MANUAL DE PROCEDIMIENTOS DE LA EMPRESA

EDWIN JESUS MICOLTA FERNANDEZ

REDES Y SEGURIDAD

MANUAL DE PROCEDIMIENTO

POLITICAS DE SEGURIDAD
INFORMATICA

EDWIN JESUS MICOLTA FERNANDEZ

 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD

Introducción

Las políticas de seguridad informática tienen por objeto establecer las medidas de
índole técnica y de organización, necesarias para garantizar la seguridad de las
tecnologías de información (equipos de cómputo, sistemas de información, redes
(Voz y Datos)) y personas que interactúan haciendo uso de los servicios asociados
a ellos y se aplican a todos los usuarios de cómputo de las empresas.

En el siguiente manual de procedimiento se presentan los diferentes análisis de los

componentes, sus amenazas y vulnerabilidades que determinan los posibles
riesgos inherentes a los recursos informáticos, se ha procedido a distinguir las
políticas de seguridad informática actual y/o establecer nuevos procedimientos y
estrategias, tanto Gerenciales como Administrativas, que permitan el resguardo de
la información de los recursos informáticos de la empresa.

Esta política es aplicable a todos los empleados, incluyendo a todo el personal

externo que cuenten con un equipo conectado a la Red. Esta política es aplicable
también a todo el equipo y servicios propietarios o arrendados que de alguna
manera tengan que utilizar local o remotamente el uso de la Red o recursos
tecnológicos de la empresa, así como de los servicios e intercambio de archivos y
programas.
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD

1. Justificación

Ante el gran crecimiento de las redes de información y del uso de internet para la
conexión de las mismas, la transmisión de datos y la optimización de las
telecomunicaciones que se ha dado en los últimos años, es evidente que la
vulnerabilidad de los sistemas crece al mismo ritmo y es necesario que las medidas
de seguridad y protección sean cada vez más eficientes y menos fáciles de burlar
por personas dedicadas al hacking, virus informáticos, software espía y demás
ataques que traten de afectar la información de las empresas.

Con el fin de cumplir con el modelo de políticas, se requiere contar con un

profesional integro y competente, que apoye proyectos de solución informática y
desarrolle servicios de monitoreo y un plan de auditorías en proyectos de seguridad
informática. Si bien el desarrollo del presente documento complementa los
diferentes procesos realizados en la empresa para la implementación de las
diferentes normas que se requieren para un control y seguimiento especial en dicho
proceso.
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
2. Objetivos

2.1. Objetivo general

 Analizar, desarrollar e implementar un manual de procedimiento que

conlleve a establecer políticas de seguridad informática para
garantizar la integridad de los recursos informáticos presentes en la
empresa.

2.2. Objetivos específicos

 Evaluar y determinar los posibles riesgos ante los sistemas

informáticos.
 Desarrollar un sistema que permita proteger la información
confidencial de una compañía, utilizando PSI adecuadas.
 aclarar las responsabilidades de los usuarios y las medidas que deben
adoptar para proteger la información y los sistemas informáticos.
 Proponer estrategias que ayuden a proteger el sistema contra posibles
ataques.
 proteger, preservar la información junto con las tecnologías utilizadas
dentro de los procesos laborales.
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
3. Glosario

Administración Remota: Forma de administrar (manejar o controlar)

equipos informáticos o servicios físicamente separados.

Amenaza: Evento que puede desencadenar un incidente en la institución,

produciendo daños materiales o pérdidas inmateriales en sus activos.

Antivirus: Son una herramienta simple cuyo objetivo es detectar y eliminar

virus informáticos.

Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.

Bases de Datos: Conjunto de datos interrelacionados y de programas para

accederlos. Una recopilación de datos estructurados y organizados de una
manera disciplinada para que el acceso a la información de interés sea
rápido.

Comando: Instrucción u orden que el usuario proporciona a un sistema

informático, a través de una línea de texto basada en palabras clave.

Confidencialidad: Proteger la información de su revelación no autorizada.

Esto significa que la información debe estar protegida de ser copiada por
cualquiera que no esté explícitamente autorizado por el propietario de dicha
información.

