Date post: | 28-Jun-2015 |
Category: |
Technology |
Upload: | willian-ariza |
View: | 489 times |
Download: | 0 times |
2012
WILLIAN GARCERANT
En-core
02/05/2012
Manual de procedimientos
Confidencial-En core-Página 2 de 39
MANUAL DE PROCEDIMIENTOS “EN-CORE”
PROYECTO FINAL
WILLIAN ENRIQUE GARCERANT ARIZA
TECNOLOGO EN INFORMATICA
HUMBERTO ARIAS DIAS
INGENIERO DE SISTEMAS
SENA VIRTUAL
REDES Y SEGURIDAD
PIVIJAY-MAGDALENA 2012
Confidencial-En core-Página 3 de 39
INTRODUCCION
Este proyecto es la antesala de la puesta en marcha de un manual de
procedimientos, aquí aprenderemos como realizar un manual y cuáles
son los puntos relevantes de este, el ejercicio es una experiencia muy
importante pues en el campo laboral sirve de mucha ayuda y prestigio,
para realizar este proyecto se necesito la investigación de varias fuentes
de información y personas sabidas del tema, además de la realización de
cuadros explicativos de algunos de los procesos que hacen parte integral
del manual.
Confidencial-En core-Página 4 de 39
REV._ ELABORADO REVISADO APROBADO
NOMBRE WILLIAN GARCERANT HUMBERTO DIAS ARIAS
CARGO ADMINISTRADOR DE REDES JEFE DE SISTEMAS
FIRMA
FECHA 28/04/2012
MANUAL DE PROCEDIMIENTOS “EN-CORE”
1. JUSTIFICACION:
Teniendo en cuenta que la información es uno de los activos más
importantes de cualquier organización, el avance importante que han
tenido las redes y los ataques constantes de personas malintencionadas
hackers, crackers etc. El departamento de sistemas de la empresa “En -
Core” a decidido implementar POLITICAS DE SEGURIDAD INFORMATICA.
Para esto es importante conocer:
¿Que intentamos proteger?
LA INFORMACION Y SUS CARACTERÍSTICAS:
Integridad
Confidencialidad
Autenticidad
Disponibilidad
¿De qué se quiere proteger?
• Accidentes
– 55% de incidentes de seguridad son debido a usuarios sin
entrenamiento
• Abusos
– Personal Interno (85%)
Confidencial-En core-Página 5 de 39
– Personal Externo (mayor publicidad)
• Intrusiones
• Robo de información
• Negación de servicios
“El administrador es el hacker y el antivirus, el virus”
¿Donde se realiza la protección?
• En la Infraestructura
– Servidores, estaciones
– Sistemas de comunicaciones, red
• En los Sistemas de Información
– Programas
– Bases de datos
• En los Sistemas de Almacenamiento
– Cintas, Diskettes, Discos, papel
• En las Personas que manejan la información
– Administradores, Programadores
- Usuarios
“La mente no tiene firewall”
1.1 OBJETO DEL PROYECTO
Diseñar un manual de procedimientos con el fin de fortalecer la seguridad
de la red y la información, además se desarrollaran jornadas de
capacitación a nuestro personal de “En-core”con el objetivo de formar
empleados capaces de manejar la información de forma adecuada y
segura.
Confidencial-En core-Página 6 de 39
1.2 ALCANCE
El presente manual será diseñado para abarcar cada una de las
sucursales de la corporación “En-core” las cuales están ubicadas
en la ciudad de Medellín tres (3) y otra en la ciudad de Bogotá,
los administradores de red de cada sucursal serán los
encargados de vigilar y garantizar el cumplimiento de las
políticas por parte de cada dependencia, es importante resaltar
que nuestra oficina principal está ubicada en la ciudad de
Medellín y por ende nuestro servidor central también este es un
punto crítico y se debe proteger fielmente.
2. CARACTERIZACION DEL SISTEMA INFORMATICO La red de datos de la corporación está conformada de la siguiente forma: Las redes implementadas en cada una de las dependencias es la siguiente:
Tipo de red: LAN
Medio de conexión: Medio guiado, Cable UTP CAT 6a
La relación funcional seria: X Cliente-servidor
Topología: Estrella
Dirección de los datos: Full-Dúplex
Interconectados atreves de un Switch.
Nota: X es el número de equipos a conectar.
Las sucursales de Medellín se conectan a la sede principal en la
misma ciudad a través de:
Tipo de red: MAN
Medio de conexión: Medio guiado-Fibra óptica
La relación funcional seria: Cliente-servidor
Topología: Estrella
Dirección de los datos: Full-Dúplex
Interconectados atreves de Router, ubicado en la sede
principal.
