2017

MANUAL
POLÍTICAS DE
SEGURIDAD
Helps to Recycler

Nathalia Lizeth Arango Fernandez

Helps to Recycle
22/11/2017
 INTRODUCCIÓN

En la actualidad, las organizaciones son cada vez más dependientes de sus redes
informáticas y un problema que las afecte, por mínimo que sea, puede llegar a
comprometer la continuidad de las operaciones.

La falta de medidas de seguridad en las redes es un problema que está en

crecimiento. Cada vez es mayor el número de atacantes y cada vez están más
organizados, por lo que van adquiriendo día a día habilidades más especializadas
que les permiten obtener mayores beneficios. Tampoco deben subestimarse las
fallas de seguridad provenientes del interior mismo de la organización.

El proponer o identificar una política de seguridad requiere un alto compromiso

con la organización, agudeza técnica para establecer fallas y debilidades, y
constancia para renovar y actualizar dicha política en función del dinámico
ambiente que rodea las organizaciones modernas.

este manual de procedimientos encontraran de forma clara y precisa en la cual

será administrada los sistemas de información de esta empresa para brindar una
mayor seguridad de su información y la manera de cómo controlar sus activos
tecnológicos tanto a nivel de hardware como de software.

CONCEPTO DE SEGURIDAD

En la actualidad, la seguridad informática ha adquirido gran auge, dadas las

Cambiantes condiciones y las nuevas plataformas de computación disponibles. La

Posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que
Permiten explorar más allá de las fronteras de la organización. Esta situación ha
llevado a la aparición de nuevas amenazas en los sistemas computarizados.

Consecuentemente, muchas organizaciones gubernamentales y no

Gubernamentales internacionales han desarrollado documentos y directrices que
Orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones
con el Objeto de obtener el mayor provecho de estas ventajas, y evitar el uso
indebido de la Mismas. Esto puede ocasionar serios problemas en los bienes y
servicios de las Empresas en el mundo.

En este sentido, las políticas de seguridad informática (PSI) surgen como una
Herramienta organizacional para concientizar a cada uno de los miembros de una
Organización sobre la importancia y la sensibilidad de la información y servicios
críticos Que favorecen el desarrollo de la organización y su buen funcionamiento.

1 Helps to Recycler
 1. Propósito

Establecer los pasos que se deben seguir para garantizar la seguridad en la red.
2. Alcance

Este procedimiento aplica al Jefe de Seguridad en Redes, bajo de la supervisión

del Director de teleinformática.
3. Referencia
Para la elaboración de este procedimiento, se tomó como referencia el
manual de procedimientos.
4. Responsabilidades
Secretario Administrativo: Responsable de autorizar este procedimiento.

Director de Teleinformática: Responsable de revisar y supervisar la

aplicación de este Procedimiento

Jefe Seguridad en Redes: Responsable de elaborar y aplicar este procedimiento.

5. CLIENTES Y PROVEEDORES

PROVEEDORES ENTREGABLES
Externos Equipo, Software y Licenciamiento.

Jefe de telefonía y Videoconferencia Formato de Solicitudes

Clientes ENTREGABLES
Unidad Administrativa Especificaciones técnicas Hardware y
Software.
Equipos con Políticas de Seguridad
Implementados o Servicios de redes
Configurados.

6. DIRECTORIO ACTIVO

El directorio activo permite al administrador de red establecer políticas de

seguridad, esta almacena información de una organización en una base de datos
central, organizada y accesible.

Nos permite una serie de objetivos relacionados como agregar usuarios, grupos
de usuarios, permisos y asignación de recursos y políticas de acceso.

2 Helps to Recycler
 NOMBRE RIESGO (R) IMPORTANCIA RIESGO DETALLE
(W) EVALUADO
(RXW)

Base de 10 10 100 Esta es la

Datos razón de ser
de la empresa
porque allí
están
almacenados
los detalles de
los clientes y
los productos
de la empresa.

Servidor Web 8 10 80 Es un Equipo

costoso por el
tema de los
servicios que
están
montados.

Swith 3 5 15 El swith es un
equipo activo
que se puede
cambiar,
resetear y
volver a
configurar.

PC 7 3 21 Son los
equipos lo cual
los empleados
procesan
información se
puede
modificar y
cambiar
piezas
fácilmente.

Impresora 2 1 2 Recurso para

la elaboración
de trabajos lo
cual si se daña
se cambia con
facilidad.

3 Helps to Recycler
NOMBRE GRUPO DE TIPO DE PRIVILEGIOS
USUARIOS ACCESO
Base de Datos Administración Local Lectura y Escritura
Base de Datos Empleados Remoto y Local Solo Lectura
Acceso a Internet Usuario Local Solo Lectura
Servidor Pagina Técnicos de Local Lectura y Escritura.
Web Mantenimiento
Acceso a Administradores Local y Remoto Lectura y Escritura
Servidor, Router de red
y Swith
Acceso a Equipos Técnicos de Local Todos
Sistemas

7. CREACIÓN DE LOS USUARIOS

Cada usuario de la compañía se le agrega un usuario corporativo con su

respectivo modo de acceso y sus limitaciones.

