Proyecto Final

Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars Proyecto Final. Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Fecha Actividad Tema JESUS EDUARDO MADROERO RUALES 28 / 03 / 30 NO 4 PROYECTO FINAL

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta magna de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as como las herramientas, y el desarrollo de cada procedimiento en forma algortmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentacin para cualquier empleo en el que se le exija experiencia.

Redes y seguridad Proyecto Final

MANUAL DE PROCEDIMIENTOS DE SEGURIDAD INFORMATICA (P.S.I) EMPRESA EN-CORE

Redes y seguridad Proyecto Final

INTRODUCCION

Para la empresa EN-CORE, se hace de vital importancia, la coordinacin de esfuerzos en pro de asegurar un ptimo entorno informtico mediante la implementacin de polticas de seguridad informtica (PSI) para el completo desarrollo de las actividades econmicas de la compaa, en lo referente a la prestacin de servicios informticos de investigacin tecnolgica. En este documento se presenta las normas y polticas de seguridad informtica. Con esto se pretende establecer reglas, normas, controles y procedimientos que sirven de regulacin para prevenir, proteger y mantener los riesgos informticos que atacan continuamente las redes de comunicacin de cualquier empresa. Estas normas y polticas no se consideran absolutas ni finales, por lo que se espera una continua retroalimentacin con todos los empleados y sus saberes, para mejora continua de las mismas, por el bien de la seguridad de la informacin de la empresa.

Redes y seguridad Proyecto Final

ESTUDIO PREVIO PROBLEMAS PERCIBIDOS A continuacin se presentan los problemas encontrados por parte del gestor de seguridad informtica para la implementacin de las PSI: Dificultad en asignacin de recursos monetarios en la implantacin de polticas de seguridad en redes, debido a que no generan productividad en la organizacin. Inseguridad con el robo de informacin de usuarios (tarjeta de crdito, contraseas, etc.), para transacciones bancarias y compras en lnea; llevado a cabo por personas inescrupulosas con alto conocimiento en informtica (Hackers). Alta vulnerabilidad de los equipos de cmputo, ante virus, spam, entre otros, debido a la falta de conocimiento de los usuarios, acerca de software especializado (Antivirus, antispam, etc.). Bajo nivel de conocimiento en ofimtica por parte del personal de la empresa ajeno al departamento de informtica. Diferencias de conceptos entre el departamento administrativo y el de informtica.

Redes y seguridad Proyecto Final

EL PROGRAMA DE SEGURIDAD Para dar paso a la aplicacin del manual de procedimientos, inicialmente debemos sentar unas ptimas bases en la empresa, para implantar la normativa necesaria. Se hace referencia con el concepto de bases, a varios factores mnimos sobre los cuales se debe tener el completo control por parte de la organizacin y como procedimientos iniciales por parte de la gestin de seguridad para la implantacin del plan de procedimientos, los cuales son: Conocimientos bsicos de Ofimtica, por parte de los empleados de EN-CORE. Actualizacin de los equipos de cmputo en todas las sedes de la empresa. Actualizacin en los dispositivos de comunicaciones para la configuracin de ptimas redes de comunicacin. Conocimientos de mantenimiento preventivo y correctivo por parte de los empleados de soporte tcnico.

Con lo anterior se espera poder asegurar un umbral de seguridad lo suficientemente eficaz, para lograr un buen entorno para la aplicacin de las PSI.

Redes y seguridad Proyecto Final

PLAN DE ACCIN A continuacin, se muestra las acciones a llevar a cabo para lograr los aspectos nombrados en el programa de seguridad: Capacitacin al personal de la empresa en herramientas ofimticas. Compra de nuevos equipos computacionales con mayor capacidad de procesamiento que los anteriores. Compra de dispositivos de comunicacin (Modem, ruteador, entre otros) de alta tecnologa superior a la actual. Capacitacin al personal de mantenimiento tcnico e informtico sobre mantenimiento preventivo y correctivo de redes, equipo computacional y de comunicaciones.

Se esperar llevar a cabo, todas las acciones anteriores con el fin de mejorar el entorno de la organizacin y empezar el diseo del plan de procedimientos correspondiente a las PSI.

