Este documento presenta un manual de procedimientos para la empresa En-Core. Describe la red informática de la empresa, incluyendo las sucursales en Medellín y Bogotá. Explica los recursos físicos y lógicos de la red, y evalúa los riesgos asociados a cada recurso. También propone un programa de seguridad con medidas como clasificación de información, inventario de accesos y capacitación de usuarios.
2. Confidencial-En core-Página 2 de 39
MANUAL DE PROCEDIMIENTOS “EN-CORE”
PROYECTO FINAL
WILLIAN ENRIQUE GARCERANT ARIZA
TECNOLOGO EN INFORMATICA
HUMBERTO ARIAS DIAS
INGENIERO DE SISTEMAS
SENA VIRTUAL
REDES Y SEGURIDAD
PIVIJAY-MAGDALENA 2012
3. Confidencial-En core-Página 3 de 39
INTRODUCCION
Este proyecto es la antesala de la puesta en marcha de un manual de
procedimientos, aquí aprenderemos como realizar un manual y cuáles
son los puntos relevantes de este, el ejercicio es una experiencia muy
importante pues en el campo laboral sirve de mucha ayuda y prestigio,
para realizar este proyecto se necesito la investigación de varias fuentes
de información y personas sabidas del tema, además de la realización de
cuadros explicativos de algunos de los procesos que hacen parte integral
del manual.
4. Confidencial-En core-Página 4 de 39
REV._ ELABORADO REVISADO APROBADO
NOMBRE WILLIAN GARCERANT HUMBERTO DIAS ARIAS
ADMINISTRADOR DE
CARGO REDES JEFE DE SISTEMAS
FIRMA
FECHA 28/04/2012
MANUAL DE PROCEDIMIENTOS “EN-CORE”
1. JUSTIFICACION:
Teniendo en cuenta que la información es uno de los activos más
importantes de cualquier organización, el avance importante que han
tenido las redes y los ataques constantes de personas malintencionadas
hackers, crackers etc. El departamento de sistemas de la empresa “En -
Core” a decidido implementar POLITICAS DE SEGURIDAD INFORMATICA.
Para esto es importante conocer:
¿Que intentamos proteger?
LA INFORMACION Y SUS CARACTERÍSTICAS:
Integridad
Confidencialidad
Autenticidad
Disponibilidad
¿De qué se quiere proteger?
• Accidentes
– 55% de incidentes de seguridad son debido a usuarios sin
entrenamiento
• Abusos
– Personal Interno (85%)
5. Confidencial-En core-Página 5 de 39
– Personal Externo (mayor publicidad)
• Intrusiones
• Robo de información
• Negación de servicios
“El administrador es el hacker y el antivirus, el virus”
¿Donde se realiza la protección?
• En la Infraestructura
– Servidores, estaciones
– Sistemas de comunicaciones, red
• En los Sistemas de Información
– Programas
– Bases de datos
• En los Sistemas de Almacenamiento
– Cintas, Diskettes, Discos, papel
• En las Personas que manejan la información
– Administradores, Programadores
- Usuarios
“La mente no tiene firewall”
1.1 OBJETO DEL PROYECTO
Diseñar un manual de procedimientos con el fin de fortalecer la seguridad
de la red y la información, además se desarrollaran jornadas de
capacitación a nuestro personal de “En-core”con el objetivo de formar
empleados capaces de manejar la información de forma adecuada y
segura.
6. Confidencial-En core-Página 6 de 39
1.2 ALCANCE
El presente manual será diseñado para abarcar cada una de las
sucursales de la corporación “En-core” las cuales están ubicadas
en la ciudad de Medellín tres (3) y otra en la ciudad de Bogotá,
los administradores de red de cada sucursal serán los
encargados de vigilar y garantizar el cumplimiento de las
políticas por parte de cada dependencia, es importante resaltar
que nuestra oficina principal está ubicada en la ciudad de
Medellín y por ende nuestro servidor central también este es un
punto crítico y se debe proteger fielmente.
2. CARACTERIZACION DEL SISTEMA INFORMATICO
La red de datos de la corporación está conformada de la siguiente
forma:
Las redes implementadas en cada una de las dependencias es la
siguiente:
Tipo de red: LAN
Medio de conexión: Medio guiado, Cable UTP CAT 6a
La relación funcional seria: X Cliente-servidor
Topología: Estrella
Dirección de los datos: Full-Dúplex
Interconectados atreves de un Switch.
Nota: X es el número de equipos a conectar.
Las sucursales de Medellín se conectan a la sede principal en la
misma ciudad a través de:
Tipo de red: MAN
Medio de conexión: Medio guiado-Fibra óptica
La relación funcional seria: Cliente-servidor
Topología: Estrella
Dirección de los datos: Full-Dúplex
Interconectados atreves de Router, ubicado en la sede
principal.