•Procedimiento de alta cuenta de usuarios: se lleva a cabo cuando se crea una

cuenta de usuario teniendo en cuenta datos personales, cargo y funciones a
realizar.

El administrador del directorio activo deberá solicitar los siguientes datos:

➢ Nombres y Apellidos
➢ Área de desempeño
➢ Cargo
➢ Extensión del área de trabajo
➢ Tipo de contrato
➢ Correo electrónico

Con estos datos el LOGIN del usuario seria

➢ Letra inicial del nombre

➢ Apellido completo
➢ Letra inicial del apellido

NOMBRE 1 APELLIDO 2 APELLIDO LOGIN

Nathalia Lizeth Arango Fernandez NAARANGOFE

4 Helps to Recycler
• Procedimiento de buenas contraseñas: Determinar buenas contraseñas de
usuario que deben contener letras, números y caracteres para que sea más difícil
de descifrar para que sea más tedioso para el software que descifran las claves.

8. CREACIÓN DE LA CUENTA CORPORATIVA

La cuenta corporativa es importante por los datos confidenciales de la empresa el

administrador solicita los siguientes datos:

➢ Nombres y Apellidos
➢ Área de desempeño
➢ Cargo
➢ Extensión del área de trabajo
➢ Tipo de contrato
➢ Correo electrónico

Con estos datos el administrador crea el ID de la siguiente forma:

➢ Letra inicial del nombre

➢ Apellido completa
➢ Letra inicial del apellido

Nombre 1 apellido 2 apellido ID CORREO

Nathalia Lizeth Arango Fernandez naarangofe@helpstorecycler.com.co

9. PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS

Cuando ingresa nuevo personal a la empresa el jefe de dicha área o departamento

será el encargado de enviar una solicitud por correo electrónico al área de
informática, este correo debe llegar tanto al encargado de los bienes tecnológicos
como al jefe de dicha área (Informática).

Inmediatamente el agente de soporte técnico empezará a preparar la máquina con

los programas solicitados, incluyendo el correo, corporativo, impresora y el S.O
con todas sus actualizaciones (parches de seguridad). Además antes de entregar
el equipo de cómputo el usuario deberá firmar un acta en la cual se describe las
partes esenciales con sus respectivos seriales. El formato utilizado aplica también
para cuando una persona realiza un reintegro al área de sistemas.

10. PROCEDIMIENTO PARA SOPORTE TÉCNICO

5 Helps to Recycler
Se implementará una mesa de ayuda de 3 niveles de los cuales se dividen así:

Primer nivel

Por medio de la línea telefónica que se habilitará los usuarios que llamen recibirán
asistencia remota hasta donde lo permita la situación, en este caso el incidente
que se presenta, si no se resuelve de forma oportuna el servicio que el usuario
necesita se deberá tomar los datos del usuario y registrarlo en el software de
incidentes para que el segundo nivel se haga cargo.

Segundo nivel

Interviene el Agente de soporte en sitio, el cuál brindará atención de una forma

amable y educada y resolver el incidente que se presente.
El agente de soporte en sitio se encargará fuera de resolver el incidente, el de
verificar que el sistema local esté sin problemas, es decir, mirar que el equipo no
presente demás fallas para así evitar el llamado concurrente del usuario.
Si el segundo nivel no puede dar solución al incidente se escalará el servicio al
tercer nivel.

Tercer nivel

En este nivel encontramos a los administradores de servidores.

6 Helps to Recycler
 11. HERRAMIENTAS PARA CONTROL
Las herramientas para uso de administración de redes, será única y
exclusivamente para el personal administrativo del área de redes y sobre ellos
caerá toda responsabilidad por el uso de la misma.

ARANDA SOFTWARE

Se utilizarán los módulos de Aranda para llevar un control preciso tanto en

software como en hardware, hay que tener en cuenta que se deberá instalar en
cada máquina (computador) un agente el cual recogerá toda la información a nivel
de software y hardware.

Módulo Metrix

Recoge información del software que tenga instalado cada equipo, esto nos
ayudará a tener control sobre los programas que se instalen ya que la idea aquí es
evitar que la empresa se vea sancionada por no tener un óptimo control sobre este
tema.

Módulo Network

Permite conocer los dispositivos de red en un diagrama topológico que permite las
vistas de routers, switches, servidores, estaciones de trabajo y servicios.
Este software permite encontrar fallas en la red rápidamente, además son éste se
puede administrar dispositivos conectados a la red de una entidad, como routers,
switchs, estaciones de trabajo, impresoras, entre otros.
Permite obtener reportes con los siguientes datos:
Identificador
Nombre del dispositivo
Ubicación
Descripción
Fabricante
Tipo de dispositivo
IP
MAC, entre otros.

7 Helps to Recycler
NETLOG

Como hay ataques a la red a gran velocidad haciendo en ocasiones imposible de

detectar, esta herramienta es indispensable pues nos permite ver paquetes que
circulan por la red y determinar si son sospechosos, peligrosos o si es un ataque
que se produjo.