Confidencial-En core-Página 7 de 39
Finalmente las subredes de Medellín se conecta con la subred de
Bogotá atreves de:
Tipo de red: WAN
Medio de conexión: Medio no guiado-vía satélite
La relación funcional seria: Cliente-Servidor
Topología: Estrella extendida o árbol
Dirección de los datos: Full-Dúplex
Interconexión atreves de un Router(sede principal)
PROGRAMA DE SEGURIDAD
PLAN DE ACCION
TABLAS DE GRUPOS DE ACCESOS
VALORACION DE LOS ELEMENTOS DE LA RED
INFORMES PRESENTADOS A GERENCIA
PROCEDIMIENTOS
HERRAMIENTAS A IMPLEMENTAR
2.1 RECURSOS DE LA RED Y SU IMPORTANCIA DENTRO DE LA MISMA:
Los siguientes recursos serán organizados y evaluados con una ponderación de 1 a 10 dependiendo de su grado de relevancia de mayor a menor así:
FISICOS
Servidores: 10 Routers: 9
Confidencial-En core-Página 8 de 39
Equipos clientes: 8 Fibra óptica: 8 Switch: 7 Módems: 7 Disco duros externos: 6 CD´S: 6 Memorias USB: 6 Impresoras: 5 Cableado UTP: 5
LOGICOS:
Bases de datos con información de clientes: 10 Bases de datos de cartera: 10 Bases de datos contabilidad: 10 Bases de datos de gerencia: 10 Bases de datos del departamento I+D: 10 Base de datos de usuarios: 9 Bases de datos de empleados: 9 Base de datos de recursos humanos: 8
SERVICIOS INFORMATICOS Y DE COMUNICACIONES:
Estos se clasifican en dos tipos servidor y cliente.
Software para administración de servidores: 10-servidor Software de aplicación contable: 9-cliente Sistema de monitoreo y control: 8-servidor Correo empresarial: 7-cliente y servidor Software de ventas: 6-cliente
3. RESULTADOS DEL ANALISIS DE RIESGOS:
RECURSO DEL SISTEMA
RIESGO (RI) IMPORTANCIA (WI) RIESGO EVALUADO (R*W) SUCURSAL NUMERO NOMBRE
1 Servidor 10 10 100 1
2 Equipos Clientes 8 5 40 1
3 Switch 6 3 18 1
4 Cable utp 5 7 35 1
5 Modem 4 6 24 1
Confidencial-En core-Página 9 de 39
6 Servidor 10 10 100 2
7 Equipos Clientes 8 5 40 2
8 Switch 6 3 18 2
9 Cable utp 5 7 35 2
10 Modem 4 6 24 2
11 Servidor 10 10 100 3
12 Equipos Clientes 8 5 40 3
13 Switch 6 3 18 3
14 Cable utp 5 7 35 3
15 Modem 4 6 24 3
16 Servidor 10 10 100 PRINCIPAL
17 Equipos Clientes 8 5 40 PRINCIPAL
18 Switch 6 3 18 PRINCIPAL
19 Cable utp 5 7 35 PRINCIPAL
20 Modem 4 6 24 PRINCIPAL
21 Router 9 10 90 PRINCIPAL
22 Fibra óptica 3 5 15 PRINCIPAL
23 Discos duros externos 6 7 42 PRINCIPAL
24 Cds 4 5 20 PRINCIPAL
25 Memorias USB 4 5 20 TODAS
26 Impresoras 5 7 35 TODAS
27 Base de datos de clientes 9 10 90 PRINCIPAL
28 Base de datos de cartera 9 10 90 PRINCIPAL
29 Base de datos de contabilidad 10 10 100 PRINCIPAL
30 Base de datos de gerencia 10 10 100 PRINCIPAL
31
Base de datos del departamento I+D 9 10 90 PRINCIPAL
32 Base de datos de empleados 8 9 72 PRINCIPAL
33
Base de datos de usuarios(OTROS) 5 7 35 TODAS
34
Bases de datos de recursos humanos 8 9 72 PRINCIPAL
35 Software para administración 9 10 90 PRINCIPAL
Confidencial-En core-Página 10 de 39
de servidores
36
Software de aplicaciones contables 9 9 81 TODAS
37
Sistemas de monitoreo y control 8 10 80 PRINCIPAL
38 Correo empresarial 7 9 63 PRINCIPAL
39 Software de ventas 6 9 54 PRINCIPAL
40 Manuales de uso del sistema 6 7 42 TODAS
La tabla de valores anterior muestra los siguientes valores asignados
según los criterios de WRI de algunos elementos.
Servidor: 100 es el puntaje más alto por la gran importancia de este
elemento el cual es el encargado de monitorear toda la red además de
enviar los recursos, aplicaciones y datos para los demás computadores
conectados a la red.
Equipos Clientes: 40 Son los equipos segundarios los cuales se encargan
de gestionar información al usuario enviando peticiones o solicitudes al
servidor hay otros medios de conexión como routers y switchs que
también contribuyen al momento de la comunicación.
Switch: 18 se encarga de conectar varios clientes en una red y direccionar
sus peticiones y paquetes.
Cable utp: 35 medio físico atreves del cual viajan los datos, a pesar de
faltar o no existir los datos seguirán almacenados en el server.
Modem: 24 modulador-demodulador encargado de proveer servicio a
internet a toda la red.
Router: 90 encargados de conectar la red en general si falla se cae toda la
red y el direccionamiento y enrutamiento de paquetes es nulo.
Confidencial-En core-Página 11 de 39
4. PROGRAMA DE SEGURIDAD: Aquí se detallan los aspectos que deben ser tenidos en cuenta para optimizar el sistema y los cuales requieren de una inversión, y un tiempo determinado ya sea a largo, corto o mediano plazo, además especificamos los responsables de cada aspecto. Clasificación de la información:
Responsables: Empleados, administradores de red y
jefes de departamento.
Se debe realizar semanalmente.
Listados de AZ.
Nombres de carpetas y archivos.
Criterios de clasificación.
Seguridad de red y comunicaciones:
Responsable: administrador de red.
Se debe realizar cada 1 año actualización del software.
Listado de cotizaciones y actualizaciones de
herramientas.
