Proyecto Final Recomendaciones para presentar la Actividad: Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamars

s Proyecto Final. Procura marcar siempre tus trabajos con un encabezado como el siguiente: Nombre Edward Espinosa Hernndez Fecha 07-11/13 Actividad Proyecto Final Tema Manual de procedimientos Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta magna de la seguridad de la red: El manual de procedimientos. Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as como las herramientas, y el desarrollo de cada procedimiento en forma algortmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario. Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentacin para cualquier empleo en el que se le exija experiencia.

Redes y seguridad Proyecto Final

REDES Y SEGURIDAD ACTIVIDAD-4 PROYECTO FINAL

EDWARD ESPINOSA HERNANDEZ

CUCUTA NORTE DE SANTANDER NOVIEMBRE 11 2013

2 Redes y seguridad Proyecto Final

PRESENTACION

Construir conocimiento a partir del quehacer diario, representa un reto fundamental de cualquier profesional. Es por esto que como aprendiz tambin se acepta este reto y se asume poniendo en prctica la teora aprendida para llevarla a la prctica y as, realizar aportes significativos a los procesos de una empresa. Un manual de procedimientos para el buen manejo de las PSI (polticas de seguridad informtica) es indispensable y resulta de gran utilidad para la seguridad informtica de la organizacin. Para cumplir con el diseo de ese manual de procedimientos es necesario dedicar esfuerzos en el estudio de todo lo referente a redes y seguridad, teniendo presente siempre la continua actualizacin de conocimientos para lograr dar respuesta con informacin lgica y coherente a una problemtica que da a da crece; como es la seguridad de los sistemas de informacin con el fin de lograr tambin un estado moderno y eficiente al servicio de los usuarios (ciudadanos) Teniendo en cuenta tambin el estudio previo realizado para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as como las herramientas, y el desarrollo de cada procedimiento en forma algortmica.

Redes y seguridad Proyecto Final

INTRODUCCION

Actualmente todas las organizaciones basan sus sistemas de informacin en redes informticas, las cuales a pesar de la tecnologa empleada para su diseo; en algn momento pueden llegar a ser vulnerables. Cualquier falla puede afectar la seguridad de sus redes informticas y comprometer ciertas operaciones internas como lo son las bases de datos, permitiendo el acceso a personas malintencionadas que buscan daar la y desviar la informacin de la empresa, afectado as su funcionamiento general. Por esta razn es importante dentro de la planeacin estratgica de la organizacin tener presente el diseo de polticas que permitan la aplicacin de seguridad informtica acorde con las redes de la empresa. Permitiendo la preparacin para la seguridad de la empresa no solo en arquitectura y seguridad fsica sino tambin y principalmente en la seguridad informtica y es aqu cuando las PSI hacen parte fundamental de este proceso administrativo y tico de los trabajadores jefes y usuarios (empresa en general). La ausencia de medidas de seguridad en las organizaciones genera en las redes un problema que cada da est en crecimiento constante. As mismo al tener acceso a las puertas de la tecnologa, a travs del uso de internet, generalizado en todas las organizaciones, resultan ms preocupaciones por el riesgo que esto ocasiona a las redes informticas. En el tema de seguridad tambin es importante tener en cuenta las fallas de seguridad de la misma empresa y las fallas naturales (incendios inundaciones entre otros). La responsabilidad de planear una poltica de seguridad informtica PIS, ya que requiere de un compromiso con la organizacin, eficiencia y compromiso tcnico para establecer posibles fallas e identificar las debilidades. La dificultad de todo software que se encuentre en red es la complejidad para la identificacin de fallos de seguridad que da a da aparecen. Como lo son los crakers, hackers entre otros que se han aparecido en el vocabulario simplificado y ordinario de los usuarios y administradores de estas redes. En este manual de procedimientos se plasma la informacin de forma clara y objetiva para dar respuesta al manejo seguro de los sistemas de informacin de una organizacin, y as brindar la seguridad de la informacin y el control de los activos tecnolgicos (computadores, cmaras de seguridad, entre otros) tanto a nivel de hardware como de software.
4 Redes y seguridad Proyecto Final