7. Confidencial-En core-Página 7 de 39
Finalmente las subredes de Medellín se conecta con la subred de
Bogotá atreves de:
Tipo de red: WAN
Medio de conexión: Medio no guiado-vía satélite
La relación funcional seria: Cliente-Servidor
Topología: Estrella extendida o árbol
Dirección de los datos: Full-Dúplex
Interconexión atreves de un Router(sede principal)
PROGRAMA DE SEGURIDAD
PLAN DE ACCION
TABLAS DE GRUPOS DE ACCESOS
VALORACION DE LOS ELEMENTOS DE LA RED
INFORMES PRESENTADOS A GERENCIA
PROCEDIMIENTOS
HERRAMIENTAS A IMPLEMENTAR
2.1 RECURSOS DE LA RED Y SU IMPORTANCIA DENTRO DE LA MISMA:
Los siguientes recursos serán organizados y evaluados con una
ponderación de 1 a 10 dependiendo de su grado de relevancia de mayor a
menor así:
FISICOS
Servidores: 10
Routers: 9
8. Confidencial-En core-Página 8 de 39
Equipos clientes: 8
Fibra óptica: 8
Switch: 7
Módems: 7
Disco duros externos: 6
CD´S: 6
Memorias USB: 6
Impresoras: 5
Cableado UTP: 5
LOGICOS:
Bases de datos con información de clientes: 10
Bases de datos de cartera: 10
Bases de datos contabilidad: 10
Bases de datos de gerencia: 10
Bases de datos del departamento I+D: 10
Base de datos de usuarios: 9
Bases de datos de empleados: 9
Base de datos de recursos humanos: 8
SERVICIOS INFORMATICOS Y DE COMUNICACIONES:
Estos se clasifican en dos tipos servidor y cliente.
Software para administración de servidores: 10-servidor
Software de aplicación contable: 9-cliente
Sistema de monitoreo y control: 8-servidor
Correo empresarial: 7-cliente y servidor
Software de ventas: 6-cliente
3. RESULTADOS DEL ANALISIS DE RIESGOS:
RECURSO DEL SISTEMA
NUMERO NOMBRE RIESGO (RI) IMPORTANCIA (WI) RIESGO EVALUADO (R*W) SUCURSAL
1 Servidor 10 10 100 1
2 Equipos Clientes 8 5 40 1
3 Switch 6 3 18 1
4 Cable utp 5 7 35 1
5 Modem 4 6 24 1
9. Confidencial-En core-Página 9 de 39
6 Servidor 10 10 100 2
7 Equipos Clientes 8 5 40 2
8 Switch 6 3 18 2
9 Cable utp 5 7 35 2
10 Modem 4 6 24 2
11 Servidor 10 10 100 3
12 Equipos Clientes 8 5 40 3
13 Switch 6 3 18 3
14 Cable utp 5 7 35 3
15 Modem 4 6 24 3
16 Servidor 10 10 100 PRINCIPAL
17 Equipos Clientes 8 5 40 PRINCIPAL
18 Switch 6 3 18 PRINCIPAL
19 Cable utp 5 7 35 PRINCIPAL
20 Modem 4 6 24 PRINCIPAL
21 Router 9 10 90 PRINCIPAL
22 Fibra óptica 3 5 15 PRINCIPAL
Discos duros
23 externos 6 7 42 PRINCIPAL
24 Cds 4 5 20 PRINCIPAL
25 Memorias USB 4 5 20 TODAS
26 Impresoras 5 7 35 TODAS
Base de datos
27 de clientes 9 10 90 PRINCIPAL
Base de datos
28 de cartera 9 10 90 PRINCIPAL
Base de datos
29 de contabilidad 10 10 100 PRINCIPAL
Base de datos
30 de gerencia 10 10 100 PRINCIPAL
Base de datos
del
departamento
31 I+D 9 10 90 PRINCIPAL
Base de datos
32 de empleados 8 9 72 PRINCIPAL
Base de datos
de
33 usuarios(OTROS) 5 7 35 TODAS
Bases de datos
de recursos
34 humanos 8 9 72 PRINCIPAL
Software para
35 administración 9 10 90 PRINCIPAL
10. Confidencial-En core-Página 10 de 39
de servidores
Software de
aplicaciones
36 contables 9 9 81 TODAS
Sistemas de
monitoreo y
37 control 8 10 80 PRINCIPAL
Correo
38 empresarial 7 9 63 PRINCIPAL
Software de
39 ventas 6 9 54 PRINCIPAL
Manuales de
40 uso del sistema 6 7 42 TODAS
La tabla de valores anterior muestra los siguientes valores asignados
según los criterios de WRI de algunos elementos.
Servidor: 100 es el puntaje más alto por la gran importancia de este
elemento el cual es el encargado de monitorear toda la red además de
enviar los recursos, aplicaciones y datos para los demás computadores
conectados a la red.
Equipos Clientes: 40 Son los equipos segundarios los cuales se encargan
de gestionar información al usuario enviando peticiones o solicitudes al
servidor hay otros medios de conexión como routers y switchs que
también contribuyen al momento de la comunicación.
Switch: 18 se encarga de conectar varios clientes en una red y direccionar
sus peticiones y paquetes.
Cable utp: 35 medio físico atreves del cual viajan los datos, a pesar de
faltar o no existir los datos seguirán almacenados en el server.
Modem: 24 modulador-demodulador encargado de proveer servicio a
internet a toda la red.
Router: 90 encargados de conectar la red en general si falla se cae toda la
red y el direccionamiento y enrutamiento de paquetes es nulo.
11. Confidencial-En core-Página 11 de 39
4. PROGRAMA DE SEGURIDAD:
Aquí se detallan los aspectos que deben ser tenidos en cuenta para
optimizar el sistema y los cuales requieren de una inversión, y un
tiempo determinado ya sea a largo, corto o mediano plazo, además
especificamos los responsables de cada aspecto.
Clasificación de la información:
Responsables: Empleados, administradores de red y
jefes de departamento.
Se debe realizar semanalmente.
Listados de AZ.
Nombres de carpetas y archivos.
Criterios de clasificación.