Control de Acceso: Técnica usada para definir el uso de programas o limitar

la obtención y almacenamiento de datos a una memoria. Característica o
técnica en un sistema de comunicaciones que permite o niega el uso de
algunos componentes o algunas de sus funciones.

Crack: Programa que realiza una modificación permanente o temporal sobre

otro en su código, para obviar una limitación o candado impuesto a propósito
por el programador original. Algunas legislaciones consideran este tipo de
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
programas ilegales por facilitar la vulneración de los derechos de autor de
códigos no libres o comerciales.

Dirección IP: Es una etiqueta numérica que identifica, de manera lógica y

jerárquica, una interface de conexión de un dispositivo (habitualmente una
computadora) dentro de una red que utilice el protocolo IP (Internet Protocol).

Estabilizador: Dispositivo para la toma de la tensión de la red eléctrica que

alimenta al computador y a la red. Filtro de contenidos web: Herramienta
informática que bloquea o permite el acceso a determinados sitios de internet.

FTP (File Transfer Protocol): Protocolo y software que permite la

transferencia de archivos entre máquinas conectadas a una red.

Hacking: Acción de infiltrarse ilegalmente a sistemas informáticos y redes de

telecomunicación con fines delictivos.

Hardware: Partes físicas y tangibles de una computadora: sus componentes

eléctricos, electrónicos, electromecánicos y mecánicos, sus cables,
gabinetes o cajas, periféricos de todo tipo y cualquier otro elemento físico
involucrado.

Internet: Red de redes de computadoras conectadas a nivel mundial, se

emplea para el intercambio de información, el acceso a bases de datos, entre
otros fines.

Intranet: Red de computadoras privadas que utiliza tecnología Internet para

compartir dentro de una organización parte de sus sistemas de información,
datos y sistemas operativos.

Keygen: Programa informático, generalmente ilegal, que al ejecutarse

genera un código para que un determinado programa software de pago en
su versión de prueba pueda ofrecer los contenidos completos del mismo.

Mantenimiento: Acciones que tienen como objetivo mantener un artículo o

restaurarlo a un estado original.
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
Riesgo: Posibilidad de que se produzca un Impacto determinado en un
Activo, en un Dominio o en toda la empresa.

Software: Conjunto de componentes lógicos necesarios que hacen posible

la realización de tareas específicas. Software

SPAM: Mensajes no solicitados, no deseados o de remitente no conocido.

UPS (Uninterrupted Power System): Sistema de Potencia Ininterrumpida,

es un dispositivo que, gracias a sus baterías, puede proporcionar energía
eléctrica tras un apagón a todos los dispositivos que tenga conectados.

Usuario: Defínase a cualquier persona que utilice los servicios informáticos

de la red y tenga una especie de vinculación con la empresa.

Virus Informático: Programa software que altera el normal funcionamiento

del computador, sin el permiso o el conocimiento del usuario. Vulnerabilidad:
Posibilidad de ocurrencia de la materialización de una amenaza sobre un
Activo.

Vulnerabilidad: Posibilidad de ocurrencia de la materialización de una

amenaza sobre un Activo.

4. Políticas de seguridad informática

Las políticas de seguridad informática de la empresa, se basan en las buenas

prácticas que se le pueden dar a los distintos sistemas informáticos de la misma, y
a diferentes mecanismos que existen para evitar posibles daños o catástrofes
futuras, que puedan afectar de una u otra manera la integridad y la confidencialidad
de los datos o información que esta contenga; por lo que la empresa ha decidido
implementar las siguientes políticas de seguridad informática, que serán ejecutadas
y llevadas a cabo por cada uno de los empleados que tengan acceso a información
privilegiada, y que por su manipulación o extravío puedan afectar los procesos que
internamente lleva la empresa; de ello tendremos en cuenta diferentes políticas de
seguridad las cuales son:
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
4.1. Políticas de seguridad de equipos