MARCO CONCEPTUAL Actualmente, la seguridad informtica es un tema diario y de dominio pblico, puesto que la oportunidad de conectarse a travs de las redes ha abierto las puertas hacia nuevos horizontes que dan la posibilidad de explotar las fronteras que ha creado la organizacin, pero as mismo tambin ha abierto las puertas a la creacin y aparicin de nuevos software y amenazas que en los sistemas informticos perjudican toda una red o base de datos. Como consecuencia la mayora de las organizaciones grandes o medianas empresas han desarrollado diferentes documentos y manuales a seguir que muestran un uso adecuado de habilidades tecnolgicas y tambin ejemplos a seguir con el objetivo de tener mayor ganancia y provecho de estas ventajas, evitando el mal uso de las mismas ya que es un factor que puede causar problemas serios en los bienes de una empresa a nivel global En este sentido, las polticas de seguridad informtica (PSI) surgen como una Herramienta organizacional para concientizar a cada uno de los miembros de una Organizacin sobre la importancia y la sensibilidad de la informacin y servicios crticos Que favorecen el desarrollo de la organizacin y su buen funcionamiento. PSI Las polticas de seguridad informtica (psi) son herramientas, que si bien crean complejidad en los procesos de la empresa, haciendo cada uno ms lento lo que antes era rpido, sus beneficios radican en que salva los datos de la compaa, estableciendo controles y vigilancia en cada proceso que realizan los subalternos a la hora de acceder a la plataforma de la misma. es el rea de la informtica que se enfoca en la proteccin de la infraestructura computacional y todo lo relacionado con esta y, especialmente, la informacin contenida o circulante. Para ello existen una serie de estndares, protocolos, mtodos, reglas, herramientas y leyes concebidas para minimizar los posibles riesgos a la infraestructura o a la informacin. La seguridad informtica comprende software (bases de datos, metadatos, archivos), hardware y todo lo que la organizacin valore (activo) y signifique un riesgo si esta informacin confidencial llega a manos de otras personas, convirtindose, por ejemplo, en informacin privilegiada.

Redes y seguridad Proyecto Final

ESTUDIO DEL SISTEMA DE SEGURIDAD. En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo hay que facilitar la formalizacin de los empleados para que ellos materialicen las Polticas de Seguridad Informtica, por otra parte hay una gran cantidad de inconvenientes porque las personas no se acoplan al cambio y no les gusta regirse a los avances; Si realmente quiere que las PSI sean aceptadas, debemos realizar una integracin en la empresa con la misin, visin y objetivos estratgicos. Por lo anterior es muy importante saber las clases de riesgo tiene la empresa como lo descritos a continuacin: Mucha informacin confidencial puede ser observada y alterada continuamente por otros usuarios. Se puede suplantar con facilidad la identidad de los usuarios o administradores. No hay restriccin a personas ajenas a la empresa. Los equipos de cmputo son el punto ms dbil en la seguridad porque se maneja personal variado. No hay niveles de jerarqua entre jefes, administradores y usuarios. En los sistemas de cmputo la informacin est completamente abierta. No hay responsabilidades en los cargos de las distintas dependencias y se delegaran a sus subordinados sin autorizacin. No se cuenta con un programa de mantenimiento preventivo y correctivo de los sistemas de cmputo. La falla contina por no tener las normas elctricas bien aplicadas; dan pie a cortes de electricidad sin previo aviso.

PROGRAMA DE SEGURIDAD. La seguridad en la informacin, es un concepto relacionado con los componentes del sistema (hardware), las aplicaciones utilizadas en este (software) y la capacitacin del personal que se encargara del manejo de los equipos. Por esta razn un paso primordial es establecer normas y estndares que permitan obtener un manejo seguro de toda la infraestructura de comunicacin, la informacin, y por consiguiente los recursos de la empresa. Se han convertido en un activo de altsimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y
6 Redes y seguridad Proyecto Final

administrar la informacin necesaria confidencialidad y disponibilidad.