Seguridad de red y comunicaciones:
Responsable: administrador de red.
Se debe realizar cada 1 año actualización del software.
Listado de cotizaciones y actualizaciones de
herramientas.
Manuales de uso.
Logístico de instalaciones y desinstalaciones.
Inventario de accesos a los sistemas:
Responsable: Administrador de sistemas dependiendo
de la sucursal.
Frecuencia: cada 24 horas.
Contenidos: Listados, logísticos y archivos de accesos.
Adaptación de contratos con proveedores:
Responsable: Administrador de sistemas.
Frecuencia: Cada fin de mes se debe realizar esta tarea.
Contenidos: Copias de contratos, leyes comerciales,
manuales de software etc.
12. Confidencial-En core-Página 12 de 39
Campaña de concientización de usuarios:
Responsable: Técnicos de mantenimiento.
Frecuencia: Una vez al año.
Contenido: Manual de procedimiento, políticas de
seguridad, material didáctico.
Estandarización de la configuración del software base:
Responsable: Administrador de red
Frecuencia: Revisar estándares cada 2 meses
Contenido: material de modelo OSI, IEEE, entre otros.
Revisión y adaptación de procedimientos complementarios:
Responsable: Administradores de red.
Frecuencia: Cada tres meses.
Contenido: Manual de procedimientos, psi, logísticos y
reportes.
Comprar nuevos equipos de redes más actualizados:
Responsable: Jefe de seguridad
Contenido: Facturas, reportes, logísticos y cotizaciones.
Remodelación de locales e infraestructura de los mismos:
Responsable: administradores de red.
Contenidos: Planos, requisitos de infraestructura, log
files etc.
Capacitación de técnicos de sistemas y de mantenimiento:
Responsable: Jefe de sistemas.
Frecuencia: 1 vez al año o cuando sea necesario.
Contenidos: Material de administración de redes
actualizados, psi, manual de procedimientos.
Auditorias al sistema informático:
Responsable: Jefe de seguridad informática.
13. Confidencial-En core-Página 13 de 39
Frecuencia: Mensual.
Contenidos: Manual de procedimientos,
especificaciones técnicas y minuta de reportes.
Jornada de simulación y pruebas al sistema:
Responsables: Administradores de red.
Frecuencia: cada 6 meses.
Contenido: check list, manual de procedimientos, plan
de acción.
Nota: se deben colocar responsables, frecuencias y contenido
de los programas y actividades.
5. PLAN DE ACCION
5.1 Clasificación de la información
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 16-22 Semanas
Con el fin de proteger los activos de
OBJETVO
información de manera adecuada
5.2 Seguridad de redes y comunicaciones
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 11-17 Semanas
Para evitar uso indebido de equipos, evitar
que sean utilizados por personal no
OBJETVO
autorizado, por ello se debe garantizar la
correcta configuración de los equipos.
5.3 Inventario de accesos a los sistemas
DEPENDENCIA Ninguna
TIEMPO ESTIMADO
9-12 Semanas
Con el propósito de llevar un control
OBJETVO
adecuado de los usuarios a los sistemas.
14. Confidencial-En core-Página 14 de 39
5.4 Adaptación de contratos con proveedores
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 24 Semanas(tiempo parcial)
Con el objetivo de tener un contrato que
cumpla con las políticas de seguridad de la
OBJETVO empresa en cualquier caso de violación de
políticas se deben modificar los contratos y
reportar a los proveedores.
5.5 Campaña de concientización de usuarios
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 5-7 Semanas
Con el objetivo de lograr un compromiso
por parte de los usuarios en temas de uso
de la información y la importancia de la
OBJETVO
misma este debe ir dirigido a todos los
empleados y otros a grupos específicos
dependiendo de sus responsabilidades.
5.6 Verificación y adaptación de los sistemas
DEPENDENCIA Actividad A
TIEMPO ESTIMADO 20-30 Semanas
Con el objetivo de asegurar el
cumplimiento de las políticas de la entidad,
OBJETVO con el fin de verificar su cumplimiento y
adaptarlas a las políticas de seguridad de la
misma.
5.7 Estandarización de la configuración de software base
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 12 Semanas
Con el objetivo de proteger
OBJETVO adecuadamente la información existentes
en computadores y servidores personales
15. Confidencial-En core-Página 15 de 39
5.8 Revisión y adaptación de procedimientos complementarios
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 8 Semanas
Adaptar procedimientos y controles
OBJETVO complementarios de la empresa “En-core”
de acuerdo a lo estipulado en las políticas
5.9 Compra de nuevos equipos actualizados
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 30 Semanas
Comprar equipos modernos y actualización
OBJETVO
del parque tecnológico
5.10 Remodelación de locales e infraestructura de los mismos.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 8 Semanas
Mejorar las instalaciones físicas y crear un
OBJETVO
ambiente agradable.
5.11 Capacitación de técnicos de sistemas y de mantenimiento.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 7-14 Semanas
Lograr actualizar los conocimientos de
OBJETVO empleados para mejorar la eficiencia y la
calidad.
5.12 Auditorias al sistema informático.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 7-14 Semanas
Revisar los sistemas para conocer las
OBJETVO
fortalezas y debilidades del mismo.
16. Confidencial-En core-Página 16 de 39
5.13 Jornadas de simulación y pruebas.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 7-14 Semanas
Simular ataques o fallas en los sistemas
OBJETVO
para probar herramientas y aplicaciones.