Los equipos son la parte fundamental para el almacenamiento y gestión de la

información; el área de soporte técnico y de sistemas velara que los equipos
funcionen adecuadamente y establecer medidas preventivas y correctivas en caso
de robo, alteraciones, manipulaciones, fallas eléctricas y otros que afecten servicio.
Dentro de las políticas de seguridad de equipos tenemos:

1. Todo equipo de cómputo, periférico o accesorio que esté o sea conectado a

la Red, deberá sujetarse a las normas y procedimientos de instalación
establecidos por la oficina soporte y sistema, de lo contrario no le será
permitido conectar su equipo o dispositivo

2. Todo equipo de la Institución, debe estar ubicado en un área que cumpla con
los requerimientos de: seguridad física, condiciones ambientales adecuadas,
seguridad y estabilidad en la parte eléctrica.

3. Los usuarios responsables de los equipos en cada dependencia deberán dar

cumplimiento con las normas y estándares de instalación con las que fue
entregado el equipo, y deberán pedir aprobación de actualización o
instalación de cualquier software, reubicación del equipo, reasignación, y
todo aquello que implique cambios respecto a su instalación, asignación,
función y misión original.

4. La protección física y la limpieza externa de los equipos corresponde al

funcionario de sistema al que se le asigne la tarea, y la custodia y cuidado en
el sitio de trabajo le corresponde al funcionario que lo manipula y quien debe
notificar las eventualidades, tales como daños, pérdidas y demás en el menor
tiempo posible.

5. No se permite el uso de dispositivos de almacenamiento extraíble tales como

memorias USB, salvo en aquellos casos en donde por fuerza mayor se
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
requiera y previamente evaluado y aprobado por la oficina soporte y
sistemas.

6. Toda instalación de equipo, mantenimiento o proceso de soporte técnico a

nivel de hardware, sin importar su nivel de complejidad, debe ser única y
exclusivamente realizado por personal de la oficina de soporte y sistemas.

7. El servidor central de la red debe estar ubicado en un lugar exclusivo, sin

acceso de personas ajenas a la oficina de soporte y sistema, con las
condiciones adecuadas de espacio, temperatura, iluminación, entre otras.

8. La adquisición de nueva infraestructura de procesamiento de la información

(hardware, software, aplicaciones e instalaciones físicas) o la actualización
de la existente, deberá ser autorizada por la oficina de soporte y sistema y el
jefe de la dependencia afectada

4.2. Políticas de seguridad de usuarios

Los usuarios son las personas que utilizan la estructura tecnológica de la Institución,
ya sean equipos, recursos de red o gestión de la información. La oficina soporte y
sistema establece normas que buscan reducir los riesgos a la información o
infraestructura informática. Estas normas incluyen, restricciones, autorizaciones,
denegaciones, perfiles de usuario, protocolos y todo lo necesario que permita un
buen nivel de seguridad informática.

Las claves o los permisos de acceso que les sean asignados a los empleados, son
responsabilidad exclusiva de cada uno de ellos y no deben utilizar la identificación
o contraseña de otro usuario, excepto cuando los encargados del área de soporte y
sistemas la soliciten para la reparación o el mantenimiento de algún servicio o
equipo.

Dentro de las políticas de seguridad de usuarios tenemos:

 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
1. Los permisos a usuarios son personales e intransferibles y serán acordes a
las funciones que desempeñen y no deberán tener permisos adicionales a
estos.
2. Los usuarios deben renovar periódicamente su clave de acceso al sistema,
esto deben solicitarlo a la dependencia de soporte y sistema quienes le
facilitarán el acceso y lo acompañarán en el proceso. Esta totalmente
prohibido: El intento o violación de los controles de seguridad establecidos;
El uso sin autorización de los activos informáticos; El uso no autorizado o
impropio de la conexión al Sistema; el uso indebido de la las contraseñas,
firmas, o dispositivos de autenticación e identificación; acceder a servicios
informáticos utilizando cuentas, claves, contraseñas de otros usuarios.
3. Los usuarios son responsables de todas las actividades llevadas a cabo con
su código de usuario. Si detectan actividades irregulares con su código,
tienen que informar a la dependencia de soporte y sistemas.
4. Informar inmediatamente a la dependencia de soporte y sistemas cualquier
anomalía, aparición de virus o programas sospechosos e intentos de
intromisión y no intente distribuir este tipo de información interna o
externamente.
5. Está prohibido intentar sobrepasar los controles de los sistemas, o tratar de
saltar los bloqueos de acceso a internet como lo es el cambio de dirección
IP, cambio de nombre de equipo, etc. O introducir intencionalmente software
malintencionado que impida el normal funcionamiento de los sistemas.
6. No se permitirá el almacenamiento y/o procesamiento de información
propiedad de la empresa en equipos o dispositivos de propiedad de los
empleados.

