Proyecto Final

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que

llamars Proyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema

JONATHAN ALEXANDER DURANGO HENAO

PROYECTO FINAL

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las

herramientas usadas para proteger los datos, y haber generado sus
procedimientos, est listo para generar la carta magna de la seguridad de
la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual

debe tener el estudio previo que se hizo para establecer la base del
sistema de seguridad, el programa de seguridad, el plan de accin,
las tablas de grupos de acceso, la valoracin de los elementos de la
red, los formatos de informes presentados a la gerencia para
establecer el sistema de seguridad, los procedimientos escogidos
para la red, as como las herramientas, y el desarrollo de cada
procedimiento en forma algortmica (agregue todo lo que considere
necesario). Recuerde que el manual de procedimientos es un proceso
dinmico, por lo que debe modular todos los contenidos en unidades
distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la
capacidad que tiene, como persona, de gestionar la seguridad de una red.
Guarde este documento, pues es su carta de presentacin para cualquier
empleo en el que se le exija experiencia.

1 Redes y seguridad
Proyecto Final

R/
INTRODUCCIN

Las redes informtica en el mundo han mostrado un gran progreso, la

posibilidad de comunicarse a travs de redes ha abierto mucho horizontes a
las empresas para mejorar su productividad y poder expandirse a muchos
pases, debido a esto hay que garantizar la seguridad de la informacin que
se trabaja da a da, estos riesgos nos han llevado a implementar nuevos
procedimientos que nos van a ayudar en el adecuado uso de los sistemas
tecnolgicos y de las redes en general, la cual consisten en compartir
recursos, y que todos los programas, datos y equipo estn disponibles para
cualquiera de la red que as lo solicite, sin importar la localizacin del
recurso y del usuario.

Tambin consiste en proporcionar una alta fiabilidad, al contar con fuentes

alternativas de suministro. Adems, la presencia de mltiples CPU significa
que si una de ellas deja de funcionar, las otras pueden ser capaces de
encargarse de su trabajo, aunque se tenga un rendimiento menor. Este
manual fue elaborado con nociones Bsicas de Seguridad en redes
informticas, recogiendo los principales conceptos y recomendaciones de
los problemas que se pueden presentar en una red, con el fin de informar a
los trabajadores sobre los riesgos ms comunes y sus medidas preventivas.

2 Redes y seguridad
Proyecto Final

ESTUDIO DEL SISTEMA DE SEGURIDAD.

En esta empresa un mecanismo para evitar que la seguridad sea un factor

de riesgo hay que facilitar la formalizacin de los empleados para que ellos
materialicen las Polticas de Seguridad Informtica, por otra parte hay una
gran cantidad de inconvenientes porque las personas no se acoplan al
cambio y no les gusta regirse a los avances; Si realmente quiere que las PSI
sean aceptadas, debemos realizar una integracin en la empresa con la
misin, visin y objetivos estratgicos. Por lo anterior es muy importante
saber las clases de riesgo tiene la empresa como lo descritos a
continuacin:
Mucha informacin confidencial puede ser observada y alterada
continuamente por otros usuarios.
Se puede suplantar con facilidad la identidad de los usuarios o
administradores.
No hay restriccin a personas ajenas a la empresa.
Los equipos de cmputo son el punto ms dbil en la seguridad
porque se maneja personal variado.
No hay niveles de jerarqua entre jefes, administradores y usuarios.
En los sistemas de cmputo la informacin est completamente
abierta.
No hay responsabilidades en los cargos de las distintas dependencias
y se delegaran a sus subordinados sin autorizacin.
No se cuenta con un programa de mantenimiento preventivo y
correctivo de los sistemas de cmputo.
La falla contina por no tener las normas elctricas bien aplicadas;
dan pie a cortes de electricidad sin previo aviso.

PROGRAMA DE SEGURIDAD.

La seguridad en la informacin, es un concepto relacionado con los

componentes del sistema (hardware), las aplicaciones utilizadas en este
(software) y la capacitacin del personal que se encargara del manejo de los
equipos. Por esta razn un paso primordial es establecer normas y
estndares que permitan obtener un manejo seguro de toda la
infraestructura de comunicacin, la informacin, y por consiguiente los
recursos de la empresa. Se han convertido en un activo de altsimo valor, de
tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace
necesario proteger, asegurar y administrar la informacin necesaria para
garantizar su integridad, confidencialidad y disponibilidad.

