proyecto final crs

Proyecto Final

Recomendaciones para presentar la Actividad: Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que

llamarás Proyecto Final. Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Santiago Valencia Rondon.Fecha 19/09/2015Actividad Proyecto Final.Tema Manual de Procesos y Procedimientos.

Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta magna” de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentación para cualquier empleo en el que se le exija experiencia.

1 Redes y seguridadProyecto Final

ACTIVIDAD

MANUAL DE PROCESOS Y PROCEDIMIENTOS

Proyecto final

Presentado por:

Santiago Valencia Rondon

Instructora:

Ayda Andrea Franco V.

SERVICIO NACIONAL DE APRENDIZAJE SENA

ANTIOQUIA / MEDELLÍN

Curso Virtual

Ficha: 1051346 - REDES Y SEGURIDAD

19/09/2015


INTRODUCCIÓN

Las redes en el mundo han mostrado un gran progreso, la posibilidad de comunicarse a través de la red ha abierto mucho horizontes a las empresas para mejorar su productividad y poder expandirse a muchos países, debido a esto hay que garantizar la seguridad de la información que se trabaja día a día, estos riesgos nos han llevado a implementar nuevos procedimientos que nos van a ayudar en el adecuado uso de los sistemas tecnológicos y de las redes en general, la cual consisten en compartir recursos, y que todos los programas, datos y equipo estén disponibles para cualquiera de la red que así lo solicite, sin importar la localización del recurso y del usuario.

También consiste en proporcionar una alta fiabilidad, al contar con fuentes alternativas de suministro. Además, la presencia de múltiples CPU significa que si una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su trabajo, aunque se tenga un rendimiento menor. Este manual fue elaborado con nociones Básicas de Seguridad en redes informáticas, recogiendo los principales conceptos y recomendaciones de los problemas que se pueden presentar en una red, con el fin de informar a los trabajadores sobre los riesgos más comunes y sus medidas preventivas.

Por esta razón, hay que salir adelante con un buen Manual de Procedimientos, donde se haga un estudio por anticipado de la entidad, para ver los riesgos a los que está expuesto en cuestiones de seguridad, así como un buen plan detallado de las acciones que debe tomar cada miembro de la entidad.


OBJETIVOS

- Se hará todo lo posible por manejar un lenguaje sencillo, que sea de fácil asimilación con el fin de que sea aplicado por todos. Aunque no sobra decir que se necesita compromiso para estar dispuesto a aportar en lo que sea posible a evitar la entrada de personas malintencionadas a nuestra institución, y reforzar nuestro nivel de seguridad informático.

- El objetivo principal de nuestro proyecto es entregarles un Manual de Procesos y Procedimientos con el fin de que todos lo puedan estudiar y así garantizar la seguridad en la información y en los datos de nuestra empresa.

- Implementar y proponen estrategias que ayuden a proteger el sistema contra posibles ataques.


ANTECEDENTES

(ESTUDIO PREVIO)

Nuestra empresa “EN CORE”, es una empresa colombiana que presta servicios para la investigación tecnológica para las empresas del país, su sede principal se encuentra en la ciudad de Medellín, la empresa está en proceso de expansión, se están construyendo dos sucursales más en la ciudad y otra más en la capital del país, en las que utilizamos la topología de red en estrella, por el control que permite sobre la red, y la posibilidad de agregar o quitar equipos a la red sin afectar los demás equipos; por alcance utilizamos la red MAN, por lo de las sucursales que se van a manejar, por relación funcional utilizaremos la relación cliente- servidor, para poder hacer un seguimiento a la seguridad de la red a través de un servidor.

En nuestra empresa manejamos datos importantes, información privada y de uso exclusivo, por lo que debemos cuidar tanto los lugares de almacenamiento físico como lógico de la información. Por ello exponemos a continuación lo que encontramos para poder ejecutar nuestro Manual de Procedimientos.

* Los elementos están expuestos a posibles daños por el ambiente, como la humedad o temperatura.

* No hay un sistema que regule el nivel de seguridad de las contraseñas de los usuarios.

* Se evidencias cuentas pasivas, o que han dejado de ser utilizadas durante mucho tiempo.