Manuales de uso.
Logístico de instalaciones y desinstalaciones.
Inventario de accesos a los sistemas:
Responsable: Administrador de sistemas dependiendo
de la sucursal.
Frecuencia: cada 24 horas.
Contenidos: Listados, logísticos y archivos de accesos.
Adaptación de contratos con proveedores:
Responsable: Administrador de sistemas.
Frecuencia: Cada fin de mes se debe realizar esta tarea.
Contenidos: Copias de contratos, leyes comerciales,
manuales de software etc.
Confidencial-En core-Página 12 de 39
Campaña de concientización de usuarios:
Responsable: Técnicos de mantenimiento.
Frecuencia: Una vez al año.
Contenido: Manual de procedimiento, políticas de
seguridad, material didáctico.
Estandarización de la configuración del software base:
Responsable: Administrador de red
Frecuencia: Revisar estándares cada 2 meses
Contenido: material de modelo OSI, IEEE, entre otros.
Revisión y adaptación de procedimientos complementarios:
Responsable: Administradores de red.
Frecuencia: Cada tres meses.
Contenido: Manual de procedimientos, psi, logísticos y
reportes.
Comprar nuevos equipos de redes más actualizados:
Responsable: Jefe de seguridad
Contenido: Facturas, reportes, logísticos y cotizaciones.
Remodelación de locales e infraestructura de los mismos:
Responsable: administradores de red.
Contenidos: Planos, requisitos de infraestructura, log
files etc.
Capacitación de técnicos de sistemas y de mantenimiento:
Responsable: Jefe de sistemas.
Frecuencia: 1 vez al año o cuando sea necesario.
Contenidos: Material de administración de redes
actualizados, psi, manual de procedimientos.
Auditorias al sistema informático:
Responsable: Jefe de seguridad informática.
Confidencial-En core-Página 13 de 39
Frecuencia: Mensual.
Contenidos: Manual de procedimientos,
especificaciones técnicas y minuta de reportes.
Jornada de simulación y pruebas al sistema:
Responsables: Administradores de red.
Frecuencia: cada 6 meses.
Contenido: check list, manual de procedimientos, plan
de acción.
Nota: se deben colocar responsables, frecuencias y contenido
de los programas y actividades.
5. PLAN DE ACCION
5.1 Clasificación de la información
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 16-22 Semanas
OBJETVO Con el fin de proteger los activos de información de manera adecuada
5.2 Seguridad de redes y comunicaciones
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 11-17 Semanas
OBJETVO
Para evitar uso indebido de equipos, evitar que sean utilizados por personal no
autorizado, por ello se debe garantizar la correcta configuración de los equipos.
5.3 Inventario de accesos a los sistemas
DEPENDENCIA Ninguna
TIEMPO ESTIMADO
9-12 Semanas
OBJETVO Con el propósito de llevar un control
adecuado de los usuarios a los sistemas.
Confidencial-En core-Página 14 de 39
5.4 Adaptación de contratos con proveedores
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 24 Semanas(tiempo parcial)
OBJETVO
Con el objetivo de tener un contrato que cumpla con las políticas de seguridad de la empresa en cualquier caso de violación de políticas se deben modificar los contratos y
reportar a los proveedores.
5.5 Campaña de concientización de usuarios
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 5-7 Semanas
OBJETVO
Con el objetivo de lograr un compromiso por parte de los usuarios en temas de uso de la información y la importancia de la misma este debe ir dirigido a todos los empleados y otros a grupos específicos dependiendo de sus responsabilidades.
5.6 Verificación y adaptación de los sistemas
DEPENDENCIA Actividad A
TIEMPO ESTIMADO 20-30 Semanas
OBJETVO
Con el objetivo de asegurar el cumplimiento de las políticas de la entidad,
con el fin de verificar su cumplimiento y adaptarlas a las políticas de seguridad de la
misma.
5.7 Estandarización de la configuración de software base
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 12 Semanas
OBJETVO Con el objetivo de proteger
adecuadamente la información existentes en computadores y servidores personales
Confidencial-En core-Página 15 de 39
5.8 Revisión y adaptación de procedimientos complementarios
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 8 Semanas
OBJETVO Adaptar procedimientos y controles
complementarios de la empresa “En-core” de acuerdo a lo estipulado en las políticas
5.9 Compra de nuevos equipos actualizados
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 30 Semanas
OBJETVO Comprar equipos modernos y actualización
del parque tecnológico
5.10 Remodelación de locales e infraestructura de los mismos.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 8 Semanas
OBJETVO Mejorar las instalaciones físicas y crear un
ambiente agradable.
5.11 Capacitación de técnicos de sistemas y de mantenimiento.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 7-14 Semanas
OBJETVO Lograr actualizar los conocimientos de
empleados para mejorar la eficiencia y la calidad.
5.12 Auditorias al sistema informático.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 7-14 Semanas
OBJETVO Revisar los sistemas para conocer las fortalezas y debilidades del mismo.
Confidencial-En core-Página 16 de 39
5.13 Jornadas de simulación y pruebas.
DEPENDENCIA Ninguna
TIEMPO ESTIMADO 7-14 Semanas
OBJETVO Simular ataques o fallas en los sistemas
para probar herramientas y aplicaciones.
6. TABLAS DE GRUPOS DE ACCESO Esta tabla está basada en el principio de mínimo privilegio, el cual
dice que se debe asignar a cada empleado solo los privilegios
necesarios para desempeñar las actividades asignadas.