para

garantizar

su

integridad,

El presentar bases, normas de uso y seguridad informticas dentro de la empresa respecto a la manipulacin, uso de aplicaciones y equipos computacionales permitir el buen desarrollo de los procesos informticos y elevar el nivel de seguridad de los mismos y as preservar la informacin y los diferentes recursos informticos con que cuenta la Empresa. Responsabilidades Secretario administrativo: es el encargado de dar la orden al inicio del procedimiento Director de teleinformtica: es el encargado de hacer supervisin de la aplicacin de este procedimiento Jefe de seguridad en redes: es el encargado de elaborar y aplicar los pasos del procedimiento

Clientes y Proveedores

Clientes

Entregables Especificaciones tcnicas de hardware y software, Equipos con polticas de seguridad implementados o servicios de redes configurados

Unidad Administrativa

Proveedores Externos Jefe de telefona y videoconferencia

Entregables Equipos, Software y Licenciamiento Formato de solicitudes

Redes y seguridad Proyecto Final

DIRECTORIO ACTIVO El directorio activo es una parte esencial ya que permite al administrador de una red establecer importantes polticas de seguridad, esta guarda una informacin de la empresa en una tabla de datos (base de datos) central, organizada y fcilmente accesible, este tambin nos permite una secuencia de objetivos totalmente encadenados como a agregar usuarios, grupos, asignaciones de recursos, permisos y una buena poltica de entrada.

Nombre

Riesgo (R) 10

Importancia (W) 10

Riesgo Evaluado (R*W) 100

Detalle Es parte fundamental de la empresa que all estn los detalles productor y clientes de la empresa Es un quipo costoso por los servicios que se estn montando Este es un equipo que se puede cambiar, resetear y configurar Equipos con los cuales los empleados procesan las informacin, se puede modificar y cambiar piezas fcilmente Recurso para hacer fsicos los trabajos si se daa se cambia

Base de datos

Servidor web Swith

10

80

15

Ordenador

21

Impresora

Nombre Base de Datos Base de Datos Acceso a Internet Servidor Pagina

8

Grupo de Usuario Empleados y Administradores Clientes, Productos y presupuesto Usuario Tcnicas de

Tipo de acceso Local Local Local Local

Privilegios Solo Lectura Solo Lectura Solo Lectura Lectura y

Redes y seguridad Proyecto Final

Web Acceso a servidor Router y swith Accesos a Equipos

mantenimiento Administradores de Red Tcnicas de Sistemas

Local y Remoto Local

Escritura Lectura y Escritura Todos

CREACION DE LOS USUARIOS En este momento cada una de las personas de las diferentes empresas se le agrega un usuario empresarial en su respectivo modo de acceso y sus limitaciones Un procedimiento de alta cuenta de personal se lleva a cabo cuando se crea una cuenta de usuarios teniendo presente datos personales, a cargo y funciones a realizar El administrador del directorio activo deber solicitar los siguientes datos Nombre rea de Desempeo Cargo Fecha de iniciacin Fecha de nacimiento Extensin de rea de trabajo Tipo de contrato Correo electrnico Direccin

Con estos datos el LOGIN del usuario seria Letra inicial del nombre Apellido completo Letra inicial del apellido NOMBRE Juan Carlos Alejandro 1APELLIDO Zapata Sanabria 2 APELLIDO Ruiz Arango LOGIN JZAPATAR ASARABIAA

El procedimiento de buenas contraseas: determinar buenas contraseas de usuario que deben contener las letras depende de la empresa ya que con mayor diferencia en caracteres es mejor la seguridad para evitar un acceso indebido, tambin se debe tener en cuenta que dichas contraseas deben tener una relacin directa con la persona para que no se olviden fcilmente de igual manera de recomienda una pregunta de seguridad en caso de olvidar dicha contrasea,
9 Redes y seguridad Proyecto Final

Creacin de la cuenta corporativa La cuenta corporativa es importante por los datos importantes, confidenciales de la organizacin el administrador solicita datos en los correspondientes Nombres y Apellidos rea de Desempeo Cargo Extensin del rea de Trabajo Tipo de contrato Correo electrnico

Con estos datos el administrador crea el id de la siguiente manera Letra inicial del Nombre Letra inicial del primer Apellido 2do apellido completo