Redes y seguridad Proyecto Final

GRUPOS DE ACCESO Para la definicin de los grupos de empleados y usuarios, se considera los siguientes cargos dentro de la empresa: 4 administradores de redes, 1 por cada sede de la empresa. Personal de mantenimiento de hardware y software, para cada sede de la compaa EN-CORE. La gestin de seguridad informtica, se realiza en la sede principal de Medelln a cargo de un ingeniero. Todas las sedes en Medelln y la sucursal de Bogot poseen gerencia general y personal de trabajo. Terceros o clientes de la empresa, a los cuales debe prestarse atencin y asistencia a sus inquietudes.

Al tratarse del uso adecuado de los recursos informticos, se opta por brindar mayor control de estos a las personas con mayor conocimiento, que en este caso, son los administradores de las redes. Ellos tienen acceso total a los recursos del servidor y toda la informacin digital de la empresa. Para los empleados encargados de la parte administrativa de la empresa, se hace uso de un recurso en el espacio virtual creado para este departamento (Base de datos Administracin). El resto de empleados tiene un entorno virtual para el desarrollo de sus labores (Base de datos empleados). Los empleados encargados del mantenimiento de las redes, equipos computacionales y de comunicaciones tienen un recurso virtual con el que tienen acceso a ms recursos que los empleados normales, esto se hace con el fin de posibilitar un eficaz mantenimiento de las redes de comunicacin en la empresa. El encargado de la gestin de seguridad tambin tiene acceso a ms recursos que los empleados normales, pero no a todos, como es el caso de la informacin privada de la empresa. A continuacin se presentan la distribucin de los accesos a la red, segn el cargo ocupado en la empresa.

Redes y seguridad Proyecto Final

Tabla 1. Sede principal en Medelln Recurso del sistema Numero Nombre 1 Acceso Total Identificacin del usuario Administrador de red Tipo de acceso Local y remoto Permisos otorgados Accesos de lectura y escritura, a todos los recursos del servidor de la sede principal Lectura y escritura Lectura y escritura Lectura

2 3

Sede I Base de datos Administracin ENCORE Base de datos personal ENCORE Informacin considerada secreta Plataforma clientes

Personal de mantenimiento Gerencia general Todo personal Gestor seguridad gerente general Clientes el

Local y remoto Local y remoto

Local y remoto

de y

Local

Lectura escritura

Local y remoto

Lectura

Tabla 2. Sede No 2 de Medelln Recurso del sistema Numero Nombre 1 Acceso Total Identificacin del usuario Administrador de red Tipo de acceso Local y remoto Permisos otorgados Accesos de lectura y escritura, a todos los recursos del servidor de la sede 2 Lectura y escritura Lectura y escritura Lectura

2 3

Sede II Base de datos Administracin ENCORE Base de datos personal ENCORE Plataforma clientes

Personal de mantenimiento Gerencia general Todo personal Clientes el

Local y remoto Local y remoto

Local y remoto

Local y remoto

Lectura

Tabla 3. Sede No 3 de Medelln Recurso del sistema 8 Redes y seguridad Proyecto Final Identificacin Tipo de Permisos

Numero 1

Nombre Acceso Total

del usuario Administrador de red

acceso Local y remoto

2 3

Sede III Base de datos Administracin ENCORE Base de datos personal ENCORE Plataforma clientes

Personal de mantenimiento Gerencia general Todo personal Clientes el

Local y remoto Local y remoto

otorgados Accesos de lectura y escritura, a todos los recursos del servidor de la sede 3 Lectura y escritura Lectura y escritura Lectura

Local y remoto

Local y remoto

Lectura

Tabla 4. Sucursal de Bogot Recurso del sistema Numero Nombre 1 Acceso Total Identificacin del usuario Administrador de red Tipo de acceso Local y remoto Permisos otorgados Accesos de lectura y escritura, a todos los recursos del servidor de la sucursal de Bogot Lectura y escritura Lectura y escritura

2 3

Sucursal Bogot Base de datos Administracin ENCORE BOGOT Base de datos personal ENCORE BOGOT Plataforma clientes

Personal de mantenimiento Gerencia general

Local y remoto Local y remoto

Todo personal

el

Local y remoto

Lectura

Clientes

Local y remoto

Lectura

Se hace la segmentacin de la empresa en distintos grupos, para crear un espacio virtual para cada grupo con el fin de lograr un orden en la plataforma web y no confundir o mezclar informacin de los distintos departamentos. Se espera que la plataforma web, posea distintos espacios virtuales, cada uno para los distintos departamentos laborales existentes en la empresa. Debido a que resulta ptimo crear un espacio virtual para el departamento de administracin (Base de datos administracin) y 9 Redes y seguridad Proyecto Final

otro para el departamento de los distintos empleados (Base de datos personal); as como tambin un entorno virtual para los encargados del mantenimiento de las redes y la informacin de la empresa, as como un espacio virtual mas para los clientes habituales.