* No se lleva un control de las páginas de internet que visitan los empleados, así como del contenido descargado por los mismos, y del horario que utilizan la red.

* El personal encargado de la vigilancia, no lleva un control de lo que sacan los empleados de la empresa, hablamos de material original, copias, o digital.

* Se evidenció que muchos usuarios tienen su login y contraseña en lugar visible, lo que facilita la suplantación.


* No hay control escrito de entrada y salida, no existe tal registro de manera escrita, con sus respectivas firmas.

* No hay un plan de emergencia visible.

* Las copias de seguridad se guardan en el mismo sitio de donde se realizan.

PROGRAMA DE SEGURIDAD Y PLAN DE ACCIÓN

ESTUDIO DEL SISTEMA DE SEGURIDAD.

En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo hay que facilitar la formalización de los empleados para que ellos materialicen las Políticas de Seguridad Informática, por otra parte hay una gran cantidad de inconvenientes porque las personas no se acoplan al cambio y no les gusta regirse a los avances; Si realmente quiere que las PSI sean aceptadas, debemos realizar una integración en la empresa con la misión, visión y objetivos estratégicos. Por lo anterior es muy importante saber las clases de riesgo tiene la empresa como lo descritos a continuación:

Mucha información confidencial puede ser observada y alterada continuamente por otros usuarios.

Se puede suplantar con facilidad la identidad de los usuarios o administradores. No hay restricción a personas ajenas a la empresa.

Los equipos de cómputo son el punto más débil en la seguridad porque se maneja personal variado.

No hay niveles de jerarquía entre jefes, administradores y usuarios. En los sistemas de cómputo la información está completamente abierta. No hay responsabilidades en los cargos de las distintas dependencias y se

delegaran a sus subordinados sin autorización. No se cuenta con un programa de mantenimiento preventivo y correctivo de

los sistemas de cómputo. La falla continúa por no tener las normas eléctricas bien aplicadas; dan pie

a cortes de electricidad sin previo aviso.


PROGRAMA DE SEGURIDAD.

La seguridad en la información, es un concepto relacionado con los componentes del sistema (hardware), las aplicaciones utilizadas en este (software) y la capacitación del personal que se encargara del manejo de los equipos. Por esta razón un paso primordial es establecer normas y estándares que permitan obtener un manejo seguro de toda la infraestructura de comunicación, la información, y por consiguiente los recursos de la empresa. Se han convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información necesaria para garantizar su integridad, confidencialidad y disponibilidad.

El presentar bases, normas de uso y seguridad informáticas dentro de la empresa respecto a la manipulación, uso de aplicaciones y equipos computacionales permitirá el buen desarrollo de los procesos informáticos y elevará el nivel de seguridad de los mismos y así preservar la información y los diferentes recursos informáticos con que cuenta la Empresa.

PLAN DE ACCIÓN.

El propósito de este plan de acción es asegurar que los funcionarios utilicen correctamente los recursos tecnológicos que la empresa pone a su disposición, este será de obligatorio cumplimiento y el usuario que incumpla deberá responderá por los daños causados a el sistema informático de la empresa, y tendrá acciones disciplinarias y penales ante la ley. En el plan de acción a seguir de la empresa adoptaremos los siguientes pasos:

Crear una cuenta para cada usuario la cual, impedirá que pueda dañar al sistema o a otros usuarios, y le dará solo los recursos necesarios para la labor asignada.

En esta cuenta de usuario se asignaran permisos o privilegios al usuario para acceder a los sistemas de información y desarrollará actividades dentro de ellas de forma personalizada.

Implementar una base de datos de usuario, esto permite realizar seguimiento y control.


Para la creación de cuentas se deberá enviar una solicitud a la oficina de Sistemas, con el visto bueno del jefe de cada área, donde se bebe resaltar los privilegios que va a tener el usuario.

Cuando un usuario reciba una cuenta, deberá acercarse a la oficina de sistema para informarle las responsabilidades y el uso de esta.

Por ningún motivo se concederá una cuenta a personas ajenas a la empresa.

El departamento de Recursos Humanos debe informar al departamento de Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta.

El acceso a internet se permitirá al personal que lo necesite este será de uso laboral y no personal, con el fin de no saturar el ancho de banda.