Nombre Juan Carlos Alejandro

1 Apellido Zapata Sanabria

2 Apellido Ruiz Arango

Id de correo jzruiz@empresa.com.co Asarango@empresa.com.co

PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS Cada vez que se ingresa un nuevo personal a la compaa el jefe inmediato de dicha rea o departamento ser el responsable de enviar una solicitud por email al rea de informtica, este email debe llegar tanto al encargado de los bienes tecnolgicos como al jefe de dicha rea de informtica inmediatamente el encargado de soporte tcnico empezara a preparar la maquina con los diferentes programas pertinentes, incluyendo el correo corporativo, impresora y el S,O con todas sus actualizaciones, adems antes de entregar el equipo do computo el usuario deber firmar un acta en la cual se describe las partes esenciales con sus respectivos seriales. El formato utilizado aplica tambin para cuando la empresa realiza un reintegro al rea de sistemas PROCEDIMIENTO PARA SOPORTE TCNICO La idea es implementar una mesa de ayuda que consiste en 3 niveles los cuales se dividiran de la siguiente manera Primer nivel
10 Redes y seguridad Proyecto Final

Este ser por medio de la lnea telefnica que ser quien habilite a los diferentes usuarios que reciban asistencia remota hasta que la situacin lo permita en el caso del incidente el cual se presenta. Si este no se resuelve de forma inmediata se debern tomar datos del usuario y registrarlo en el software de incidentes para que el siguiente nivel se haga cargo en este caso y pasar un informe al nivel correspondiente para que se lleve un control de informacin compartida Segundo nivel En este nivel se interviene ya que el agente se soporte tcnico hace un llamado al agente del lugar el cual har presencia para brindar una atencin de una manera eficiente, amable y educada para resolver el incidente que se presenta, de igual manera este debe realizar un documento en el que se explique que se ha hecho para llevar un control en la empresa y dejar consejos al usuario para que este problema no se presente nuevamente y de esta manera se atiende el llamado del usuario de una manera tica y eficaz El tercer nivel va de la mano del segundo ya que son quienes prestan las ayudas correspondientes

Tercer nivel Este es el nivel encargado de prestar las ayudas necesarias para que el arreglo sea un buen xito, prestara cdigos y balitara en el puesto de control la accesibilidad del segundo nivel para llevar un control de las personas que estn es su soporte tcnico

HERRAMIENTAS PARA CONTROL Las herramientas para uso de administracin de redes, ser nica y exclusivamente para el personal administrativo del rea de redes y sobre ellos caer toda responsabilidad por el uso de la misma. ARANDA SOFTWARE Se utilizarn los mdulos de Aranda para llevar un control preciso tanto en software como en hardware, hay que tener en cuenta que se deber instalar en cada mquina (computador) un agente el cual recoger toda la informacin a nivel de software y hardware.
11 Redes y seguridad Proyecto Final

Mdulo Metrix Recoge informacin del software que tenga instalado cada equipo, esto nos ayudar a tener control sobre los programas que se instalen ya que la idea aqu es evitar que la empresa se vea sancionada por no tener un ptimo control sobre este tema. Mdulo Network Permite conocer los dispositivos de red en un diagrama topolgico que permite las vistas de routers, switches, servidores, estaciones de trabajo y servicios. Este software permite encontrar fallas en la red rpidamente, adems son ste se puede administrar dispositivos conectados a la red de una entidad, como routers, switchs, estaciones de trabajo, impresoras, entre otros. Permite obtener reportes con los siguientes datos: Identificador Nombre del dispositivo Ubicacin Descripcin Fabricante Tipo de dispositivo IP MAC, entre otros. NETLOG Como hay ataques a la red a gran velocidad haciendo en ocasiones imposible de detectar, esta herramienta es indispensable pues nos permite ver paquetes que circulan por la red y determinar si son sospechosos, peligrosos o si es un ataque que se produjo.