10

Redes y seguridad Proyecto Final

VALORACIN DE LOS ELEMENTOS DE LA RED Para el establecimiento de los niveles de riesgo de los recursos involucrados dentro de las PSI de la empresa para las 3 sedes de Medelln y la sucursal de Bogot, se tiene en cuenta los elementos que se muestran en la siguiente tabla. Tabla 5. Riesgos de los equipos de comunicaciones Recurso del sistema Numero Nombre 1 2 3 4 5 6 Servidor Modem Repetidor Bridge Router Terminales Riesgo (Ri) Importancia (Wi) 10 8 8 5 8 5 Riesgo Evaluado (Ri * Wi) 100 64 48 30 48 30

10 8 6 6 6 6

Se considera para las 3 sedes de Medelln y la sucursal de Bogot, los mismos elementos o dispositivos para su conexin en la conformacin de las redes de la empresa. Se puede observar de la anterior tabla, que el recurso que demanda mayor proteccin, es el servidor, del cual depende el funcionamiento ptimo de la empresa. El modem sigue en cuanto al riesgo, ya que al ser un dispositivo que interconecta 2 o ms redes entre s, resulta vital en la interconexin de las sedes de la ciudad de Medelln o en la sucursal de Bogot. Para los dems elementos se considera un riesgo normal, ya que son elementos de menor costo en comparacin con los 2 anteriormente nombrados (Servidor y Modem). Finalmente, se puede concluir que la consideracin del riesgo de los equipos nombrados anteriormente es muy importante. Por lo que se hace necesario el mantenimiento planificado, preventivo y correctivo de estos equipos por parte de los tcnicos de mantenimiento de las sedes de la empresa.

11

Redes y seguridad Proyecto Final

INFORMES PRESENTADOS A LA GERENCIA Para la realizacin del plan de presentacin de las PSI a los miembros de la gerencia de la organizacin, se hace uso de diapositivas, en las cuales se expone una bsica pero muy concisa descripcin sobre las PSI. Con la presentacin se intenta que cada uno de los miembros de la empresa logre una visin conjunta de la importancia de las PSI en cualquier empresa, esto con el fin de evitar discusiones y mal entendidos entra la junta administrativa y el gestor de seguridad informtica. El tema preponderante en la presentacin, se basar en la explicacin ms clara posible de los siguientes elementos: Campo de accin de las polticas, aqu se incluyen los sistemas y el personal sobre los cuales se aplica las PSI. Objetivos de las PSI y descripcin de la definicin de los elementos involucrados. Responsabilidades de los servicios y recursos informticos. Requerimientos mnimos para la implementacin de las PSI. Definicin de las violaciones y consecuencias al no cumplimiento de las PSI. Responsabilidades de los usuarios con respecto a la informacin de la empresa y el buen uso de esta.

Se espera finalmente que los miembros de la organizacin queden absolutamente convencidos de la importancia de las PSI, as como de los recursos y servicios que estas abarcan. Se pretende adems satisfacer las expectativas de la organizacin para posibilitar un continuo proceso de actualizacin de las mismas.

12

Redes y seguridad Proyecto Final

PASOS DE COMUNICACIN DE LAS PSI Establecer e implementar un esquema de seguridad informtica bajo el control y supervisin paralela de la gerencia general y el gestor de seguridad. Dotar de la informacin necesaria a los usuarios, empleados y gerentes de la organizacin EN-CORE, acerca de las normas y mecanismos ha cumplirse para la proteccin de la informacin perteneciente a la empresa. Posibilitar el total compromiso de todo el personal en este proceso de seguridad informtica, mediante sanciones y beneficios. Capacitacin y entrenamientos peridicos a empleados, acerca de los temas concernientes a la seguridad informtica mediante grupos de trabajo. Recibir aportes de los empleados, para el desarrollo e innovacin de las polticas de seguridad. Comunicacin permanente con los empleados sobre posibles cambios o modificaciones en las normas de seguridad.