No acceder a páginas de entretenimiento, pornografía, o que estén fuera del contexto laboral.

No se descargara información en archivos adjuntos de dudosa procedencia, esto para evitar el ingreso de virus al equipo.

Ningún usuario está autorizado para instalar software en su ordenador. El usuario que necesite algún programa específico para desarrollar su actividad laboral, deberá comunicarlo al Departamento de Sistemas.

Los empleados de la Empresa solo tendrán acceso a la información necesaria para el desarrollo de sus actividades.

Ningún empleado debe instalar ningún programa para ver vídeos, música o juegos vía Internet.

se debe utilizar el correo electrónico como una herramienta de trabajo, y no para recibir mensajes de amigos y familiares, para eso está el correo personal.


No enviar archivos de gran tamaño a compañeros de oficina, esto ocupa mucho espacio en la banda.

No participar en la propagación de mensajes encadenados o de esquemas de pirámides.

No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podrían contener códigos maliciosos.

El acceso a las cuentas personales no debe hacerse en jornadas laborales ni en los equipo de la empresa.

Cuando el usuario deje de usar su estación de trabajo deberá cerrar y verificar el cierre del correo, para evitar que otra persona use su cuenta.

Se debe mantener los mensajes que se desea conservar, agrupándolos por temas en carpetas personales.

El departamento de Sistemas determinará el tamaño máximo que deben tener los mensajes del correo electrónico.

Los mensajes tendrán una vigencia de 30 días desde la fecha de entrega o recepción. Terminada la fecha, los mensajes deberán ser eliminados del servidor de correo.

Se creara una carpeta compartida para todos los empleados esta es de uso laboral para compartir tareas y no para almacenar cosas personales o innecesarias.

También se crearan unas subcarpetas compartidas de cada departamento, jefes, supervisores y administradores pero se crearan privilegio para el uso de estas.

A la información vital se le realizara una copia de seguridad todos los fines de semana, con el fin de proteger, tener respaldo de los datos y el buen manejo de la red.


La información que se guarde en la red y no sea utilizada, debe eliminarse y guardarla ya sea en el equipo o en memorias USB, para no mantener la red llena.

No modificar ni manipular archivos que se encuentren en la red que no sean de su propiedad.

Los usuarios no pueden instalar, suprimir o modificar el software entregado en su computador.

No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos.

No es permitido abrir la tapa de los equipos, y retirar parte de estos por personal diferente al departamento de sistemas.

Los equipos, escáner, impresoras, lectoras y equipos de comunicación no podrán ser trasladados del sitio que se les asignó inicialmente, sin previa autorización del departamento de sistemas o seguridad.

Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones eléctricas, asegurando que los equipos estén conectados a una corriente regulada, o Ups.

Los equipos deben estar ubicados en sitios adecuados, evitando la exposición al agua, polvo o calor excesivo.

Ningún usuario, podrá formatear los discos duros de los computadores.

Ningún usuario podrá retirar partes o usar los equipos de comunicación para uso personal sin la autorización del departamento de sistemas.

A los equipos personales no se les brindará soporte de ninguna índole: ni de hardware ni de software, porque son responsabilidad del dueño.

La dirección IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la autorización del departamento de Sistemas porque esto ocasionaría conflictos y esto alteraría el flujo de la red.


No llenar el espacio de disco del equipo con música ni videos, ni información personal que no sea necesaria para el desarrollo de sus tareas con respecto a la entidad.

Se capacitara al personal para tener un análisis previo y evaluar en qué parte es necesario mejorar o resolver un problema.

Dar una capacitación de la actividad a desarrollarse y en la que cada funcionario se va a desempeñar específicamente.

Es estrictamente obligatorio, informar oportunamente al departamento de sistemas las novedades por problemas eléctricos, técnicos, de planta física, etc. que altere la correcta funcionalidad del sistema.

MANUAL DE PROCEDIMIENTOS

Procedimiento para que los clientes o personas ajenas a la entidad, estén lejos de las áreas de trabajo, para prevenir el espionaje o el robo de terceros.

Procedimiento para instalar los equipos de uso interno en lugares adecuados, libres del polvo y la humedad.