GABRIEL

Tomaría este demonio, para contrarrestar ataques SATAN, pues el Daemon

Security Application Technical Authorization Network es una excelente
herramienta, que puede ocasionar grandes daños. GABRIEL es muy útil pues una
máquina afectada envía inmediatamente un reporte al servidor, haciendo más fácil
solucionar e identificar la máquina.

• Comprende Cliente-Servidor
• Identifica el ataque “SATAN”
• Conexión de inmediata de fallos de cliente

CRACK
Esta herramienta es muy útil para implementar la cultura en los usuarios de
generar contraseñas óptimas, pues recordemos y tengamos presentes que los
datos son un valor muy importante de una empresa.
• Esta herramienta es muy útil para implementar la cultura en los usuarios de
generar contraseñas óptimas, pues recordemos y tengamos presentes que
los datos son un valor muy importante de una empresa.
• Realiza una inspección para detectar passwords débiles y vulnerables
• Comprueba la complejidad de las contraseñas.

TRINUX

Será muy útil para controlar el tráfico de correos electrónicos entrantes y salientes,
evitar el robo de contraseñas y la intercepción de correos, esta herramienta nos
evitaría un DoS que haría colapsar los sistemas de una empresa.

8 Helps to Recycler
 12. PLAN DE EJECUCIÓN

Elaborando el plan de ejecución como una lista de chequeo o checklist nos

enfocamos en una lista de tareas a llevar a cabo para chequear el funcionamiento
del sistema.
➢ Asegurar el entorno. ¿Qué es necesario proteger? ¿Cuáles son los
riesgos?
➢ Determinar prioridades para la seguridad y el uso de los recursos.
➢ Crear planes avanzados sobre qué hacer en una emergencia.
➢ Trabajar para educar a los usuarios del sistema sobre las necesidades y las
ventajas de la buena seguridad
➢ Estar atentos a los incidentes inusuales y comportamientos extraños.
➢ Asegurarse de que cada persona utilice su propia cuenta.
➢ ¿Están las copias de seguridad bien resguardadas?
➢ No almacenar las copias de seguridad en el mismo sitio donde se las
realiza
➢ ¿Los permisos básicos son de sólo lectura?
➢ Si se realizan copias de seguridad de directorios/archivos críticos, usar
chequeo de comparación para detectar modificaciones no autorizadas.
➢ Periódicamente rever todo los archivos de “booteo de los sistemas y los
archivos de configuración para detectar modificaciones y/o cambios en
ellos.
➢ Tener sensores de humo y fuego en el cuarto de computadoras.
➢ Tener medios de extinción de fuego adecuados en el cuarto de
computadoras.
➢ Entrenar a los usuarios sobre qué hacer cuando se disparan las alarmas.
➢ Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras.
➢ Instalar UPS, filtros de línea, protectores gaseosos al menos en el cuarto de
computadoras.
➢ Tener planes de recuperación de desastres.
➢ Considerar usar fibras ópticas como medio de transporte de información en
la red.
➢ Nunca usar teclas de función programables en una terminal para almacenar
información de login o password.
➢ Considerar realizar autolog de cuentas de usuario.
➢ Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su
login y su password, a fin de prevenir los “Caballos de Troya”.
➢ Considerar la generación automática de password.
➢ Asegurarse de que cada cuenta tenga un password.
➢ No crear cuentas por defecto o “guest” para alguien que está
temporariamente en la organización.
9 Helps to Recycler
 ➢ No permitir que una sola cuenta esté compartida por un grupo de gente.
➢ Deshabilitar las cuentas de personas que se encuentren fuera de la
organización por largo tiempo.
➢ Deshabilitar las cuentas “dormidas” por mucho tiempo.
➢ Deshabilitar o resguardar físicamente las bocas de conexión de red no
usadas.
➢ Limitar el acceso físico a cables de red, routers, bocas, repetidores y
terminadores.
➢ Los usuarios deben tener diferentes passwords sobre diferentes segmentos
de la red.
➢ Monitorear regularmente la actividad sobre los Gateway.· Plan de
contingencia:
➢ Que se debe hacer en caso de una falla o un ataque a los sistemas.
Capacitación constante:
Esto incluye tanto a los usuarios como a los administradores de los sistemas.
➢ Monitoreo:
Garantizar un buen funcionamiento de las PSI.

Elementos de una PSI

➢ Rango de acción de las políticas. Esto se refiere a las personas sobre
las cuales se posa la ley, así como los sistemas a los que afecta.
➢ Reconocimiento de la información como uno de los principales activos
de la empresa.
➢ Objetivo principal de la política y objetivos secundarios de la misma. Si
se hace referencia a un elemento particular, hacer una descripción de
dicho elemento.
➢ Responsabilidades generales de los miembros y sistemas de la
empresa.
➢ Como la política cubre ciertos dispositivos y sistemas, estos deben tener
un mínimo nivel de seguridad. Se debe definir este umbral mínimo.
➢ Explicación de lo que se considera una violación y sus repercusiones
ante el no cumplimiento de las leyes.
➢ Responsabilidad que tienen los usuarios frente a la información a la que
tienen acceso.

10 Helps to Recycler