PROCEDIMIENTOS PARA LA COMUNICACIN DE LAS PSI Creacin de un espacio virtual en la plataforma para la comunicacin de todas las polticas de seguridad informtica implantadas en la empresa. Creacin de un buzn virtual de sugerencias, con el fin de mejorar constantemente los recursos, servicios y normas de las PSI. Informacin constante en la pgina, sobre los cambios que se realicen a las PSI.

13

Redes y seguridad Proyecto Final

PROCEDIMIENTOS ESCOGIDOS PARA ELECCION DE LAS REDES Se hace de suma importancia la escogencia del tipo de red a implementar en la empresa. Se opta por elegir la red segn determinadas caractersticas que se mencionan a continuacin: CONEXIN EN EDIFICIO: Se usan redes LAN (de rea local), de propiedad privada. Optimas para utilizar ampliamente en la conexin de computadoras personales y estaciones de trabajo de la empresa.

Figura 1. Esquema Red LAN

CONEXIN PARA SEDES EN UNA MISMA CIUDAD: Se hace uso de una red MAN (de rea metropolitana), esta abarca un amplio territorio, contribuyendo en la comunicacin entre las 3 sedes de la empresa en la ciudad.

Figura 2. Red MAN

14

Redes y seguridad Proyecto Final

CONEXIN CON LA SUCURSAL EN LA CAPITAL: Se hace uso de una WAN (de area amplia), que abarca una gran rea geogrfica del tamao de una nacin, muy optima para la comunicacin de todas las sedes de Medelln con la sucursal de Bogot.

Figura 3. Red WAN

TOPOLOGA: Se considera la implementacin de una red en estrella, como la ms ptima, debido a que todas las estaciones y sucursales tendran un nodo comn que posibilita su fcil comunicacin entre todas ellas, sin la existencia de distintos nodos para la transferencia de datos entre sucursales.

Figura 4. Topologa de red en Estrella

15

Redes y seguridad Proyecto Final

DIRECCION DE DATOS: Para la direccin de datos, se considera una transmisin Full-Duplex, debido a la transmisin de informacin entre dos estaciones de manera simultnea; adems que este modo permite comunicaciones a largas distancias.

Figura 5. Direccin de datos Full Duplex

16

Redes y seguridad Proyecto Final

USO DE DEMONIOS EN LA RED La utilidad de los demonios en la red, radica en la ejecucin de procesos y servicios de manera silenciosa, adems de la no existencia de interfaz grfica de comunicacin con el usuario y que no permiten la interaccin directa con este. Esto permite que sean ptimos para realizar la instalacin de estos en la empresa. Se considera la instalacin de los siguientes demonios: TELNET: Es un demonio que permite a los usuarios tener acceso de terminal a un sistema (Ser clientes del mismo). A travs del demonio telnet, se crea una conexin entre cliente y servidor que sirve para transferir informacin, solo que el login y el password para acceder al sistema es hecho automticamente por el demonio. Este demonio tiene el inconveniente de que un cracker pueda intervenir el programa y obtener nombres de usuario y contraseas, por lo cual se necesita hacer uso de un programa que encripte las contraseas.

ARGUS: Es una herramienta de dominio pblico, se ejecuta como un demonio y permite auditar el trfico IP que se produce en nuestra red, mostrndonos todas las conexiones del tipo indicado que descubre.

17

Redes y seguridad Proyecto Final

HERRAMIENTAS PARA CONTROL DE ACCESO Las herramientas que se consideran necesarias para su uso dentro de la red de datos de ENCORE, se mencionan a continuacin: NETLOG o Registra las conexiones que se llevan a cabo cada milisegundo (ms). o Corrige ataques SATAN o ISS. o Genera Trazas de los paquetes movidos en la red. o Se compone de 5 subprogramas: TCPLogger: Genera Trazas sobre todos los paquetes que usan protocolo TCP. UDPLogger: Genera Trazas sobre todos los paquetes que usan protocolo UDP. ICMPLogger: Genera Trazas de las conexiones basadas en ICMP. Etherscan: Monitorea el uso de otros protocolos con actividad inusual, e indica los archivos que han sido modificados. Nstat: Detecta cambios en los patrones de uso de la red, y brinda informacin sobre ciertos periodos de tiempo, adems de la posibilidad de graficar determinados datos. GABRIEL o Detecta ataques tipo SATAN. o Genera alertas va e-mail u otro medio en el servidor. COURTNEY o Detecta ataques tipo SATAN. o Genera informacin procesada mediante TCPDump. NOCOL (NETWORK OPERATIONS CENTER ON-LINE) o Paquete que contiene diversos programas para monitorear la red de una organizacin. o Recopila, analiza informacin para luego agruparla en eventos y asignar una gravedad (info, warning, error, critical). o Maneja distintas herramientas para el manejo de los distintos eventos.