3 Redes y seguridad
Proyecto Final

El presentar bases, normas de uso y seguridad informticas dentro de la

empresa respecto a la manipulacin, uso de aplicaciones y equipos
computacionales permitir el buen desarrollo de los procesos informticos y
elevar el nivel de seguridad de los mismos y as preservar la informacin y
los diferentes recursos informticos con que cuenta la Empresa.

PLAN DE ACCIN.

El propsito de este plan de accin es asegurar que los funcionarios utilicen

correctamente los recursos tecnolgicos que la empresa pone a su
disposicin, este ser de obligatorio cumplimiento y el usuario que incumpla
deber responder por los daos causados a el sistema informtico de la
empresa, y tendr acciones disciplinarias y penales ante la ley. En el plan de
accin a seguir de la empresa adoptaremos los siguientes pasos:
Crear una cuenta para cada usuario la cual, impedir que pueda
daar al sistema o a otros usuarios, y le dar solo los recursos
necesarios para la labor asignada.
En esta cuenta de usuario se asignaran permisos o privilegios al
usuario para acceder a los sistemas de informacin y desarrollar
actividades dentro de ellas de forma personalizada.
Implementar una base de datos de usuario, esto permite realizar
seguimiento y control.
Para la creacin de cuentas se deber enviar una solicitud a la oficina
de Sistemas, con el visto bueno del jefe de cada rea, donde se bebe
resaltar los privilegios que va a tener el usuario.
Cuando un usuario reciba una cuenta, deber acercarse a la oficina
de sistema para informarle las responsabilidades y el uso de esta.
Por ningn motivo se conceder una cuenta a personas ajenas a la
empresa.
El departamento de Recursos Humanos debe informar al
departamento de Sistemas los funcionarios que dejan de laborar,
para desactivarle la cuenta.
El acceso a internet se permitir al personal que lo necesite este ser
de uso laboral y no personal, con el fin de no saturar el ancho de
banda.
4 Redes y seguridad
Proyecto Final

 No acceder a pginas de entretenimiento, pornografa, o que estn

fuera del contexto laboral.
No se descargara informacin en archivos adjuntos de dudosa
procedencia, esto para evitar el ingreso de virus al equipo.
Ningn usuario est autorizado para instalar software en su
ordenador. El usuario que necesite algn programa especfico para
desarrollar su actividad laboral, deber comunicarlo al Departamento
de Sistemas.
Los empleados de la Empresa solo tendrn acceso a la informacin
necesaria para el desarrollo de sus actividades.
Ningn empleado debe instalar ningn programa para ver vdeos,
msica o juegos va Internet.
se debe utilizar el correo electrnico como una herramienta de
trabajo, y no para recibir mensajes de amigos y familiares, para eso
est el correo personal.
No enviar archivos de gran tamao a compaeros de oficina, esto
ocupa mucho espacio en la banda.
No participar en la propagacin de mensajes encadenados o de
esquemas de pirmides.
No enviar grandes cadenas de chistes en forma interna.
No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya
que podran contener cdigos maliciosos.
El acceso a las cuentas personales no debe hacerse en jornadas
laborales ni en los equipo de la empresa.
Cuando el usuario deje de usar su estacin de trabajo deber cerrar y
verificar el cierre del correo, para evitar que otra persona use su
cuenta.
Se debe mantener los mensajes que se
agrupndolos por temas en carpetas personales.

desea

conservar,

El departamento de Sistemas determinar el tamao mximo que

deben tener los mensajes del correo electrnico.
5 Redes y seguridad
Proyecto Final

 Los mensajes tendrn una vigencia de 30 das desde la fecha de

entrega o recepcin. Terminada la fecha, los mensajes debern ser
eliminados del servidor de correo.
Se creara una carpeta compartida para todos los empleados esta es
de uso laboral para compartir tareas y no para almacenar cosas
personales o innecesarias.
Tambin se crearan unas subcarpetas compartidas de cada
departamento, jefes, supervisores y administradores pero se crearan
privilegio para el uso de estas.
A la informacin vital se le realizara una copia de seguridad todos los
fines de semana, con el fin de proteger, tener respaldo de los datos y
el buen manejo de la red.
La informacin que se guarde en la red y no sea utilizada, debe
eliminarse y guardarla ya sea en el equipo o en memorias USB, para
no mantener la red llena.
No modificar ni manipular archivos que se encuentren en la red que
no sean de su propiedad.
Los usuarios no pueden instalar, suprimir o modificar el software
entregado en su computador.
No se puede instalar ni conectar dispositivos o partes diferentes a las
entregadas en los equipos.
No es permitido abrir la tapa de los equipos, y retirar parte de estos
por personal diferente al departamento de sistemas.
Los equipos, escner, impresoras, lectoras y equipos de comunicacin
no podrn ser trasladados del sitio que se les asign inicialmente, sin
previa autorizacin del departamento de sistemas o seguridad.
Se debe garantizar la estabilidad y buen funcionamiento de las
instalaciones elctricas, asegurando que los equipos estn
conectados a una corriente regulada, o Ups.
Los equipos deben estar ubicados en sitios adecuados, evitando la
exposicin al agua, polvo o calor excesivo.
Ningn usuario,
computadores.