Procedimiento para bloquear páginas pornográficas, redes sociales, o descargas de link desconocidos.

Procedimiento para cambiar periódicamente las claves de seguridad, y dar de baja a las que lleven tiempo sin ser usadas, no dejar cuentas para usuarios invitados.

Procedimiento para supervisar los documentos que son sacados de la entidad, prohibido sacar copias y distribuirlas a terceros.

Procedimiento para controlar el acceso a internet después de jornadas laborales.

Procedimiento para monitorear el tráfico de información, o los puertos utilizados.


VALORACION DE ELEMENTOS DE LA RED

Es necesario que se conozcan los elementos principales de la red y el valor que se le dan a los mismos, por eso elaboramos esta tabla sencilla para explicarlo.

Número Nombre

Nivel de importancia del recurso

(R1)

Severidad de la pérdida (w1)

Riesgo evaluadoR1 * W1

1 Bridge 5 2 102 Computador 4 6 243 Switch 5 6 304 Router 6 8 485 Servidor 10 10 100

1) nivel medio, es el encargado de la interconexión de redes en los computadores, transfiere datos de una red a otra. Si llegara a averiarse se vería afectada la red, pero puede ser fácilmente cambiado el puente.

2) su nivel de importancia es bajo, ya que en una empresa hay varios equipos que pueden realizar dicha labor, además, se recurre a la copia de seguridad de datos. Si llegara a perderse o dañarse se corre el riesgo de perder información importante para la empresa, y tiempo que se gastaría en configurarlo nuevamente.

3) el nivel de conexión que maneja es medio, este proporciona la conexión de varios equipos en un solo recurso. Recibe conexión del router para conectar en red a los demás equipos. Si se llegara a dañar no habrá otro elemento que lo reemplace perdiendo así la conexión de otros equipos.

4) maneja la red de la empresa, si se pierde o daña podría ocasionar graves daños a la red y por supuesto a la información.

5) se le da el máximo de importancia en ambos caso, ya que además de costoso, es primordial por la información que maneja, aún hasta de los otros equipo, sin olvidar lo costoso que es conseguirlo.


TABLA DE GRUPO DE ACCESO

Número Nombre Riesgo Tipo de acceso Permisos otorgados

1Información

personal administrativa.

Gerencia, jefe de personal local Lectura y

escritura

2 Base de datosGerencia, grupo de auditores

Local y remoto Lectura

3 Archivo físicoSecretaria, gerencia, auditores

Local Lectura y escritura

4 Computadores Empleados con usuario y login local

Manejo sin descargar link diferentes a la

entidad

5 internet Empleados con usuario y login Local y remoto Manejo

institucional

DEMONIOS PARA LA RED

(Qué son y para qué se utilizan)

TELNET: se crea una conexión entre cliente y servidor que sirve para transferir información, su login y passwords para acceder al sistema son asignados por el demonio, lo cual sería una desventaja ya que un cracker puede instalar un “snifer” en la red, y pueda tener acceso al login y contraseña ya que estas están en la red; afortunadamente para esto se puede usar un programa que encripte las contraseñas y las envié una sola vez por red, así de esta manera se obtendrá una sola vez la contraseña.

ARGUS: Esta herramienta nos permite auditar el tráfico IP que se produce en nuestra red, mostrándonos todas las conexiones del tipo indicado que


descubre, mandando así la captura de paquetes IP donde se puede especificar condiciones de filtrado como protocolos específicos, nombres de máquinas.

SATAN: Esta herramienta nos permite chequear las máquinas que están conectadas a la red, genera información sobre el tipo de máquina conectada, los servicios que presta cada una, y la herramienta quizá más importante, permite detectar fallos de seguridad. Sus datos se muestran en un navegador, por lo que su lectura es sencilla. Se detecta la vulnerabilidad y su posible solución.

HERRAMIENTAS PARA LA RED Y PROCEDIMENTOS

Las siguientes herramientas sirven para generar un control de acceso.

TCP-WRAPPER: Esta herramienta nos permite controlar y monitorear el tráfico de las redes de nuestra organización y nos permite tener un control sobre las conexiones que se generan en la misma. Es de gran ayuda ya que restringe la conexión de sistemas no deseados a servicios de nuestra red. Una de las ventajas de este programa es que nos deja un registro de las conexiones que se hicieron en la red, así como a los servicios y de la máquina de los que se intentó acceder.