18

Redes y seguridad Proyecto Final

HERRAMIENTAS PARA CHEQUEO DE LA INTEGRIDAD DEL SISTEMA Las herramientas que se consideran necesarias para chequear la integridad de los sistemas usados en la organizacin, se mencionan a continuacin: COPS o Chequea aspectos de seguridad relacionados con el sistema operativo UNIX. Permisos de archivos. Permisos de passwords dbiles. Chequeo de escritura y lectura sobre elementos de la configuracin de red. TIGER o Chequea elementos de seguridad del sistema para detectar problemas y vulnerabilidades. Configuracin general del sistema. Sistema de archivos. Caminos de bsqueda generados. Alias y cuentas de usuarios. Configuraciones de usuarios. Chequeo de servicio. Comprobacin de archivos binarios. CRACK o Herramienta vital en el sistema. o Permite forzar las contraseas de los usuarios. o Los passwords de nuestro sistema siempre estarn encriptados y nunca se los podr desencriptar. o Detecta las contraseas ms dbiles y ms vulnerables. TRIPWIRE o Herramienta vital en el sistema. o Detecta cambios y modificaciones. o Genera una base de datos en que se genera una firma o archivo identificador por cada elemento en el sistema de archivos. o Se almacena informacin con relevante de los usuarios. OSH (OPERATOR SHELL) o Permite indicar al administrador de red, cuales son los comandos que pueden ejecutar los usuarios de la red o redes. o Genera un archivo de permisos con los nombres de los usuarios y las listas de comandos que cada uno de ellos puede usar. o Se usa para otorgar permisos de uso de comandos a grupos de usuarios y usuarios especiales.

19

Redes y seguridad Proyecto Final

ORGANIZACIN DE LA SEGURIDAD INFORMATICA Gerencia: Autoridad de nivel superior, la cual a partir de su administracin est la aceptacin y seguimiento de las polticas y normativas de seguridad a implementar. Responsable de activos: Personal del departamento administrativo, que velar por la seguridad y correcto funcionamiento de los activos informticos y la informacin de la empresa. Gestor de seguridad: Encargado de velar por la seguridad de la informacin, realizacin de auditoras de seguridad, elaboracin de documentos con polticas y normas de seguridad y llevar un control referente a los servicios prestados y niveles de seguridad. Administrador de red: Encargado de la seguridad y correcto funcionamiento de los activos informticos, as como de la informacin procesada en stos, dentro de las respectivas reas o niveles de mando. Personal de mantenimiento: Encargado de la realizacin de mantenimiento preventivo y correctivo de los dispositivos empleados para la implementacin de las redes de comunicacin de la empresa.

20

Redes y seguridad Proyecto Final

NORMAS Y POLITICAS DE SEGURIDAD INFORMTICA A continuacin se presentan los procedimientos de seguridad ms adecuados a implementar, segn ciertos criterios como son: SEGURIDAD ORGANIZACIONAL Normas y Polticas 1. Los recursos y servicios de la red informtica de la empresa EN-CORE, son de uso exclusivo para gestiones administrativas y operativas por parte de los empleados. 2. La empresa hace uso de un gestor de seguridad informtica, encargado del seguimiento del cumplimiento de la normativa respectiva. 3. El administrador de red es el encargado de mantener en buen estado los servidores de la red de la empresa. 4. Los empleados tendrn acceso a internet, en tanto se cumplan requisitos mnimos de seguridad para el acceso a este. Capacitacin de empleados 1. Se realizara continuas capacitaciones a los empleados sobre temas relacionados con la seguridad de la informacin, as como TIC y NTIC, segn al rea (operativa, administrativa y tcnica) y dependiendo de las actividades a desarrollar. Anomalas 1. Creacin de respaldos diarios de la informacin digital bsica. Para la informacin importante, el respaldo ser semanal y para posibles fallas, se realizar un tercer respaldo mensual y uso ser en ltima instancia. 2. Mnimos tiempos de espera, por parte del personal de mantenimiento para solicitudes de asistencia informtica por parte de los empleados. 3. Documentacin de toda clase de situaciones anmalas y contrarias a lo contemplado en el manual de seguridad. 4. Revisin posterior a la situacin y lograr una solucin a esta en un tiempo mnimo.