6. TABLAS DE GRUPOS DE ACCESO
Esta tabla está basada en el principio de mínimo privilegio, el cual
dice que se debe asignar a cada empleado solo los privilegios
necesarios para desempeñar las actividades asignadas.
La tabla de accesos y privilegios para las sucursales está basada en
los siguientes grupos:
AUDITORES
-Auditores externos e internos
-Supervisores
MANTENIMIENTO
-Técnicos
USUARIOS
-Contratistas
-Empleados
-Auxiliares
-Visitantes
-Secretarios
-Aseadores
-Operarios
17. Confidencial-En core-Página 17 de 39
-Vendedores
ADMINISTRADORES
-Coordinadores
-Gerentes
-Administradores de red
-Subgerentes
-Directores
-Jefes de sistema
Para usuarios:
RECURSO DEL SISTEMA
TIPO DE PERMISOS
RIESGO(RI)
NUMERO NOMBRE ACCESO OTORGADOS
1 Equipos clientes Grupo de usuarios Local r
Grupo de usuarios
2 Servidor No autorizado Ninguno
Grupo de usuarios
3 Router No autorizado Ninguno
Grupo de usuarios
4 Switch No autorizado Ninguno
Grupo de usuarios Remoto y
6 correo empresarial local r
Grupo de usuarios Remoto y
7 Pagina web local r
Aplicaciones de Grupo de usuarios
8 mantenimiento No autorizado Ninguno
Grupo de usuarios
9 Fibra óptica No autorizado Ninguno
Grupo de usuarios
10 Módems No autorizado Ninguno
Grupo de usuarios
11 Discos duros externos Local r-w
Grupo de usuarios
12 Cds Local r
Grupo de usuarios
13 Memorias USB Local r-w
Grupo de usuarios Remoto y
14 Impresoras Local r
18. Confidencial-En core-Página 18 de 39
Grupo de usuarios
15 Cableado utp No autorizado Ninguno
Bases de datos con Grupo de usuarios Remoto y
16 información de clientes local r
Grupo de usuarios
17 Base de datos de cartera No autorizado Ninguno
Grupo de usuarios
18 Base de datos contabilidad No autorizado Ninguno
Grupo de usuarios
19 Base de datos gerencia No autorizado Ninguno
Base de datos del Grupo de usuarios
20 departamento I+D No autorizado Ninguno
Grupo de usuarios Remoto y
21 Base de datos de empleados local r-w
Bases de datos de recursos Grupo de usuarios
22 humanos No autorizado Ninguno
Software para administración Grupo de usuarios
23 de servidores No autorizado Ninguno
Software de aplicación Grupo de usuarios
24 contable No autorizado Ninguno
Sistemas de monitoreo y Grupo de usuarios Remoto y
25 control local r-w
Grupo de usuarios Remoto y
26 Software de ventas local r-w
Para grupo de mantenimiento:
RECURSO DEL SISTEMA
TIPO DE PERMISOS
RIESGO(RI)
NUMERO NOMBRE ACCESO OTORGADOS
Local y
1 Equipos clientes Grupo de mantenimiento remoto r-w
Grupo de mantenimiento Local y
2 Servidor remoto r-w
Grupo de mantenimiento Local y
3 Router remoto r-w
Grupo de mantenimiento Local y
4 Switch remoto r-w
Grupo de mantenimiento Remoto y
5 correo empresarial local r-w
Grupo de mantenimiento Remoto y
6 Pagina web local r-w
Aplicaciones de Grupo de mantenimiento Local y
7 mantenimiento remoto r-w
Grupo de mantenimiento Revisión,
8 Fibra óptica Local mantenimiento.
19. Confidencial-En core-Página 19 de 39
Grupo de mantenimiento Local y
9 Módems remoto r-w
Grupo de mantenimiento
10 Discos duros externos Local r-w
Grupo de mantenimiento
11 Cds Local r
Grupo de mantenimiento
12 Memorias USB Local r-w
Grupo de mantenimiento Remoto y
13 Impresoras Local r-w
Grupo de mantenimiento Revisión y
14 Cableado utp Local mantenimiento
Bases de datos con Grupo de mantenimiento Remoto y
15 información de clientes local r
Grupo de mantenimiento Remoto y
16 Base de datos de cartera local r
Grupo de mantenimiento Remoto y
17 Base de datos contabilidad local r
Grupo de mantenimiento
18 Base de datos gerencia No autorizado ninguno
Base de datos del Grupo de mantenimiento Remoto y r
19 departamento I+D local
Grupo de mantenimiento Remoto y
20 Base de datos de empleados local r-w
Bases de datos de recursos Grupo de mantenimiento Local y
21 humanos remoto r-w
Software para administración Grupo de mantenimiento Local y
22 de servidores remoto r-w
Software de aplicación Grupo de mantenimiento
23 contable No autorizado Ninguno
Sistemas de monitoreo y Grupo de mantenimiento Remoto y
24 control local r-w
Grupo de mantenimiento Remoto y
25 Software de ventas local r-w
Para administradores:
RECURSO DEL SISTEMA
TIPO DE PERMISOS
RIESGO(RI)