La tabla de accesos y privilegios para las sucursales está basada en
los siguientes grupos:
AUDITORES
-Auditores externos e internos
-Supervisores
MANTENIMIENTO
-Técnicos
USUARIOS
-Contratistas
-Empleados
-Auxiliares
-Visitantes
-Secretarios
-Aseadores
-Operarios
Confidencial-En core-Página 17 de 39
-Vendedores
ADMINISTRADORES
-Coordinadores
-Gerentes
-Administradores de red
-Subgerentes
-Directores
-Jefes de sistema
Para usuarios:
RECURSO DEL SISTEMA RIESGO(RI)
TIPO DE ACCESO
PERMISOS
OTORGADOS NUMERO NOMBRE
1 Equipos clientes Grupo de usuarios Local r
2 Servidor Grupo de usuarios
No autorizado Ninguno
3 Router Grupo de usuarios
No autorizado Ninguno
4 Switch Grupo de usuarios
No autorizado Ninguno
6 correo empresarial Grupo de usuarios Remoto y
local r
7 Pagina web Grupo de usuarios Remoto y
local r
8 Aplicaciones de mantenimiento
Grupo de usuarios No autorizado Ninguno
9 Fibra óptica Grupo de usuarios
No autorizado Ninguno
10 Módems Grupo de usuarios
No autorizado Ninguno
11 Discos duros externos Grupo de usuarios
Local r-w
12 Cds Grupo de usuarios
Local r
13 Memorias USB Grupo de usuarios
Local r-w
14 Impresoras Grupo de usuarios Remoto y
Local r
Confidencial-En core-Página 18 de 39
15 Cableado utp Grupo de usuarios
No autorizado Ninguno
16 Bases de datos con información de clientes
Grupo de usuarios Remoto y local r
17 Base de datos de cartera Grupo de usuarios
No autorizado Ninguno
18 Base de datos contabilidad Grupo de usuarios
No autorizado Ninguno
19 Base de datos gerencia Grupo de usuarios
No autorizado Ninguno
20 Base de datos del departamento I+D
Grupo de usuarios No autorizado Ninguno
21 Base de datos de empleados Grupo de usuarios Remoto y
local r-w
22 Bases de datos de recursos humanos
Grupo de usuarios No autorizado Ninguno
23 Software para administración de servidores
Grupo de usuarios No autorizado Ninguno
24 Software de aplicación contable
Grupo de usuarios No autorizado Ninguno
25 Sistemas de monitoreo y control
Grupo de usuarios Remoto y local r-w
26 Software de ventas Grupo de usuarios Remoto y
local r-w
Para grupo de mantenimiento:
RECURSO DEL SISTEMA
RIESGO(RI)
TIPO DE ACCESO
PERMISOS
OTORGADOS NUMERO NOMBRE
1 Equipos clientes Grupo de mantenimiento Local y remoto r-w
2 Servidor Grupo de mantenimiento Local y
remoto r-w
3 Router Grupo de mantenimiento Local y
remoto r-w
4 Switch Grupo de mantenimiento Local y
remoto r-w
5 correo empresarial Grupo de mantenimiento Remoto y
local r-w
6 Pagina web Grupo de mantenimiento Remoto y
local r-w
7 Aplicaciones de mantenimiento
Grupo de mantenimiento Local y remoto r-w
8 Fibra óptica Grupo de mantenimiento
Local Revisión, mantenimiento.
Confidencial-En core-Página 19 de 39
9 Módems Grupo de mantenimiento Local y
remoto r-w
10 Discos duros externos Grupo de mantenimiento
Local r-w
11 Cds Grupo de mantenimiento
Local r
12 Memorias USB Grupo de mantenimiento
Local r-w
13 Impresoras Grupo de mantenimiento Remoto y
Local r-w
14 Cableado utp Grupo de mantenimiento
Local Revisión y mantenimiento
15 Bases de datos con información de clientes
Grupo de mantenimiento Remoto y local r
16 Base de datos de cartera Grupo de mantenimiento Remoto y
local r
17 Base de datos contabilidad Grupo de mantenimiento Remoto y
local r
18 Base de datos gerencia Grupo de mantenimiento
No autorizado ninguno
19 Base de datos del departamento I+D
Grupo de mantenimiento Remoto y local
r
20 Base de datos de empleados Grupo de mantenimiento Remoto y
local r-w
21 Bases de datos de recursos humanos
Grupo de mantenimiento Local y remoto r-w
22 Software para administración de servidores
Grupo de mantenimiento Local y remoto r-w
23 Software de aplicación contable
Grupo de mantenimiento No autorizado Ninguno
24 Sistemas de monitoreo y control
Grupo de mantenimiento Remoto y local r-w
25 Software de ventas Grupo de mantenimiento Remoto y
local r-w
Para administradores:
RECURSO DEL SISTEMA RIESGO(RI)
TIPO DE ACCESO
PERMISOS
OTORGADOS NUMERO NOMBRE
1 Equipos clientes Grupo de administradores de red
Local y remoto r-w
2 Servidor
Grupo de
administradores de red Local y remoto r-w
3 Router Grupo de Local y
remoto r-w
Confidencial-En core-Página 20 de 39
administradores de red
4 Switch
Grupo de
administradores de red Local y remoto r-w
5 correo empresarial
Grupo de
administradores de red Remoto y local r-w
6 Pagina web
Grupo de
administradores de red Remoto y local r-w
7 Aplicaciones de mantenimiento
Grupo de
administradores de red Local y remoto r-w
8 Fibra óptica
Grupo de
administradores de red Local
Revisión, mantenimiento.