21

Redes y seguridad Proyecto Final

SEGURIDAD LGICA Accesos 1. El gestor de la seguridad, ser el encargado de proporcionar la documentacin necesaria para el uso correcto de los sistemas y recursos que se van a manejar en la plataforma. 2. Creacin de una plataforma web donde, todos los empleados ingresen su informacin principal a tener en cuenta en la empresa. Estos datos podrn ser modificados si se requiere. 3. La informacin principal a consignar de los empleados, sern sus datos bsicos (Nombre, Sexo, Profesin) y el cargo que desarrolla en la empresa. 4. El ingreso al sitio web de la empresa, ser mediante un login que solicite nombre de usuario y contrasea. 5. Para empleados que dejen la empresa por algn motivo, se realizar la respectiva eliminacin de su informacin en la plataforma. 6. Las peticiones de asistencia de recursos o informacin de servicios informticos, de los empleados de determinado departamento se realizarn siguiendo un respectivo protocolo as: Llenar la solicitud de asistencia dirigido al gestor de seguridad informtica. Justificacin de la peticin El tiempo de respuesta por parte del gestor debe ser el mnimo posible. Administracin del acceso 1. Solo existe acceso al sistema interno a toda aquella persona que sea empleado de la empresa EN-CORE. 2. Se realizar la asignacin de una cuenta de acceso al sistema a cada empleado, de acuerdo al departamento donde se desempee. Este acceso posibilita ciertos permisos segn las tablas 1, 2, 3, 4. 3. Los empleados de los departamento de personal y administrativo, sin incluir a la gerencia, tendrn acceso nicamente a servicios de internet y recursos compartidos entre las redes. 4. Se hace la consideracin de los usuarios externos, a las personas u organizaciones que busquen la prestacin de los servicios de investigacin tecnolgica llevados a cabo por la empresa. Para este tipo de entidades tambin existe un acceso a los servicios de la red. Sin embargo, este acceso es restrictivo y mediante un acuerdo de confidencialidad. 5. Se manejar para los nombres de usuario, una longitud mnima de 6 caracteres alfanumricos y una mxima de 10 caracteres, todo en minsculas. 6. Se manejar para las contraseas, una longitud mnima de 10 caracteres alfanumricos y una mxima de 16 caracteres, todo en minsculas. Responsabilidades de Usuario 1. Es el nico responsable de mantener a salvo su nombre de usuario y contrasea. 2. Sera responsable tambin del uso que haga de su cuenta personal de acceso a los recursos, sistemas y servicios de la red. 22 Redes y seguridad Proyecto Final