NUMERO NOMBRE ACCESO OTORGADOS
Grupo de Local y
1 Equipos clientes administradores de red remoto r-w
Grupo de
administradores de red Local y
2 Servidor remoto r-w
Grupo de Local y
3 Router remoto r-w
20. Confidencial-En core-Página 20 de 39
administradores de red
Grupo de
administradores de red Local y
4 Switch remoto r-w
Grupo de
administradores de red Remoto y
5 correo empresarial local r-w
Grupo de
administradores de red Remoto y
6 Pagina web local r-w
Grupo de
Aplicaciones de administradores de red Local y
7 mantenimiento remoto r-w
Grupo de
administradores de red Revisión,
8 Fibra óptica Local mantenimiento.
Grupo de
administradores de red Local y
9 Módems remoto r-w
Grupo de
administradores de red
10 Discos duros externos Local r-w
Grupo de
administradores de red
11 Cds Local r
Grupo de
administradores de red
12 Memorias USB Local r-w
Grupo de
administradores de red Remoto y
13 Impresoras Local r-w
Grupo de
administradores de red Revisión y
14 Cableado utp Local mantenimiento
Grupo de
Bases de datos con administradores de red Remoto y
15 información de clientes local R-w
Grupo de
administradores de red Remoto y
16 Base de datos de cartera local r-w
Grupo de
administradores de red Remoto y
17 Base de datos contabilidad local r-w
Grupo de
administradores de red Remoto y
18 Base de datos gerencia local r-w
21. Confidencial-En core-Página 21 de 39
Grupo de
Base de datos del administradores de red Remoto y r-w
19 departamento I+D local
Grupo de
administradores de red Remoto y
20 Base de datos de empleados local r-w
Grupo de
Bases de datos de recursos administradores de red Local y
21 humanos remoto r-w
Grupo de
Software para administración administradores de red Local y
22 de servidores remoto r-w
Grupo de
Software de aplicación administradores de red Local y
23 contable remoto r-w
Grupo de
Sistemas de monitoreo y administradores de red Remoto y
24 control local r-w
Grupo de
administradores de red Remoto y
25 Software de ventas local r-w
Para auditores:
RECURSO DEL SISTEMA
TIPO DE PERMISOS
RIESGO(RI)
NUMERO NOMBRE ACCESO OTORGADOS
1 Equipos clientes Grupo de auditores Local r
Grupo de auditores
2 Servidor No autorizado Ninguno
Grupo de auditores
3 Router No autorizado Ninguno
Grupo de auditores
4 Switch No autorizado Ninguno
Grupo de auditores
5 correo empresarial Local r
Grupo de auditores
6 Pagina web Local r
Aplicaciones de Grupo de auditores
7 mantenimiento No autorizado Ninguno
Grupo de auditores
8 Fibra óptica No autorizado Ninguno
Grupo de auditores
9 Módems No autorizado Ninguno
Grupo de auditores
10 Discos duros externos Local r
22. Confidencial-En core-Página 22 de 39
Grupo de auditores
11 Cds Local r
Grupo de auditores
12 Memorias USB Local r
Grupo de auditores
13 Impresoras No autorizado Ninguno
Grupo de auditores
14 Cableado utp No autorizado Ninguno
Bases de datos con Grupo de auditores Remoto y
15 información de clientes local r-w
Grupo de auditores Remoto y
16 Base de datos de cartera local r-w
Grupo de auditores Remoto y
17 Base de datos contabilidad local r-w
Grupo de auditores Remoto y
18 Base de datos gerencia local r-w
Base de datos del Grupo de auditores Remoto y r-w
19 departamento I+D local
Grupo de auditores Remoto y
20 Base de datos de empleados local r-w
Bases de datos de recursos Grupo de auditores Local y
21 humanos remoto r-w
Software para administración Grupo de auditores
22 de servidores No autorizado Ninguno
Software de aplicación Grupo de auditores
23 contable No autorizado Ninguno
Sistemas de monitoreo y Grupo de auditores
24 control No autorizado Ninguno
Grupo de auditores
25 Software de ventas No autorizado Ninguno
7. FORMATOS DE INFORMES PRESENTADOS A GERENCIA.
7.1 PRESENTACION DE LA IMPORTANCIA DE LAS PSI
Señores gerentes hoy quiero hablarles de algo muy importante
para la organización “En-core” y para la protección del bien más
preciado para cualquier empresa la “información”, ustedes se
imaginan que pasaría si una persona ajena a su organización,
digamos alguien perteneciente a su competencia obtuviera datos de
ustedes como:
A. Direcciones, teléfonos, nombres y demás datos importantes de
todos sus clientes y empleados.
23. Confidencial-En core-Página 23 de 39
B. Estrategias de marketing.
C. Diseños de nuevos productos.
D. Contraseñas y nombres de usuario de personal de área
administrativa y Bases de datos.
Como pueden observar su información y la confidencialidad de la
misma son muy importantes, es por eso que se hace necesario en
todo entidad pública, privada, ONG etc. Mantener, crear, diseñar e
implementar POLITICAS DE SEGURIDAD INFORMATICA. Estas no
solo evitan que su información sea plagiada sino que también
garantiza que sus empleados van a ser personas más cuidadosas,
precavidas y maliciosas al momento de utilizar los recursos
informáticos de la empresa y su información interna, ustedes van a
tener empleados con un sentido de lealtad más alto y mayor
compromiso con su actuar y proceder en un momento dado, ojo
quiero que quede muy claro que las políticas de seguridad
informáticas no mejoran, el rendimiento de la red, no agilizan el
tiempo de acceso a internet y mucho menos mejora la velocidad de
procesamiento de los datos solo garantiza la seguridad de su bien
más preciado, su estructura ósea, ese bien inestimable llamado
información.