podr

6 Redes y seguridad
Proyecto Final

formatear

los

discos

duros

de

los

 Ningn usuario podr retirar partes o usar los equipos de

comunicacin para uso personal sin la autorizacin del departamento
de sistemas.
A los equipos personales no se les brindar soporte de ninguna
ndole: ni de hardware ni de software, porque son responsabilidad del
dueo.
La direccin IP asignada a cada equipo debe ser conservada y no se
debe cambiar sin la autorizacin del departamento de Sistemas
porque esto ocasionara conflictos y esto alterara el flujo de la red.
No llenar el espacio de disco del equipo con msica ni videos, ni
informacin personal que no sea necesaria para el desarrollo de sus
tareas con respecto a la entidad.
Se capacitara al personal para tener un anlisis previo y evaluar en
qu parte es necesario mejorar o resolver un problema.
Dar una capacitacin de la actividad a desarrollarse y en la que cada
funcionario se va a desempear especficamente.
Es
estrictamente
obligatorio,
informar
oportunamente
al
departamento de sistemas las novedades por problemas elctricos,
tcnicos, de planta fsica, etc. que altere la correcta funcionalidad del
sistema.

TABLA DE GRUPOS DE ACCESO.

Recurso del Sistema

Riesgo R
Tipos de Acceso
Permisos Otorgados
Numero
Nombre

1. Router (56): Es uno de los ms importantes ya que de la buena

configuracin de este depende mucho la seguridad de nuestra red.
2. Swiche (48): El buen funcionamiento de este hace posible distribuir
toda la informacin a la red.
3. Impresora (16): En este recurso es posible llevar cualquier informacin
a un documento fsico.
7 Redes y seguridad
Proyecto Final

4. Cableado (20): De este depende intercomunican entre terminales y

servidores.
5. Servidor (100): Es el de mayor importancia porque todas las acciones
se realizarn a travs de este.
6. Terminal (25): Es importante
alimentaremos al servidor.

porque

por

medio

de

estos

7. Base de Datos (48): Es de gran importancia ya que almacena toda la

informacin de la empresa.

PROCEDIMIENTOS.

En la empresa se utilizaran una serie de procedimientos que nos

ayudaran a tener un control sobre los equipos, usuarios y toda la
informacin vital en la red, estos procedimientos sern una propuesta
de polticas de seguridad, como un recurso o mecanismo para mitigar
los riesgos a los que se ve expuesta.
Equipos y Bienes de la empresa:
o

se tiene que crear un medio de escrito para controlar y velar la

seguridad informtica de las diferentes reas de la Empresa.

Para los efectos de este instrumento se entender por: Comit Al

equipo integrado por la Gerencia, los Jefes de rea y el personal
administrativo (ocasionalmente) convocado para fines especficos
como: Adquisiciones para la compra de nuevos Hardware y
software para la empresa.

Velar por el buen funcionamiento de las herramientas

tecnolgicas que se van a utilizar en las diferentes reas de la
empresa.

Elaborar y efectuar seguimiento el Plan de accin de la empresa

verificando todas la normatividad vigente de la misma.

Elaborar el plan correctivo realizando en forma clara cada

dependencia de la empresa para poder corregirlo, y en las futuras
revistas poder tener solucionado las novedades encontradas y
levar a un margen de error de cero.

8 Redes y seguridad
Proyecto Final

La instancia rectora de los sistemas de informtica de la empresa

es la Gerencia, y el organismo competente para la aplicacin de
este ordenamiento, es el Comit que fue nombrado.

Compra de recursos informticos.

o

Para toda compra que se haga en tecnologa informtica se realizara

a travs del Comit, que est conformado por el personal de la
Administracin de Informtica.