3. El usuario deber proteger su equipo de trabajo, evitando que personas ajenas a su cargo, tengan acceso a la informacin almacenada en el. 4. Cualquier usuario tiene el deber de reportar al personal de mantenimiento, administrador de red o gestor de seguridad, sobre cualquier falla de seguridad encontrada en el sistema. Uso de correo electrnico 1. Se debe hacer uso de este acatando las disposiciones de seguridad diseadas de la empresa. Evitando definitivamente software malicioso dentro de la red (email bombing, spamming, denial of service, entre otros). 2. El uso indebido del correo electrnico, ser motivo de suspensin temporal o definitiva de la cuenta de correo. 3. El empleado debe respetar la ley sobre los derechos de autor, no debe por ningn motivo utilizar este medio para distribuir software o licencias de software ilegal. Seguridad de Accesos para clientes 1. El acceso a clientes es concedido mediante el cumplimiento de requisitos de seguridad establecidos en el contrato legal, el cual debe estar firmado por las entidades involucradas. 2. Los usuarios externos, deben utilizar exclusivamente, el servicio que fue asignado. Control de Acceso 1. El acceso a la red interna, se permitir siempre y cuando se cumpla con los requisitos de seguridad necesarios, mediante un mecanismo de autenticacin en plataforma virtual. 2. Se debe procedes a eliminar cualquier acceso a la red sin autenticacin previa. 3. El departamento de mantenimiento informtico, deber emplear dispositivos de red para el bloqueo, enrutamiento, o filtrado de trfico para evitar el acceso no autorizado hacia la red interna. 4. Los accesos a la red interna o local desde una red externa de la institucin o extranet, se harn mediante un mecanismo de autenticacin seguro. 5. Al trmino de una sesin de trabajo en los equipos computacionales, los empleados operadores del equipo deben evitar dejar los equipos encendidos. Para evitar proporcionar la utilizacin de la estacin de trabajo por personal ajeno. Servidores 1. Solo los administradores de red, tienen permitido el acceso a la configuracin del sistema operativo para los servidores. 2. Los servicios instalados en los servidores sern ejecutados con enorme seguridad por parte de los administradores de red. Control de acceso a las aplicaciones 1. Definicin y estructuracin del nivel de permisos sobre las aplicaciones, de acuerdo al nivel de ejecucin de las aplicaciones, haciendo especial nfasis en los derechos de escritura, lectura, modificacin, ejecucin o borrado de la informacin. 23 Redes y seguridad Proyecto Final

2. Se llevar un registro mediante las actividades de los usuarios en cuanto a accesos, errores de conexin, horas de conexin, intentos fallidos, terminal desde donde conecta, de manera que proporcionen informacin relevante y revisable posteriormente. Monitores del acceso y uso de sistema 1. Se registrar y archivar toda actividad, procedente del uso de las aplicaciones, sistemas de informacin y uso de la red. 2. Los archivos almacenarn nombres de usuarios, nivel de privilegios, IP de terminal, fecha y hora de acceso o utilizacin, actividad desarrollada, aplicacin implicada en el proceso, intentos de conexin fallidos o acertados, archivos a los que se tuvo acceso, entre otros. Gestin de operaciones y comunicaciones 1. El personal de mantenimiento y administrador de red son los responsables por mantener en ptimo funcionamiento los servicios informticos, adems, junto con la coordinacin de esfuerzos con el gestor de seguridad, fomentar una cultura de administracin segura y servicios ptimos. 2. El personal responsable del mantenimiento, llevar archivos de registro de fallas de seguridad del sistema de forma frecuente y en especial despus de ocurrida una falla. 3. La unidad de mantenimiento, los administradores de red y el gestor de seguridad, efectuarn todo el proceso propio de la planificacin, desarrollo, adquisicin, comparacin y adaptacin del software necesario. 4. La aceptacin del software se har efectiva por la gerencia de la organizacin, previo anlisis y pruebas efectuadas por el personal de informtica. 5. El software diseado por programadores internos, deber ser analizado y aprobado, por el gestor de seguridad, antes de su implementacin. Proteccin contra software malicioso 1. Se utilizar software nicamente de fuentes confiables. 2. Para el caso de los servidores, al igual que los equipos computacionales, tendrn instalado y configurado correctamente software antivirus actualizable y activada la proteccin en tiempo real. 3. Verificacin del volumen de trfico de correos, con el fin de verificar si el servidor est siendo objeto de un spam. 4. Monitoreo sobre las conexiones activas, para evitar que en el caso de que un empleado haya dejado su conexin activa durante cierto tiempo, esta conexin se desactive automticamente. 5. La modificacin de recursos en el servidor, solo ser posible por parte del administrador de la red, quien adems ser el encargado de generar copias de seguridad de los documentos cargados en la pgina. 6. Limpieza de programas fuentes potenciales de virus, chequeo sobre la habilitacin y seguridad de los puertos.

24

Redes y seguridad Proyecto Final

Mantenimiento 1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva responsabilidad del personal de mantenimiento informtica. 2. El cambio de archivos de sistema, no ser permitido, sin una justificacin aceptable y verificable por el gestor de seguridad. 3. Realizar un mantenimiento planificado de todos los equipos computacionales y de comunicaciones. 4. Procurar realizar un mantenimiento preventivo a todos los equipos, en especial a los que conllevan un riesgo mayor (Servidores, Ruteadores, entre otros). 5. En caso del dao de algn equipo, realizar su correspondiente mantenimiento correctivo. 6. Manejo de fichas tcnicas, correspondientes a todo tipo de mantenimiento realizado en la empresa. 7. Se llevar un registro global del mantenimiento efectuado sobre hardware y software de la empresa.