Procedimiento para instalar Tcp-Wapper y que los técnicos definan las reglas para la eficiencia del filtrado de elementos y la protección del mismo.

SATAN: chequea las máquinas que están conectadas a la red, detecta la vulnerabilidad y la marca como insegura, se genera un registro y su posible solución.

Procedimiento para instalar Satan con el fin de detectar posibles accesos de otras máquinas no permitidas.

COURTNEY: detecta el uso de las topologías de redes, permite detectar la máquina que genera el ataque Satan, a partir de información pasada por el programa TcpDump, el programa genera un aviso.

Procedimiento para instalar Courtney y detectar chequeos de puertos en un lapso corto de tiempo.

Las siguientes herramientas sirven para chequear la integridad del sistema.


COPS: chequea aspectos de seguridad con el sistema operativo Unix, como permisos a determinados archivos, permisos de escritura y lectura sobre elementos importantes de la configuración de red.

Procedimiento para instalar Cops, si se maneja el sistema operativo Unix, con el fin de mantener la seguridad en la red.

CRACK: esta herramienta permite medir la seguridad de las contraseñas, y chequear la seguridad del sistema.

Procedimiento para instalar Crack y hacer un barrido periódico del mismo, el técnico deberá avisar a cada usuario cuando sea necesario cambiar su contraseña por una más segura.

TRIPWIRE: detecta cualquier cambio o modificación en el sistema de archivos, genera una base de datos con una firma por cada elemento en el sistema de archivos, información valiosa para una futura comparación de la base de datos y así detectar modificaciones en los mismos.

Procedimiento para instalar Tripwire, y crear una base de datos “main” donde se hagan comparaciones periódicas con el fin de detectar cambios, y actualizar la misma cada vez que ingrese un nuevo elemento autorizado a la organización.

OSH: permite indicar al administrador de red cuales son los comandos que puede ejecutar cada usuario de red.

Procedimiento para informar a los empleados el archivo generado con los permisos otorgados y la información sobre si puede o no ejecutarlos.


GLOSARIO.

Cracker: Un "cracker" es una persona que intenta acceder a un sistema informático sin autorización. Estas personas tienen a menudo malas intenciones, en contraste con los "hackers", y suelen disponer de muchos medios para introducirse en un sistema.

Hacker: Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que puede advertir los errores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vías a los sistemas informáticos pero con fines de protagonismo contratado.

Local Área Network (LAN): (Red de datos para dar servicio a un área geográfica pequeña, un edificio por ejemplo, por lo cual mejorar de Área Local) los protocolos de señal de la red para llegar a velocidades de transmisión de hasta 100 Mbps (100 millones de bits por segundo).

SATAN (Security Analysis Tool for Auditing Networks): Herramienta de Análisis de Seguridad para la Auditoria de redes. Conjunto de programas escritos por Dan Farmer junto con Wietse Venema para la detección de problemas relacionados con la seguridad.

TCP/IP (Transmisión Control Protocol/Internet Protocol): Arquitectura de red desarrollada por la "Defense Advanced Research Projects Agency" en USA, es el conjunto de protocolos básicos de Internet o de una Intranet.

Trojan Horse (Caballo de Troya): programa informático que lleva en su interior la lógica necesaria para que el creador del programa pueda acceder al interior del sistema que lo procesa.

Intranet: Una red privada dentro de una compañía u organización que utiliza el mismo software que se encuentra en Internet, pero que es solo para uso interno.


CONCLUSIÓN

Con el anterior estudio, esperamos que la empresa se concientice de los graves riesgos que corre con los datos y la información que maneja, por eso creamos conciencia con el estudio previo, se mostró el valor de sus elementos, lo que se podía presentar y cómo solucionarlo a tiempo.

El manual de procedimientos debe ser aplicado por cada miembro de la institución, donde se verán excelentes resultados, a corto y largo plazo.

Esperamos haber logrado nuestro objetivo, principalmente concientizar a cada empleado para que ponga en funcionamiento cada parte del manual de procesos y procedimientos.


proyecto final crs

Documents