4.3. Política de seguridad del software

Los softwares son de vital importancia, porque debido a sus alcances y a su grado
de personalización, permiten a la empresa acceder a múltiples beneficios que
faciliten labores, agilicen procesos en la empresa. Dentro de las políticas de
seguridad del software tenemos:
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
1. La oficina soporte y sistemas es la única responsable de la instalación de
software informático y de telecomunicaciones.

2. No se permite la instalación de software que no cuente con el licenciamiento

apropiado. Está prohibido el uso de aplicaciones ilegales y el uso de “Cracks”,
“Keygens” y demás aplicativos.

3. Para proteger la integridad de los equipos y sistemas informáticos y de

telecomunicaciones, es obligatorio que todos y cada uno de estos dispongan
de software de seguridad (antivirus, filtros de contenido web, controles de
acceso, entre otros).

4. Las medidas de protección lógica (a nivel de software) son responsabilidad

del personal de soporte y sistema; y el correcto uso de los sistemas a quienes
se les asigne.

5. La adquisición y actualización de software para los equipos de cómputo y de

telecomunicaciones se llevará a cabo de acuerdo a lo establecido por la
dependencia de soporte y sistemas.

5. ANÁLISIS DE LOS RECURSOS INFORMÁTICOS ACTUALES

Los Recursos Informáticos, Datos, Software, Red y Sistemas de Comunicación

están disponibles exclusivamente para cumplimentar las obligaciones y propósito
de la operativa para la que fueron diseñados e implantados. Todo el personal
usuario de dichos recursos debe saber que no tiene el derecho de confidencialidad
en su uso. Para evaluar las posibles amenazas, causas y determinar las mejores
políticas de seguridad de la información, es necesario realizar un estudio previo de
todos y cada uno de los recursos tecnológicos y recursos humanos con que cuenta
la empresa, de esta manera ejecutar el plan y los procedimientos para aplicar
efectivamente las políticas de seguridad informática en la empresa. Las amenazas
están en todo tipo de entidades, y pueden ser externas o internas, entre ellas
tenemos: Uso indiscriminado de la Internet, mala práctica de los usuarios, descuido
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
en la manipulación de los equipos y el desconocimiento de conceptos básicos de
manejo de dispositivos informáticos. Es por eso, que la política de seguridad
informática cumple un papel determinante en la protección de las redes, los datos y
los equipos de una Institución. Dentro de las amenazas posibles encontramos las
físicas y las lógicas.

Amenazas Física

 Robo de equipos informáticos.

 Incendio en las instalaciones.
 Fallas eléctricas en los equipos.

Amenazas Lógica

 Robo de información.
 Virus Informáticos.
 Accesos no autorizados a los computadores y servidores.

En la siguiente tabla se presenta el tipo de alteración que pueden presentar algunos

equipos presentes en la red con el tipo de amenaza que se puedan presentar.

Tabla 1 Alteraciones principales de los equipos en la red.