9 Módems
Grupo de
administradores de red Local y remoto r-w
10 Discos duros externos
Grupo de
administradores de red Local r-w
11 Cds
Grupo de
administradores de red Local r
12 Memorias USB
Grupo de
administradores de red Local r-w
13 Impresoras
Grupo de
administradores de red Remoto y Local r-w
14 Cableado utp
Grupo de
administradores de red Local
Revisión y mantenimiento
15 Bases de datos con información de clientes
Grupo de
administradores de red Remoto y local R-w
16 Base de datos de cartera
Grupo de
administradores de red Remoto y local r-w
17 Base de datos contabilidad
Grupo de
administradores de red Remoto y local r-w
18 Base de datos gerencia
Grupo de
administradores de red Remoto y local r-w
Confidencial-En core-Página 21 de 39
19 Base de datos del departamento I+D
Grupo de
administradores de red Remoto y local
r-w
20 Base de datos de empleados
Grupo de
administradores de red Remoto y local r-w
21 Bases de datos de recursos humanos
Grupo de
administradores de red Local y remoto r-w
22 Software para administración de servidores
Grupo de
administradores de red Local y remoto r-w
23 Software de aplicación contable
Grupo de
administradores de red Local y remoto r-w
24 Sistemas de monitoreo y control
Grupo de
administradores de red Remoto y local r-w
25 Software de ventas
Grupo de
administradores de red Remoto y local r-w
Para auditores:
RECURSO DEL SISTEMA
RIESGO(RI)
TIPO DE ACCESO
PERMISOS
OTORGADOS NUMERO NOMBRE
1 Equipos clientes Grupo de auditores Local r
2 Servidor Grupo de auditores
No autorizado Ninguno
3 Router Grupo de auditores
No autorizado Ninguno
4 Switch Grupo de auditores
No autorizado Ninguno
5 correo empresarial Grupo de auditores
Local r
6 Pagina web Grupo de auditores
Local r
7 Aplicaciones de mantenimiento
Grupo de auditores No autorizado Ninguno
8 Fibra óptica Grupo de auditores
No autorizado Ninguno
9 Módems Grupo de auditores
No autorizado Ninguno
10 Discos duros externos Grupo de auditores
Local r
Confidencial-En core-Página 22 de 39
11 Cds Grupo de auditores
Local r
12 Memorias USB Grupo de auditores
Local r
13 Impresoras Grupo de auditores
No autorizado Ninguno
14 Cableado utp Grupo de auditores
No autorizado Ninguno
15 Bases de datos con información de clientes
Grupo de auditores Remoto y local r-w
16 Base de datos de cartera Grupo de auditores Remoto y
local r-w
17 Base de datos contabilidad Grupo de auditores Remoto y
local r-w
18 Base de datos gerencia Grupo de auditores Remoto y
local r-w
19 Base de datos del departamento I+D
Grupo de auditores Remoto y local
r-w
20 Base de datos de empleados Grupo de auditores Remoto y
local r-w
21 Bases de datos de recursos humanos
Grupo de auditores Local y remoto r-w
22 Software para administración de servidores
Grupo de auditores No autorizado Ninguno
23 Software de aplicación contable
Grupo de auditores No autorizado Ninguno
24 Sistemas de monitoreo y control
Grupo de auditores No autorizado Ninguno
25 Software de ventas Grupo de auditores
No autorizado Ninguno
7. FORMATOS DE INFORMES PRESENTADOS A GERENCIA. 7.1 PRESENTACION DE LA IMPORTANCIA DE LAS PSI
Señores gerentes hoy quiero hablarles de algo muy importante
para la organización “En-core” y para la protección del bien más
preciado para cualquier empresa la “información”, ustedes se
imaginan que pasaría si una persona ajena a su organización,
digamos alguien perteneciente a su competencia obtuviera datos de
ustedes como:
A. Direcciones, teléfonos, nombres y demás datos importantes de
todos sus clientes y empleados.
Confidencial-En core-Página 23 de 39
B. Estrategias de marketing.
C. Diseños de nuevos productos.
D. Contraseñas y nombres de usuario de personal de área
administrativa y Bases de datos.
Como pueden observar su información y la confidencialidad de la
misma son muy importantes, es por eso que se hace necesario en
todo entidad pública, privada, ONG etc. Mantener, crear, diseñar e
implementar POLITICAS DE SEGURIDAD INFORMATICA. Estas no
solo evitan que su información sea plagiada sino que también
garantiza que sus empleados van a ser personas más cuidadosas,
precavidas y maliciosas al momento de utilizar los recursos
informáticos de la empresa y su información interna, ustedes van a
tener empleados con un sentido de lealtad más alto y mayor
compromiso con su actuar y proceder en un momento dado, ojo
quiero que quede muy claro que las políticas de seguridad
informáticas no mejoran, el rendimiento de la red, no agilizan el
tiempo de acceso a internet y mucho menos mejora la velocidad de
procesamiento de los datos solo garantiza la seguridad de su bien
más preciado, su estructura ósea, ese bien inestimable llamado
información.
7.2 RECOMENDACIONES PARA INTERPRETAR Y MOSTRAR LAS PSI
Las políticas de Seguridad Informática se deben interpretar de la
siguiente forma:
Debemos saber por qué es importante proteger el sistema
esto incluye:
-Tomar la mayor cantidad de datos que describan el sistema
informático.