7.2 RECOMENDACIONES PARA INTERPRETAR Y MOSTRAR LAS PSI
Las políticas de Seguridad Informática se deben interpretar de la
siguiente forma:
Debemos saber por qué es importante proteger el sistema
esto incluye:
-Tomar la mayor cantidad de datos que describan el sistema
informático.
-Identificar las amenazas posibles y evaluar los riesgos con la
base del algoritmo P-C.
-Observa cual es el reporte actual de la seguridad del sistema,
como se está protegiendo el sistema actualmente.
24. Confidencial-En core-Página 24 de 39
Definir de forma correcta como va a ser ese sistema que vamos a
desarrollar e implementar basados en los resultados que arroje la
primera etapa.
Debemos saber que persona o entidad se encarga de un elemento
en particular, para poder establecer responsabilidades.
Seleccionar y escribir las políticas de seguridad.
Definir los procedimientos para a implementar.
Evaluar el sistema diseñado.
Debemos tratar de que las PSI sean lo más explicito posibles y que
no se tecnifiquen demasiado en su lenguaje.
Para la distribución y comunicación se debe:
-Crear documentos y folletos con las normas de seguridad acordados.
-Clasificar los folletos de acuerdo a la información.
-Identificar las personas que tendrán acceso a la información.
-Actualizar las políticas periódicamente.
-Interpretar convenientemente los recursos de la red.
-Clasificar la información de acuerda a las tecnologías de comunicación
que se utilizan para su distribución.
-Definir los privilegios de los usuarios.
-Copias de seguridad de la información.
-Conexiones de redes externas y seguras.
-Tener en cuenta el costo y la calidad de los recursos de la red.
-Mantenimiento y reparación de equipos.
-Procesos de resguardo de certificaciones.
-Tener en cuenta los procesos de encriptación.
-Procesos en caso de violación de políticas.
25. Confidencial-En core-Página 25 de 39
Esto es básicamente lo que trata de exponer e incluirse en los estudios de
las políticas de seguridad informática.
Otras recomendaciones:
Se debe crear una línea de análisis basada en los siguientes elementos:
- Factor humano de la empresa
- Mecanismos y procedimientos con que cuenta la empresa
- Ambiente en que se desenvuelve la organización
- Consecuencias posibles si falla la seguridad de la empresa
- Amenazas posibles de la empresa.
7.3 TIPOS DE ALTERACIONES DEL ALGORITMO P-C
Los recursos son todos aquellos elementos que permiten el
correcto funcionamiento de la organización. Estos pueden ser
físicos, lógicos y servicios
Los 4 tipos de alteraciones son:
Interrupción
Intercepción
Modificación
Casos de producción impropia
RECURSO
NOMBRE CAUSA EFECTO TIPO DE ALTERACION
AFECTADO
se ha inyectado
Base de datos con un virus que perdida de
información borra datos información
Lógico Modificación
personal importante aleatoriamente valiosa para la
de clientes mediante un organización
código random
Personas ajenas
a la
organización pérdidas
Físico Robo del servidor violaron la irreparables de Interrupción
seguridad y se información
llevaron el
servidor
26. Confidencial-En core-Página 26 de 39
los mensajes
enviados por el un virus ataca la
administrador red y coloca
Copias de seguridad
Servicios son re nuevas Intercepción
del sistema
direccionados a cabeceras a los
un correo paquetes
externo falso
un atacante
crea un correo
electrónico
falso donde perdida de
pide ingresar a confidencialidad Casos de producción
Servicios correo falso
una página x y y seguridad de impropia
el usuario los datos
ingresa sus
datos sin saber
que es falsa
7.4 IMPORTANCIA DE LOS DEMONIOS DENTRO DE LA RED
Los demonios son programas que se ejecutan en segundo
plano no tienen interfaz grafica y su objetivo principal es
brindar servicios y procesos de manera silenciosa.
Actualmente en cualquier red de datos es importante poseer
daemons puesto que estos programas no utilizan interfaz
grafica debido a su composición por esto dado el caso de un
ataque al sistema operativo podríamos ejecutar los demonios
sin problema algunos de los demonios que se pueden instalar
en nuestra red son:
Telnet
Argus
8 MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD INFORMATICA
Clausula 8.0
Bueno está comprobado que casi siempre somos víctimas de
nuestros propios inventos y hay muchas historias que respaldan
esta afirmación, las PSI no son ajenas a este fenómeno debido a que
muchas de las herramientas utilizadas para proteger las redes son
las mismas que utilizan los atacantes para vulnerar y atacar
nuestros sistemas informáticos, por eso es vital saber cuáles son las
27. Confidencial-En core-Página 27 de 39
herramientas adecuadas para monitorear y protegernos de los
malos, pues no sea que se vayan a convertir en armas de doble filo.
8.1 Los procedimientos a considerar son:
Procedimiento de alta de cuenta a usuarios:
Se debe llenar un formulario con los siguientes datos
Nombre y apellido
Número de identificación
Puesto de trabajo
Jefe que avala el pedido
Trabajos a realizar en el sistema
Tipo de cuenta
Fecha de caducidad
Permisos de trabajo
Tipo de contrato
Procedimiento de baja de cuentas de usuarios:
Se debe llenar un formulario con los datos de usuario al
que se le va a dar de baja:
Nombre y apellido
Número de identificación
Puesto de trabajo
Jefe que avala el pedido
Tipo de retiro(parcial o total)
Tipo de cuenta
Fecha de retiro
Procedimiento para determinar los buenos password:
Introduzca una contraseña que tenga mínimo 7
caracteres, puede utililizar números y letras, las
letras pueden ser minúsculas y mayúsculas.