GABRIEL Tomara este demonio, para contrarrestar ataques SATAN, pues el Daemon Security Application Technical Authorization Network es una excelente herramienta, que puede ocasionar grandes daos. GABRIEL es muy til pues una mquina afectada enva inmediatamente un reporte al servidor, haciendo ms fcil solucionar e identificar la mquina.
12

Comprende Cliente-Servidor Identifica el ataque SATAN

Redes y seguridad Proyecto Final

Conexin de inmediata de fallos de cliente

CRACK Esta herramienta es muy til para implementar la cultura en los usuarios de generar contraseas ptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa. Esta herramienta es muy til para implementar la cultura en los usuarios de generar contraseas ptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa. Realiza una inspeccin para detectar passwords dbiles y vulnerables Comprueba la complejidad de las contraseas.

TRINUX Ser muy til para controlar el trfico de correos electrnicos entrantes y salientes, evitar el robo de contraseas y la intercepcin de correos, esta herramienta nos evitara un DoS que hara colapsar los sistemas de una empresa.

PLAN DE EJECUCIN Elaborando el plan de ejecucin como una lista de chequeo o checklist no enfocamos en una lista de tareas a llevar a cabo para chequear el funcionamiento del sistema. Asegurar el entorno. Qu es necesario proteger? Cules son los riesgos? Determinar prioridades para la seguridad y el uso de los recursos. Crear planes avanzados sobre qu hacer en una emergencia. Trabajar para educar a los usuarios del sistema sobre las necesidades y las ventajas de la buena seguridad Estar atentos a los incidentes inusuales y comportamientos extraos. Asegurarse de que cada persona utilice su propia cuenta. Estn las copias de seguridad bien resguardadas? No almacenar las copias de seguridad en el mismo sitio donde se las realiza Los permisos bsicos son de slo lectura?
13 Redes y seguridad Proyecto Final

 Si se realizan copias de seguridad de directorios/archivos crticos, usar chequeo de comparacin para detectar modificaciones no autorizadas. Peridicamente rever todo los archivos de booteo de los sistemas y los archivos de configuracin para detectar modificaciones y/o cambios en ellos. Tener sensores de humo y fuego en el cuarto de computadoras. Tener medios de extincin de fuego adecuados en el cuarto de computadoras. Entrenar a los usuarios sobre qu hacer cuando se disparan las alarmas. Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras. Instalar UPS, filtros de lnea, protectores gaseosos al menos en el cuarto de computadoras. Tener planes de recuperacin de desastres. Considerar usar fibras pticas como medio de transporte de informacin en la red. Nunca usar teclas de funcin programables en una terminal para almacenar informacin de login o password. Considerar realizar autolog de cuentas de usuario. Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login y su password, a fin de prevenir los Caballos de Troya. Considerar la generacin automtica de password. Asegurarse de que cada cuenta tenga un password. No crear cuentas por defecto o guest para alguien que est temporariamente en la organizacin. No permitir que una sola cuenta est compartida por un grupo de gente. Deshabilitar las cuentas de personas que se encuentren fuera de la organizacin por largo tiempo. Deshabilitar las cuentas dormidas por mucho tiempo. Deshabilitar o resguardar fsicamente las bocas de conexin de red no usadas. Limitar el acceso fsico a cables de red, routers, bocas, repetidores y terminadores. Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la red. Monitorear regularmente la actividad sobre los Gateway. Plan de contingencia: Que se debe hacer en caso de una falla o un ataque a los sistemas.
14 Redes y seguridad Proyecto Final

Capacitacin constante: Esto incluye tanto a los usuarios como a los administradores de los sistemas. Monitoreo: Garantizar un buen funcionamiento de las PSI.

Elementos de una PSI Rango de accin de las polticas. Esto se refiere a las personas sobre las cuales se posa la ley, as como los sistemas a los que afecta. activos de la empresa. Objetivo principal de la poltica y objetivos secundarios de la misma. Si se hace referencia a un elemento particular, hacer una descripcin de dicho elemento. Responsabilidades generales de los miembros y sistemas de la empresa. Como la poltica cubre ciertos dispositivos y sistemas, estos deben tener un mnimo nivel de seguridad. Se debe definir este umbral mnimo. Explicacin de lo que se considera una violacin y sus repercusiones ante el no cumplimiento de las leyes. Responsabilidad que tienen los usuarios frente a la informacin a la que tienen acceso.

15

Redes y seguridad Proyecto Final