-Identificar las amenazas posibles y evaluar los riesgos con la
base del algoritmo P-C.
-Observa cual es el reporte actual de la seguridad del sistema,
como se está protegiendo el sistema actualmente.
Confidencial-En core-Página 24 de 39
Definir de forma correcta como va a ser ese sistema que vamos a
desarrollar e implementar basados en los resultados que arroje la
primera etapa.
Debemos saber que persona o entidad se encarga de un elemento
en particular, para poder establecer responsabilidades.
Seleccionar y escribir las políticas de seguridad.
Definir los procedimientos para a implementar.
Evaluar el sistema diseñado.
Debemos tratar de que las PSI sean lo más explicito posibles y que
no se tecnifiquen demasiado en su lenguaje.
Para la distribución y comunicación se debe:
-Crear documentos y folletos con las normas de seguridad acordados.
-Clasificar los folletos de acuerdo a la información.
-Identificar las personas que tendrán acceso a la información.
-Actualizar las políticas periódicamente.
-Interpretar convenientemente los recursos de la red.
-Clasificar la información de acuerda a las tecnologías de comunicación
que se utilizan para su distribución.
-Definir los privilegios de los usuarios.
-Copias de seguridad de la información.
-Conexiones de redes externas y seguras.
-Tener en cuenta el costo y la calidad de los recursos de la red.
-Mantenimiento y reparación de equipos.
-Procesos de resguardo de certificaciones.
-Tener en cuenta los procesos de encriptación.
-Procesos en caso de violación de políticas.
Confidencial-En core-Página 25 de 39
Esto es básicamente lo que trata de exponer e incluirse en los estudios de
las políticas de seguridad informática.
Otras recomendaciones:
Se debe crear una línea de análisis basada en los siguientes elementos:
- Factor humano de la empresa
- Mecanismos y procedimientos con que cuenta la empresa
- Ambiente en que se desenvuelve la organización
- Consecuencias posibles si falla la seguridad de la empresa
- Amenazas posibles de la empresa.
7.3 TIPOS DE ALTERACIONES DEL ALGORITMO P-C
Los recursos son todos aquellos elementos que permiten el
correcto funcionamiento de la organización. Estos pueden ser
físicos, lógicos y servicios
Los 4 tipos de alteraciones son:
Interrupción
Intercepción
Modificación
Casos de producción impropia
RECURSO AFECTADO
NOMBRE CAUSA EFECTO TIPO DE ALTERACION
Lógico
Base de datos con información personal importante de clientes
se ha inyectado un virus que borra datos aleatoriamente mediante un código random
perdida de información valiosa para la organización
Modificación
Físico Robo del servidor
Personas ajenas a la organización violaron la seguridad y se llevaron el servidor
pérdidas irreparables de información
Interrupción
Confidencial-En core-Página 26 de 39
Servicios Copias de seguridad del sistema
los mensajes enviados por el administrador son re direccionados a un correo externo falso
un virus ataca la red y coloca nuevas cabeceras a los paquetes
Intercepción
Servicios correo falso
un atacante crea un correo electrónico falso donde pide ingresar a una página x y el usuario ingresa sus datos sin saber que es falsa
perdida de confidencialidad y seguridad de los datos
Casos de producción impropia
7.4 IMPORTANCIA DE LOS DEMONIOS DENTRO DE LA RED
Los demonios son programas que se ejecutan en segundo
plano no tienen interfaz grafica y su objetivo principal es
brindar servicios y procesos de manera silenciosa.
Actualmente en cualquier red de datos es importante poseer
daemons puesto que estos programas no utilizan interfaz
grafica debido a su composición por esto dado el caso de un
ataque al sistema operativo podríamos ejecutar los demonios
sin problema algunos de los demonios que se pueden instalar
en nuestra red son:
Telnet
Argus
8 MEDIDAS Y PROCEDIMIENTOS DE SEGURIDAD INFORMATICA Clausula 8.0
Bueno está comprobado que casi siempre somos víctimas de
nuestros propios inventos y hay muchas historias que respaldan
esta afirmación, las PSI no son ajenas a este fenómeno debido a que
muchas de las herramientas utilizadas para proteger las redes son
las mismas que utilizan los atacantes para vulnerar y atacar
nuestros sistemas informáticos, por eso es vital saber cuáles son las
Confidencial-En core-Página 27 de 39
herramientas adecuadas para monitorear y protegernos de los
malos, pues no sea que se vayan a convertir en armas de doble filo.
8.1 Los procedimientos a considerar son:
Procedimiento de alta de cuenta a usuarios:
Se debe llenar un formulario con los siguientes datos
Nombre y apellido
Número de identificación
Puesto de trabajo
Jefe que avala el pedido
Trabajos a realizar en el sistema
Tipo de cuenta
Fecha de caducidad
Permisos de trabajo
Tipo de contrato
Procedimiento de baja de cuentas de usuarios:
Se debe llenar un formulario con los datos de usuario al
que se le va a dar de baja:
Nombre y apellido
Número de identificación
Puesto de trabajo
Jefe que avala el pedido
Tipo de retiro(parcial o total)
Tipo de cuenta
Fecha de retiro
Procedimiento para determinar los buenos password:
Introduzca una contraseña que tenga mínimo 7
caracteres, puede utililizar números y letras, las
letras pueden ser minúsculas y mayúsculas.