25

Redes y seguridad Proyecto Final

SEGURIDAD FSICA Seguridad de los equipos 1. El cableado de red, se instalar fsicamente separado de cualquier otro tipo de cables, para evitar interferencias. 2. Los servidores, con problemas de hardware, debern ser reparados localmente por el departamento de soporte tcnico. 3. Los equipos computacionales y de comunicaciones (redes), debern ubicarse en reas aisladas y seguras, protegidas con un nivel de seguridad verificable y manejable por el gestor de seguridad, soporte tcnico y mantenimiento y administrador de redes, quienes debern poseer su debida identificacin. Controles generales 1. Las estaciones o terminales de trabajo, con procesamientos crticos no deben de contar con medios de almacenamientos extrables, ya que facilitar el robo o manipulacin de la informacin por terceros o personal ajeno a la empresa. 2. Toda rea de trabajo debe poseer entre sus inventarios, herramientas auxiliares (extintores, alarmas contra incendios, lmparas de emergencia), necesarias para salvaguardar los recursos tecnolgicos y la informacin. 3. La sala de servidores, deber estar separada de las oficinas administrativas, mediante una divisin en la unidad de informtica, recubierta de material aislante o protegido contra el fuego. 4. El suministro de energa elctrica debe hacerse a travs de un circuito exclusivo para los equipos de cmputo, o en su defecto el circuito que se utilice no debe tener conectados equipos que demanden una enorme potencia. 5. Las instalaciones de las reas de trabajo deben contar con una adecuada instalacin elctrica, y proveer del suministro de energa mediante una estacin de alimentacin ininterrumpida o UPS para poder proteger la informacin en caso de desconexin elctrica.

26

Redes y seguridad Proyecto Final

SEGURIDAD LEGAL Cumplimiento de requisitos legales 1. Todo el software a utilizar deber estar legalmente registrado con sus respectivas licencias. 2. El software comercial licenciado por EN-CORE, ser propiedad exclusiva de la empresa, la cual se reserva los derechos de reproduccin de este sin el permiso de sus autores. 3. En caso de la existencia de transferencia de software a terceros, se realizaran las respectivas gestiones necesarias para su efecto. 4. El software desarrollado internamente, por el personal de EN-CORE es de propiedad exclusiva de la empresa. 5. Los contratos con terceros, en la gestin o prestacin de un servicio, debern especificar, las medidas necesarias de seguridad, nivel de prestacin del servicio, y personal involucrado en tal proceso. Revisin de polticas de seguridad 1. Toda violacin a polticas de licenciamiento de software, ser motivo de sanciones, suspensiones y despidos aplicables al personal que incurra en la violacin. Auditorias de sistemas 1. Se debe efectuar una auditoria de seguridad a los sistemas de acceso a la red semestralmente, enmarcada en pruebas de acceso tanto internas como externas, desarrolladas por el personal tcnico. 2. Toda auditoria estar debidamente aprobada por la gerencia general. 3. La auditoria no deber modificar en ningn momento el sistema de archivos de los sistemas implicados. 4. En caso de haber necesidad de modificar algunos, se deber hacer un respaldo formal del sistema o sus archivos.

27

Redes y seguridad Proyecto Final

BENEFICIOS DE IMPLANTAR POLITICAS DE SEGURIDAD INFORMATICA Los beneficios de la aplicacin de PSI a considerar sern inmediatos, al posibilitar que la organizacin EN-CORE trabaje sobre una plataforma virtual confiable. Estos beneficios se vern reflejados en los siguientes aspectos: 1. 2. 3. 4. 5. 6. 7. Incremento en la motivacin del personal de la empresa. Un compromiso ms slido con la misin y visin de la compaa. Alta seguridad ante ataques informticos. Plataforma virtual optima para atencin al cliente. Red segura para transmisin de datos entre sedes. Personal de trabajo, altamente capacitados en herramientas ofimticas. Alta capacitacin en mantenimiento de hardware y software, por parte del personal de soporte tcnico. 8. Aumento de la tecnologa de la empresa.

28

Redes y seguridad Proyecto Final