios , el cual puede ser modificado en inters de la Direccin y por el propio Director a propuesta del consejo de Direccin. Responsabilidades. Entre las funciones, responsabilidades responsabilizado con los equipos estn: y obligaciones del especialista

Cumplir todas las Medidas para la Seguridad Informtica que se establecen en el presente Plan. Aplicar los productos antivirus actualizados y certificados. Crear las condiciones necesarias y someter al proceso de cuarentena todo nuevo software y de que se prevea su generalizacin. Realizar las actividades previstas en la revisin de los soportes magnticos que se introduzcan en su rea de responsabilidad. Apoyar y participar en el estudio y aplicacin del sistema de seguridad de las tecnologas informticas y de comunicaciones, y en la determinacin de las causas y condiciones que propician un hecho de violacin en el uso y conservacin de estos equipos y la informacin que se procese, intercambie, reproduzca y conserve en los mismos. El intercambio de sistemas y programas de aplicaciones mediante las tecnologas de comunicaciones se realizar de la siguiente manera: Previamente al envo de informacin, se utilizar un programa identificador/des contaminador de virus para revisar los ficheros ejecutables que van a ser transmitidos y posteriormente a la recepcin de ficheros ejecutables se someter a los mismos al proceso de cuarentena establecido.
Redes y seguridad Proyecto Final

El Responsable de Seguridad Informtica de la Empresa. Velar por que las aplicaciones cumplan con las medidas de proteccin orientadas para las tecnologas informticas e informar a las instancias competentes cuando se produzcan incumplimientos en este sentido. Crear un disquete sistema con la salva de los patrones fundamentales; SECTOR DE PARTICIONES, SECTOR DE ARRANQUE, CONFIG.SYS, AUTOEXEC.BAT y cualquier otro necesario, con vistas a la restauracin de los mismos al producirse cualquier incidente que las afecte y se actualizar este disquete al modificarse alguno de los patrones. Implantacin de mecanismos de proteccin contra acceso no autorizados. Analizar peridicamente los registros de auditora. Ejecutar auditoras peridicas y velar por el cumplimiento de las regulaciones dispuestas en este Plan.

Capacitar al personal con el objetivo de contribuir al conocimiento y cumplimiento de las medidas establecidas en el presente Plan. MEDIDAS DE SEGURIDAD FSICA. reas a Proteger. Oficina del director/a del departamento de sistemas Departamento de Sistemas.

Barreras Fsicas. Los locales donde estn instaladas las tecnologas informticas deben tener una construccin slida, una buena seguridad compuesta por rejas y candados en puertas y rejas. No existan equipos cercanos que emitan ondas electromagnticas ni pasen tuberas de agua ni instalaciones sanitarias que puedan afectar las tecnologas. Se debe disponer de extintores, deben ser ubicados en la entrada del local, el personal deber ser capacitado para sofocar incendios.

Redes y seguridad Proyecto Final

Sistema de Control de Acceso. A los Dptos. Que poseen tecnologa informtica solo tienen acceso los trabajadores del mismo, otras personas de la empresa o un visitante externo podrn acceder a estos locales con la autorizacin del y siempre en presencia de un trabajador o el propio Jefe de Dpto o Subdirector. Para el acceso al local, donde estn las tecnologas informticas, slo lo autoriza el Jefe de Dpto o Subdirector. El Tcnico encargado de dar mantenimiento a este equipamiento ser debidamente seleccionado as como el resto del personal que pueda recibir los servicios, incluyendo el responsable de seguridad informtica que tendr libre acceso y ser el responsable de auditar y velar por que se cumplan todas las medidas de proteccin y seguridad. En caso de detectarse violacin de las puertas de entrada, se comunicar inmediatamente al Director, al Responsable de Seguridad Informtica y al Responsable de Proteccin Fsica, los cuales procedern de acuerdo a la magnitud del hecho. Se preservar el lugar hasta que se autorice lo contrario. Control de Acceso a la Tecnologas. El Jefe del Dpto. y/o Subdirector en cada caso, determinarn como utilizar el personal bajo su direccin de forma tal que se logre un uso racional de las tecnologas informticas. Para que una persona externa al LOCAL tenga acceso a las tecnologas informticas y de comunicaciones ser necesario la autorizacin del Jefe del Departamento o el Subdirector, y lo harn sin excepcin en presencia de una persona del rea. El personal para la reparacin de las tecnologas informticas de empresa. Tendr acceso a la microcomputadora que requiera sus servicios, siempre en compaa de una de las personas responsabilizadas con dicha mquina. Adems pueden entrar a todos los locales que poseen tecnologa informtica. Soportes de Informacin. Identificacin. Todo soporte con informacin que entre o salga del local, tendr identificado en su etiqueta el contenido del mismo. A los soportes magnticos que contengan las salvas se les pondr en un lugar
6 Redes y seguridad Proyecto Final