Trate de no repetir el mismo carácter dos veces
seguidas o en la misma contraseña.
Confidencial-En core-Página 28 de 39
Contacte al administrador de la red para verificar el
grado de seguridad de la misma.
Se debe utilizar un programa craqueador que
posibilite determinar cuáles son seguros y cuáles no
Nota: No utilice espacios en blanco en ellas claves
pues no son permitidos.
Reporte al administrador el cambio de contraseña,
para alimentar los logísticos.
Procedimiento de verificación de accesos:
Ejecutar semanalmente un logístico de accesos
realizados desde fuera de la red.
Ejecutar semanalmente un logístico de las
conexiones externas hechas desde el interior de la
red.
Ejecutar semanalmente logísticos de conexiones
hechas en horarios no convencionales.
Procedimiento de chequeo de gráficos de la red:
Ejecutar semanalmente logísticos de los gráficos del
tráfico de la red.
Realizar reportes de los resultados obtenidos.
Procedimiento de chequeo de volúmenes de correo
Extracción de un logístico sobre el volumen de
correo transportado y las conexiones de red creadas
durante las 24 horas del día.
Realizar reportes en log files si hay anomalías.
Procedimiento de monitoreo de conexiones activas
Utilizar aplicaciones y herramientas que permitan
monitorear las conexiones(SATAN)
Realizar un seguimiento diario las 24 horas de estas
conexiones
Confidencial-En core-Página 29 de 39
Cerrar o desactivar las conexiones inactivas.
Crear reportes de anomalías, como inactividad o
fallas en las conexiones.
Procedimiento de modificación de archivos:
Ejecutar el aplicativo OSH 24 horas al día.
Verificar los privilegios del usuario.
Verificar los rastros generados.
Revisar los archivos modificados
Generar reporte
Procedimiento de resguardo de copias de seguridad:
Utilizar herramienta para realizar copias de
seguridad del sistema semanalmente.
Realizar de forma periódica copias de seguridad
(backup) del sistema y archivos críticos.
Guardar las copias realizadas en lugares seguros y
confiables.
Realizar reportes de fecha de generación de la copia.
Procedimiento de verificación de las maquinas de los
usuarios:
Realizar un escaneo de la red para verificar
programas sin licencia o no autorizados (diario).
Reportar al usuario con este caso.
Eliminar y desinstalar dichos software.
Desinfección del sistema si es el caso.
Reporte de procedimientos realizados.
Procedimiento de monitoreo de los puertos en la red:
Monitoreo las 24 horas al día verificación y control
sobre los puertos y su actividad.
Detectar puertos inactivos.
Confidencial-En core-Página 30 de 39
Deshabilitar puertos inactivos.
Realizar reportes de su funcionamiento.
Procedimiento para dar a conocer las nuevas normas de
seguridad:
Enviar documento impreso o vía digital a cada uno
de los administradores de redes para que lo estudie
y familiarice con él.
Luego paso a realizar una reunión con ellos para
aclarar dudas e inquietudes o posibles sugerencias.
Corregimos si hay equívocos o puntos a mejorar y
pasamos a citar una reunión con el consejo directivo
para esperar su punto de vista.
Finalmente ya aprobado enviar copia cada división
de la empresa “En-core” y realizar la presentación,
socialización y comunicación de las políticas.
Empezar de inmediato a aplicar cada una de estas
políticas.
Procedimiento de identificación del usuario y grupo de
pertenencia por defecto:
Realizar solicitud por escrito esta debe contener el
nombre del actual grupo y del nuevo grupo.
Jefe que avala el pedido.
Asignación de nuevos privilegios.
Reporte del cambio realizado.
Procedimiento para recuperar información:
Revisar el funcionamiento del sistema si hay fallas.
Tomar registros de copias de seguridad del sistema.
Instalar o copiar los más recientes.
Restaurar el sistema.
Reportar los cambios realizados.
Ajustes y pruebas al sistema.
Confidencial-En core-Página 31 de 39
Procedimiento para mantenimiento de equipos:
Realizar revisión técnica.
Borrar información importante o copiarla en unidad
extraíble.
Asignar un técnico de confianza.
Asignar una persona que supervise el trabajo del
técnico.
Realizar pruebas al equipo.
Nota: en caso de trasladar el equipo fuera de la
empresa debe haber una orden de salida firmada por
el jefe de sistemas o por la persona que autoriza.
Procedimiento para uso y apagado de sistemas, equipos y
demás dispositivos de la red:
Verificar las conexiones eléctricas.
Encender breakes.
Encender estabilizadores, supresores de picos o ups.
Encender equipos o impresoras.
Diligenciar planillas de uso.
Cerrar sistemas.
Apagar equipos
Apagar breakes.
Nota: dejar organizado y bien apagado el sitio de
labores.
Procedimiento para almacenamiento y organización de la
información:
Realizar revisiones semanales de la información
critica generada.
Copiar los archivos importantes en diferentes
medios de almacenamiento externo.
Realizar reporte a administrador de red.
Confidencial-En core-Página 32 de 39
Procedimiento para ejecución de antivirus y análisis de
sistemas:
Ejecutar diariamente software antivirus y anti
espías.
Revisar memorias USB, cds y discos duros externos
antes de ejecutarlos (doble clic).
Desinfectar las terminales infectadas.
Reportar al administrador de la red cualquier
anomalía detectada.