Trate de no repetir el mismo carácter dos veces
seguidas o en la misma contraseña.
28. Confidencial-En core-Página 28 de 39
Contacte al administrador de la red para verificar el
grado de seguridad de la misma.
Se debe utilizar un programa craqueador que
posibilite determinar cuáles son seguros y cuáles no
Nota: No utilice espacios en blanco en ellas claves
pues no son permitidos.
Reporte al administrador el cambio de contraseña,
para alimentar los logísticos.
Procedimiento de verificación de accesos:
Ejecutar semanalmente un logístico de accesos
realizados desde fuera de la red.
Ejecutar semanalmente un logístico de las
conexiones externas hechas desde el interior de la
red.
Ejecutar semanalmente logísticos de conexiones
hechas en horarios no convencionales.
Procedimiento de chequeo de gráficos de la red:
Ejecutar semanalmente logísticos de los gráficos del
tráfico de la red.
Realizar reportes de los resultados obtenidos.
Procedimiento de chequeo de volúmenes de correo
Extracción de un logístico sobre el volumen de
correo transportado y las conexiones de red creadas
durante las 24 horas del día.
Realizar reportes en log files si hay anomalías.
Procedimiento de monitoreo de conexiones activas
Utilizar aplicaciones y herramientas que permitan
monitorear las conexiones(SATAN)
Realizar un seguimiento diario las 24 horas de estas
conexiones
29. Confidencial-En core-Página 29 de 39
Cerrar o desactivar las conexiones inactivas.
Crear reportes de anomalías, como inactividad o
fallas en las conexiones.
Procedimiento de modificación de archivos:
Ejecutar el aplicativo OSH 24 horas al día.
Verificar los privilegios del usuario.
Verificar los rastros generados.
Revisar los archivos modificados
Generar reporte
Procedimiento de resguardo de copias de seguridad:
Utilizar herramienta para realizar copias de
seguridad del sistema semanalmente.
Realizar de forma periódica copias de seguridad
(backup) del sistema y archivos críticos.
Guardar las copias realizadas en lugares seguros y
confiables.
Realizar reportes de fecha de generación de la copia.
Procedimiento de verificación de las maquinas de los
usuarios:
Realizar un escaneo de la red para verificar
programas sin licencia o no autorizados (diario).
Reportar al usuario con este caso.
Eliminar y desinstalar dichos software.
Desinfección del sistema si es el caso.
Reporte de procedimientos realizados.
Procedimiento de monitoreo de los puertos en la red:
Monitoreo las 24 horas al día verificación y control
sobre los puertos y su actividad.
Detectar puertos inactivos.
30. Confidencial-En core-Página 30 de 39
Deshabilitar puertos inactivos.
Realizar reportes de su funcionamiento.
Procedimiento para dar a conocer las nuevas normas de
seguridad:
Enviar documento impreso o vía digital a cada uno
de los administradores de redes para que lo estudie
y familiarice con él.
Luego paso a realizar una reunión con ellos para
aclarar dudas e inquietudes o posibles sugerencias.
Corregimos si hay equívocos o puntos a mejorar y
pasamos a citar una reunión con el consejo directivo
para esperar su punto de vista.
Finalmente ya aprobado enviar copia cada división
de la empresa “En-core” y realizar la presentación,
socialización y comunicación de las políticas.
Empezar de inmediato a aplicar cada una de estas
políticas.
Procedimiento de identificación del usuario y grupo de
pertenencia por defecto:
Realizar solicitud por escrito esta debe contener el
nombre del actual grupo y del nuevo grupo.
Jefe que avala el pedido.
Asignación de nuevos privilegios.
Reporte del cambio realizado.
Procedimiento para recuperar información:
Revisar el funcionamiento del sistema si hay fallas.
Tomar registros de copias de seguridad del sistema.
Instalar o copiar los más recientes.
Restaurar el sistema.
Reportar los cambios realizados.
Ajustes y pruebas al sistema.
31. Confidencial-En core-Página 31 de 39
Procedimiento para mantenimiento de equipos:
Realizar revisión técnica.
Borrar información importante o copiarla en unidad
extraíble.
Asignar un técnico de confianza.
Asignar una persona que supervise el trabajo del
técnico.
Realizar pruebas al equipo.
Nota: en caso de trasladar el equipo fuera de la
empresa debe haber una orden de salida firmada por
el jefe de sistemas o por la persona que autoriza.
Procedimiento para uso y apagado de sistemas, equipos y
demás dispositivos de la red:
Verificar las conexiones eléctricas.
Encender breakes.
Encender estabilizadores, supresores de picos o ups.
Encender equipos o impresoras.
Diligenciar planillas de uso.
Cerrar sistemas.
Apagar equipos
Apagar breakes.
Nota: dejar organizado y bien apagado el sitio de
labores.
Procedimiento para almacenamiento y organización de la
información:
Realizar revisiones semanales de la información
critica generada.
Copiar los archivos importantes en diferentes
medios de almacenamiento externo.
Realizar reporte a administrador de red.
32. Confidencial-En core-Página 32 de 39
Procedimiento para ejecución de antivirus y análisis de
sistemas:
Ejecutar diariamente software antivirus y anti
espías.
Revisar memorias USB, cds y discos duros externos
antes de ejecutarlos (doble clic).
Desinfectar las terminales infectadas.
Reportar al administrador de la red cualquier
anomalía detectada.