El comit de Informtica deber planear las operaciones para la

compra de los bienes informticos que se necesitan con prioridad y
en su eleccin deber tomar en cuenta: el estudio tcnico, precio,
calidad, experiencia, desarrollo tecnolgico, estndares y capacidad,
costo inicial, costo de mantenimiento y consumibles por el perodo
estimado de uso de los equipos.

Para la compra de Hardware el equipo que se desee adquirir deber

estar dentro de las listas de ventas vigentes de los fabricantes y/o
distribuidores del mismo y dentro de los estndares de la empresa.

La marca de los equipos o componentes deber contar con presencia

y permanencia demostrada en el mercado nacional e internacional,
as como con asistencia tcnica.

Los dispositivos de almacenamiento, as como las interfaces de

entrada-salida, debern estar acordes con la tecnologa de punta
vigente, tanto en velocidad de transferencia de datos.

Las impresoras debern apegarse a los estndares de Hardware y

Software vigente en el mercado y en la empresa.

En lo que se refiere a los servidores, equipos de comunicaciones,

deben de contar con un programa de mantenimiento preventivo y
correctivo que incluya su perodo de garanta.

Instalacin de equipos.
o

Los equipos y las redes para uso de la empresa se instalarn en

lugares adecuados, lejos de polvo y trfico de personas.
9 Redes y seguridad
Proyecto Final

La Administracin de Informtica, as como las reas operativas

debern contar con un mapa actualizado de las redes, equipos,
instalaciones elctricas y de comunicaciones de la red.

Las instalaciones elctricas y redes, estarn fijas o resguardadas del

paso de personas o mquinas, y libres de cualquier peligro elctrico o
magnetismo.

Manejo de la informacin.
o

La informacin almacenada en medios magnticos o fsicos se deber

inventariar, anexando la descripcin y las especificaciones de la
misma, clasificndola en categoras.
Los jefes de las dependencias responsables de la informacin
contenida en la oficina a su cargo, delegaran responsabilidades a sus
subordinados y determinarn quien est autorizado a efectuar
operaciones salientes con dicha informacin tomando las medidas de
seguridad pertinentes.

Se establecern tres tipos de prioridad para la informacin de la

dependencia: Informacin vital, necesaria y ocasional o eventual.

La informacin vital para el funcionamiento de la dependencia, se

debern tener un buen proceso a la informacin, as como tener el
apoyo diario de las modificaciones efectuadas y guardando respaldos
histricos semanalmente.

Funcionamiento de la red.
o

Una obligacin del comit de la Administracin de Informtica es

vigilar que las redes y los equipos se usen bajo las condiciones
especificadas por el proveedor.

El personal ajeno de la empresa al usar la red o un equipo de

cmputo, debe estar su vigilado por un miembro de la empresa y se
abstendrn de consumir alimentos, fumar o realizar actos que
perjudiquen el funcionamiento del mismo o deterioren la informacin
almacenada.

Mantener claves de acceso que permitan el uso solamente al

personal autorizado para tal fin.

10 Redes y seguridad
Proyecto Final

Verificar la informacin que provenga de fuentes externas a fin de

examinar que est libre de cualquier agente contaminante o
perjudicial para el funcionamiento de los equipos.

En ningn caso se autorizar la utilizacin de dispositivos ajenos a los

procesos informticos de la dependencia, por consecutivo, se prohbe
el ingreso y/o instalacin de hardware y software a particulares, es
decir que no sea propiedad de la empresa.

Contraseas.
o

Todos los que laboren en la parte de las dependencias de la empresa

deben tener un usuario con acceso a un sistema de informacin o a
una red informtica, colocando una nica autorizacin de acceso
compuesta de usuario y contrasea.

Ningn trabajador tendr acceso a la red, recursos informticos o

aplicaciones hasta que no acepte formalmente la Poltica de
Seguridad.

Los usuarios tendrn acceso autorizado solo a los recursos que le

asignen la empresa para el desarrollo de sus funciones.

La contrasea tendr una longitud mnima de igual o superior a ocho

caracteres, y estarn constituidas por combinacin de caracteres
alfabticos, numricos y especiales.

Los identificadores para usuarios temporales se configurarn para un

corto perodo de tiempo. Una vez expirado dicho perodo, se
desactivarn de los sistemas inmediatamente.

Responsabilidades.
o

Los usuarios son responsables de toda actividad relacionada con el

uso de su acceso autorizado que la empresa le asigno.