Nota: si el virus esta dentro del sistema no realice
acciones si no está preparado y comunique de
inmediato al administrador o técnico de turno.
Procedimientos para verificación de conexiones eléctricas:
Diligenciar planillas de mantenimiento.
Orden de jefe que autoriza.
Realizar mantenimiento preventivo y mediciones
cada 15 días, a la red y las salas de sistemas.
Tomar los correctivos necesarios.
Diligenciar check list correspondiente.
Escribir informe del proceso.
Procedimiento para seleccionar herramientas de defensa
del sistema:
Estudiar la caracterización del sistema.
Clasificar los recursos lógicos, físicos y servicios a
proteger.
Observar y estudiar las herramientas disponibles.
Conocer ventajas, desventajas y características.
Seleccionar las adecuadas.
Listado de las herramientas seleccionadas.
Instalación de cada una de ellas.
Pruebas y ajustes.
Reporte de proceso realizado.
Confidencial-En core-Página 33 de 39
Procedimiento para asignar herramientas a los diferentes
departamentos de la organización:
Nombre del departamento.
Nombre del encargado.
Herramientas asignadas.
Jefe que autoriza.
8.2 Las herramientas y los procedimientos que se utilizaran en la
red para tener control de los accesos son:
- TCP-WRAPPERS
- Correr diariamente para verificar las conexiones que se
realicen en la red.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- ARGUS
- Analizar cada 1 hora los archivos generados por ARGUS para
determinar el trafico IP generado por las conexiones.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TCPDUMP
- Verificar las cabeceras de los paquetes entrantes y salientes.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- SATAN
- Los administradores de red deben inspeccionar
periódicamente los registros SATAN para determinar las
Confidencial-En core-Página 34 de 39
posibles a amenazas de los clientes y maquinas externas
conectadas a nuestra red.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TCPLIST
- Instalar en todas las maquinas clientes y servidores para
llevar un registro y control periódico de conexiones
realizadas con protocolo TCP.
- Responsable: Técnicos de mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- ICMPLogger
- Verificar las trazas creadas para llevar un control de las
conexiones basadas en ICMP.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- COURTNEY
- Auditar los archivos de este programa para detectar posibles
ataques SATAN y bloquearlos de forma inmediata.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- NOCOL
- Verificar de manera continua los eventos creados para tener
un informe actualizado de la gravedad de los ataques en caso
de que los allá.
- Responsable: Administrador de red
- Realizar logísticos e informes.
Confidencial-En core-Página 35 de 39
- Comunicar anomalías o fallas si las hay.
- ISS
- Correrlo siempre que se necesite transferir archivos con
contraseñas y datos críticos.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
8.3 Las herramientas y los procedimientos que utilizaremos
para mantener la integridad de la red son:
- CHKWTMP
- Ejecutar cuando exista sospecha de usuarios o intrusos
encubiertos en el sistema.
- Responsable: Administrador de red y técnicos de
mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- CHKLASTLOG
- Mantener actualizada la base de logines para determinar los
usuarios ilegales o desactivados.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TRIPWIRE
- Mantener actualizada la base “main” cada vez que ingrese un
elemento nuevo al sistema de forma autorizada.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
Confidencial-En core-Página 36 de 39
- OSH
- Generar listado de permisos y privilegios de los usuarios
registrados y autorizados para interactuar con el sistema.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- NOSHELL
- Revisar diariamente las cuentas de correo electrónico creadas
para recibir alertas e instrucciones del uso y monitoreo de la
red. Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- CPM
- Correr de manera periódica el CPM en nuestro sistema para
detectar sniffers que pueden estar recopilando información
de las contraseñas de la red.
- Responsable: Administrador de red y técnicos de
mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TRINUX
- Todos los administradores de red deben tener un CD con las
aplicaciones trinux apara correrlo desde cualquier maquina
en un momento dado.
- Responsable: Administrador de red y técnicos de
mantenimiento.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
Confidencial-En core-Página 37 de 39
- COPS
- Verificar los password en los servidores de UNIX permisos y
privilegios de forma periódica.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- TIGER
- Chequear la seguridad del sistema en los elementos críticos.
- Responsable: Técnicos de sistemas.
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- CRACK
- Generar un barrido periódico del programa crack sobre
nuestro sistema, para así notificar a los dueños de las
respectivas contraseñas la necesidad de cambiarlas.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- SPAR
- Verificar constantemente los procesos realizados en el
sistema.
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
- LSOF
- Interpretar la lista de archivos abiertos de forma continua
para determinar quienes los utilizan (host).
- Responsable: Administrador de red
- Realizar logísticos e informes.
- Comunicar anomalías o fallas si las hay.
Confidencial-En core-Página 38 de 39
CONCLUSION
En el anterior trabajo aprendimos a diseñar, desarrollar y presentar un
manual de procedimientos, basados en la estructura básica de la empresa
EN-CORE, este proyecto nos enseño como debemos crear paso a paso
este elemento tan importante para cualquier corporación en la parte de
seguridad de sistemas, integración y protección de la información.
Confidencial-En core-Página 39 de 39
BIBLIOGRAFIA Y WEBGRAFIA
1. Metodología para el diseño de un sistema de Seguridad Informática
elaborado por la Dirección de protección del ministerio del interior.
2. www.senavirtual.edu.co
3. Fundamentos de Networking
Ing. Isaac Zúñiga Silgado
Profesor Tiempo Completo
Programa Ingeniería de Sistemas-UTB
4. Propuesta del programa English Easy Way