Nota: si el virus esta dentro del sistema no realice
acciones si no está preparado y comunique de
inmediato al administrador o técnico de turno.
Procedimientos para verificación de conexiones eléctricas:
Diligenciar planillas de mantenimiento.
Orden de jefe que autoriza.
Realizar mantenimiento preventivo y mediciones
cada 15 días, a la red y las salas de sistemas.
Tomar los correctivos necesarios.
Diligenciar check list correspondiente.
Escribir informe del proceso.
Procedimiento para seleccionar herramientas de defensa
del sistema:
Estudiar la caracterización del sistema.
Clasificar los recursos lógicos, físicos y servicios a
proteger.
Observar y estudiar las herramientas disponibles.
Conocer ventajas, desventajas y características.
Seleccionar las adecuadas.
Listado de las herramientas seleccionadas.
Instalación de cada una de ellas.
Pruebas y ajustes.
Reporte de proceso realizado.
33. Confidencial-En core-Página 33 de 39
Procedimiento para asignar herramientas a los diferentes
departamentos de la organización:
Nombre del departamento.
Nombre del encargado.
Herramientas asignadas.
Jefe que autoriza.
8.2 Las herramientas y los procedimientos que se utilizaran en la
red para tener control de los accesos son:
- TCP-WRAPPERS
- Correr diariamente para verificar las conexiones que se
realicen en la red.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- ARGUS
- Analizar cada 1 hora los archivos generados por ARGUS para
determinar el trafico IP generado por las conexiones.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TCPDUMP
- Verificar las cabeceras de los paquetes entrantes y salientes.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- SATAN
- Los administradores de red deben inspeccionar
periódicamente los registros SATAN para determinar las
34. Confidencial-En core-Página 34 de 39
posibles a amenazas de los clientes y maquinas externas
conectadas a nuestra red.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TCPLIST
- Instalar en todas las maquinas clientes y servidores para
llevar un registro y control periódico de conexiones
realizadas con protocolo TCP.
- Responsable: Técnicos de mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- ICMPLogger
- Verificar las trazas creadas para llevar un control de las
conexiones basadas en ICMP.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- COURTNEY
- Auditar los archivos de este programa para detectar posibles
ataques SATAN y bloquearlos de forma inmediata.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- NOCOL
- Verificar de manera continua los eventos creados para tener
un informe actualizado de la gravedad de los ataques en caso
de que los allá.
- Responsable: Administrador de red
- Realizar logísticos e informes.
35. Confidencial-En core-Página 35 de 39
- Comunicar anomalías o fallas si las hay.
- ISS
- Correrlo siempre que se necesite transferir archivos con
contraseñas y datos críticos.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
8.3 Las herramientas y los procedimientos que utilizaremos
para mantener la integridad de la red son:
- CHKWTMP
- Ejecutar cuando exista sospecha de usuarios o intrusos
encubiertos en el sistema.
- Responsable: Administrador de red y técnicos de
mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- CHKLASTLOG
- Mantener actualizada la base de logines para determinar los
usuarios ilegales o desactivados.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TRIPWIRE
- Mantener actualizada la base “main” cada vez que ingrese un
elemento nuevo al sistema de forma autorizada.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
36. Confidencial-En core-Página 36 de 39
- OSH
- Generar listado de permisos y privilegios de los usuarios
registrados y autorizados para interactuar con el sistema.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- NOSHELL
- Revisar diariamente las cuentas de correo electrónico creadas
para recibir alertas e instrucciones del uso y monitoreo de la
red. Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- CPM
- Correr de manera periódica el CPM en nuestro sistema para
detectar sniffers que pueden estar recopilando información
de las contraseñas de la red.
- Responsable: Administrador de red y técnicos de
mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TRINUX
- Todos los administradores de red deben tener un CD con las
aplicaciones trinux apara correrlo desde cualquier maquina
en un momento dado.
- Responsable: Administrador de red y técnicos de
mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
37. Confidencial-En core-Página 37 de 39
- COPS
- Verificar los password en los servidores de UNIX permisos y
privilegios de forma periódica.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TIGER
- Chequear la seguridad del sistema en los elementos críticos.
- Responsable: Técnicos de sistemas.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- CRACK
- Generar un barrido periódico del programa crack sobre
nuestro sistema, para así notificar a los dueños de las
respectivas contraseñas la necesidad de cambiarlas.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- SPAR
- Verificar constantemente los procesos realizados en el
sistema.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- LSOF
- Interpretar la lista de archivos abiertos de forma continua
para determinar quienes los utilizan (host).
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
38. Confidencial-En core-Página 38 de 39
CONCLUSION
En el anterior trabajo aprendimos a diseñar, desarrollar y presentar un
manual de procedimientos, basados en la estructura básica de la empresa
EN-CORE, este proyecto nos enseño como debemos crear paso a paso
este elemento tan importante para cualquier corporación en la parte de
seguridad de sistemas, integración y protección de la información.
39. Confidencial-En core-Página 39 de 39
BIBLIOGRAFIA Y WEBGRAFIA
1. Metodología para el diseño de un sistema de Seguridad Informática
elaborado por la Dirección de protección del ministerio del interior.
2. www.senavirtual.edu.co
3. Fundamentos de Networking
Ing. Isaac Zúñiga Silgado
Profesor Tiempo Completo
Programa Ingeniería de Sistemas-UTB
izuniga@unitecnologica.edu.co
4. Propuesta del programa English Easy Way