bien visible una etiqueta que identifique la unidad, la fecha y el nombre de la salva, el nivel de clasificacin, la periodicidad. Conservacin. Se adoptarn las medidas pertinentes para la conservacin y custodia de los ficheros creados con fines de salvaguarda. Las copias de las salvas (no menos de dos ejemplares) se tendrn en el local destinado para la conservacin y custodia del material informtico, detallndose nombre de la salva, de soporte y lugar de conservacin adems se registrar en el registro de salvas. El Responsable de Seguridad Informtica del centro tendr a su cargo la custodia de este material Destruccin De procesarse informacin clasificada, tendr que hacerse en una mquina no conectada a la red y una vez concluido el trabajo, se borrar la informacin y se eliminar de la papelera de reciclaje. La informacin en diskettes ser borrada mediante formateo de los mismos o su destruccin fsica. Traslado. Para el traslado de informacin proveniente de otra entidad o hacia otra entidad, se anotar en el Registro De Entrada/Recepcin de Soportes Magnticos. MEDIDAS DE SEGURIDAD TCNICA O LGICA. Proteccin de Entrada a las Tecnologas de Informacin. El responsable de seguridad Informtica implementar claves de acceso desde el SETUP y en refrescadores de pantallas, siendo imprescindible en las que procesan informacin clasificada o sensible. Identificacin y Autentificacin de Usuarios. Se incorporarn mecanismos de identificacin (cdigo de identificacin de usuario) y autenticacin (contrasea de usuario). Se garantizar que las contraseas que se apliquen tengan un perodo de vigencia con cotas mnimas de 30 das y mximas 180 das de duracin, que posean un mnimo de 8 caracteres alfanumricos, al menos 2 de ellos de caracteres especiales, y que no permitan la duplicidad de las mismas. La
7 Redes y seguridad Proyecto Final

contrasea ser cambiada con la periodicidad adecuada, no pudiendo repetirse la misma contrasea antes de que hubiera transcurrido un ao, como mnimo, desde que hubiera dejado de utilizarse, Todas estas contraseas se anotarn en un documento nico, por el Responsable de Seguridad Informtica el cual ser guardado con la categora de restringido en caso de emergencia tendr acceso a este documento de las claves El Jefe Dpto. El Responsable de seguridad Informtica ser el encargado de actualizar el documento con las claves. Control del Uso de los Recursos y de la Informacin. Se anotar en el Registro y Control del Tiempo de Mquina la utilizacin de los recursos (papel, cinta, etc.) El control de la informacin se har por los registros de salva, Entrega, Recepcin de soportes, segn el caso. Contabilidad de las acciones que realizan los usuarios. Se aplica el control de tiempo de mquina

Traza de Auditora sobre Acciones que Amenazan la Seguridad. Se implantarn mecanismos de control que permitan contar con una traza o registro de los principales eventos que se ejecutan y puedan ser de inters para la deteccin o esclarecimiento ante violaciones de la Seguridad Informtica. Los mecanismos de auditora registrarn como mnimo: identificacin de accesos (autorizados y no autorizados); segn puesto de trabajo y usuario; hora, da, mes y ao del acceso; movimiento de soportes (magnticos, de papel, etc.); transmisin a distancia y otros. Medidas que garantizan la integridad de los ficheros y datos. El Responsable de Seguridad Informtica de la Empresa tendr la obligacin de hacer revisiones peridicas en las tecnologas Informticas. Se mantendr la informacin actualizada de la configuracin, que permita el rpido restablecimiento de la misma y con la menor afectacin posible ante la ocurrencia de hechos que as lo requieran. El disco duro estar organizado en Directorios y Sub directorios y solamente estarn en la raz del disco los programas asociados al sistema operativo, con los atributos de slo lectura y ocultos. Quien detecte indicios de difusin de mensajes contrarios al inters social, la moral y las buenas costumbres, o la integridad o seguridad del
Redes y seguridad Proyecto Final

estado, debe comunicarlo de inmediato al Responsable de Seguridad Informtica de la Empresa. Proteccin Contra Programas Dainos. El Responsable de Seguridad Informtica de la Empresa exigir la copra o actualizacin cada vez que entre una nueva versin del Software antivirus y lo instalar personalmente a las tecnologas informticas. El Responsable de Seguridad Informtica de la Empresa estar en la obligacin de verificar sistemticamente (Cada 15 das) el estado de la seguridad de estas tecnologas, brindando de forma diferenciada y preferencial la asesora a los especialistas que utilizarn este equipamiento cada vez que haya modificaciones en las versiones de los software antivirus y de otro tipo seleccionado para este equipamiento. El Responsable de Seguridad Informtica de la Empresa ser el encargado de someter a un diagnstico el software en proceso de cuarentena, utilizando software antivirus nacionales. S prohbe terminantemente el intercambio de cdigos de virus entre personas o grupo de personas. El Especialistas de Seguridad Informtica de la Empresa. Es el nico autorizado ante la aparicin de un virus.

Seguridad de las Redes de Datos Abiertas. Las tecnologas informticas y de comunicaciones preparadas para la transmisin de datos estarn protegidas contra el acceso de personal no autorizado al uso de las mismas. La transmisin de informacin a travs de redes de transmisin de datos, se har siempre contando con la autorizacin correspondiente. El administrador de la red guardar por un perodo de un mes, la constancia de las comunicaciones efectuadas por cada uno de los usuarios, as como, el tiempo de comunicacin y destinatario. Se establecer un "Registro de control de Transmisin" donde se registren los datos relativos al inventario de los equipos, las personas autorizadas a utilizarlos, protocolo de transmisin y otros.

Redes y seguridad Proyecto Final

Corta Fuego para Conexin Segura. Se debe disponer de este sistema para seguridad de la red de la empresa. Control de Acceso. Solamente tendr derecho a borrar, modificar y entregar informacin, software y ficheros en general el personal que opera directamente cada equipo, el cual asumir la responsabilidad de cualquier hecho que no se ajuste a lo establecido en este Plan.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentacin para cualquier empleo en el que se le exija experiencia.

10

Redes y seguridad Proyecto Final