Los usuarios no deben revelar bajo ningn concepto su contrasea a

ninguna persona ni mantenerla por escrito a la vista, ni al alcance de
terceros.

Los usuarios no deben utilizar ningn acceso o contrasea de otro

usuario, aunque dispongan de la autorizacin del propietario.

En el caso que el sistema no lo solicite automticamente, el usuario

debe cambiar su contrasea como mnimo una vez cada 30 das. En

11 Redes y seguridad
Proyecto Final

caso contrario, se le podr denegar el acceso y se deber contactar

con el jefe inmediato para solicitar al administrador de la red una
nueva clave.
o

Los usuarios deben notificar a su jefe inmediato cualquier incidencia

que detecten que afecte o pueda afectar a la seguridad de los datos
de carcter personal: prdida de listados y/o informacin, sospechas
de uso indebido del acceso autorizado por otras personas.

Los usuarios nicamente introducirn datos identificativos y

direcciones o telfonos de personas en las agendas de contactos de
las herramientas informticas.

HERRAMIENTAS.

Las herramientas de control que se pueden utilizar para

administrar una red dependiendo de las fallas descritas en este
manual son las siguientes:
GABRIEL: Detecta ataques SATAN, genera alertas va e-mail o en el
servidor.
NETLOG: Registra conexin cada milisegundo, corrige ataques SATAN
o ISS, genera Trazas.
COURTNEY: Detecta ataques SATAN, genera informacin procesada
por TCPDump: ve la informacin de cabecera de paquetes: Maquina
de origen, mquina de destino, protocolos utilizados y chequea los
puertos en un lapso de tiempo corto.
Y las herramientas que se utilizaran para chequear el sistema son
las siguientes:
CRACK: Es una herramienta virtual del sistema y permite forzar las
contraseas de usuario, para medir el grado de complejidad de las
contraseas, las contraseas de nuestro sistema siempre estn
encriptados.
TRIPWIRE: Su funcin principal es la de detectar cualquier cambio o
modificacin en el sistema de archivos, como modificaciones no
autorizadas o alteraciones maliciosas en los software.
TIGER: Chequea elementos de seguridad del sistema para detectar
problemas y vulnerabilidades ayudando a configurar el sistema en
12 Redes y seguridad
Proyecto Final

general, sistemas de archivos, caminos de bsqueda, cuentas de

usuarios, y tambin configuraciones de usuarios.
Adems, el supervisor de Informtica, deber desarrollar una revisin a los
dems distintos medios como (intranet, email, sitio web oficial, etc.), y
tomara las medidas necesarias para el cumplimiento de los Procedimientos
de Seguridad.

GLOSARIO.

Cracker: Un "cracker" es una persona que intenta acceder a un

sistema informtico sin autorizacin. Estas personas tienen a menudo
malas intenciones, en contraste con los "hackers", y suelen disponer
de muchos medios para introducirse en un sistema.
Hacker: Persona que tiene un conocimiento profundo acerca del
funcionamiento de redes y que puede advertir los errores y fallas de
seguridad del mismo. Al igual que un cracker busca acceder por
diversas vas a los sistemas informticos pero con fines de
protagonismo contratado.
Local rea Network (LAN): (Red de datos para dar servicio a un
rea geogrfica pequea, un edificio por ejemplo, por lo cual mejorar
de rea Local) los protocolos de seal de la red para llegar a
velocidades de transmisin de hasta 100 Mbps (100 millones de bits
por segundo).
SATAN (Security Analysis Tool for Auditing Networks):
Herramienta de Anlisis de Seguridad para la Auditoria de redes.
Conjunto de programas escritos por Dan Farmer junto con Wietse
Venema para la deteccin de problemas relacionados con la
seguridad.
TCP/IP (Transmisin Control Protocol/Internet Protocol):
Arquitectura de red desarrollada por la "Defense Advanced Research
Projects Agency" en USA, es el conjunto de protocolos bsicos de
Internet o de una Intranet.
13 Redes y seguridad
Proyecto Final

 Trojan Horse (Caballo de Troya): programa informtico que lleva

en su interior la lgica necesaria para que el creador del programa
pueda acceder al interior del sistema que lo procesa.
Intranet: Una red privada dentro de una compaa u organizacin
que utiliza el mismo software que se encuentra en Internet, pero que
es solo para uso interno.

14 Redes y seguridad
Proyecto Final