Nombre Recurso afectado Causas Consecuencias Tipo de
Alteración
No permite acceso
Router Físico Fallas en la a la red Interrupción
configuración

Base de datos Lógico Virus, software Robo de Intercepción

malicioso información por
personas ajenas a
la empresa

Virus informático, Acceso,

Directorio activo Servicio software malicioso modificación y Modificación
alteración de los
usuarios y
contraseñas
Robo de la
contraseña, Envió de correos
Email Corporativo Servicio Suplantación de inapropiados que Intercepción
identidad o pueden generar
Phishing malestar
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
6. Análisis del sistema a proteger

La empresa al utilizar tecnología de punta y su principal materia de trabajo es el

procesamiento y análisis de datos, debe de contratar consultores externos
constantemente para casos específicos, y también el personal interno debe de
hacer estudios de campo, por este motivo es importante que la información
generada, mantenga protegida y segura para evitar que caiga en manos de la
competencia; en toda red existen un conjunto de elementos que permiten el
funcionamiento , en la tabla 2 se puede observar la importancia y el tipo de riesgo
con su puntaje asignado; dentro de ellos tenemos:

Servidor: El de mayor riesgo e importancia e importancia ya que función principal

es para procesar solicitudes y entregar datos a los computadores presentes en la
organización, por consiguiente, este recurso es el de mayor monitoreo y constante
cuidado.

Router: Este dispositivo es encargado de administrar los caminos por los que se
redirigen los paquetes de información dentro de una red, son necesarios para la
comunicación entre computadoras en tu red personal y en Internet por tal razón si
llegan a fallar la organización podría quedar incomunicada para el envío de datos
con socios presentes en otros lugares al no haber acceso a internet.

Switch: Este dispositivo nos permite la interconexión entre equipos en red formando
lo que se conoce como una red de área local, lo cual permite él envíe de archivos
entre computadores presentes en la misma red y disminuirá el tiempo de entrega
entre secciones presentes en la organización.

Servidor: Recurso de la organización que durante un apagón eléctrico puede

proporcionar energía eléctrica por un tiempo limitado a todos los dispositivos
conectados a la red; en un caso llegue a presentar falla; si no hubiera fluido eléctrico,
no habría cómo encender y trabajar con los equipos.
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
Estaciones de trabajo: Son necesarios para la producción en una empresa, pues
un usuario sin poder trabajar representa pérdidas económicas, para cubrir cualquier
falla en este sentido es bueno tener máquinas que sirvan de contingencia.

Tabla 2 Valoración puntual de los elementos de la red

Numero Nombre Riesgo (R) Importancia (W) Riesgo evaluado (R*W)

1 Servidor 10 10 100

2 Router 6 8 48

3 Switch 6 8 48

4 UPS 4 8 32

5 Estaciones de trabajo 9 10 90

7. Herramientas de control de acceso

TCP-WRAPPERS: Su función principal es: proteger a los sistemas de conexiones

no deseadas a determinados servicios de red, permitiendo a su vez ejecutar
determinados comandos ante determinadas acciones de forma automática.

SATAN (Security Administrator Tool for Analyzing Networks): Chequea

máquinas conectadas en red y genera información sobre el tipo de máquina, qué
servicios da cada máquina y avisa de algunos fallos de seguridad que tengan dichas
máquinas.

NETLOG: Como hay ataques a la red a gran velocidad haciendo en ocasiones

imposible de detectar, esta herramienta es indispensable pues nos permite ver
paquetes que circulan por la red y determinar si son sospechosos, peligrosos o si
es un ataque que se produjo.

8. Herramientas para la integridad del sistema

TRINUX: su función es la de controlar el tráfico de correos electrónicos entrantes y

salientes, evitar el robo de contraseñas y la intercepción de correos, esta
herramienta nos evitaría un DoS que haría colapsar los sistemas de una empresa.
 MANUAL DE PROCEDIMIENTOS DE LA EMPRESA
EDWIN JESUS MICOLTA FERNANDEZ
REDES Y SEGURIDAD
CRACK: permite forzar las contraseñas de los usuarios para medir el grado de
complejidad de la misma, también el archivo genera otro archivo con una serie de
reglas que le ayudan a generar password comunes.

TIGER: Chequea diversos elementos de seguridad del sistema para detectar

problemas, vulnerabilidades y elementos como:

 Configuración general del sistema.

 Sistema de archivo.
 Camino de bus queda generados.
 Alias y cuentas de usuarios.
 Configuraciones de usuarios.
 Chequeo de servicios.
 Comprobación de archivos binarios.