Your SlideShare is downloading. ×
ACTIVIDAD
Proyecto final
Presentado por:
Carlos Andrés Pérez Cabrales
Tutor:
HAMILTHON MERCHAN MANTILLA
CENTRO TECNOLÓGICO...
INTRODUCCIÓN
Las redes informática en el mundo han mostrado un gran progreso, la posibilidad
de comunicarse a través de re...
Nombre Carlos Andrés Pérez Cabrales
Fecha Agosto 10 del 2013
Actividad Proyecto final
Tema Unidad 4
1. Desarrolle el manua...
 No hay responsabilidades en los cargos de las distintas dependencias y se
delegaran a sus subordinados sin autorización....
 Implementar una base de datos de usuario, esto permite realizar seguimiento
y control.
 Para la creación de cuentas se ...
 No participar en la propagación de mensajes encadenados o de esquemas de
pirámides.
 No enviar grandes cadenas de chist...
 No modificar ni manipular archivos que se encuentren en la red que no sean
de su propiedad.
 Los usuarios no pueden ins...
 Dar una capacitación de la actividad a desarrollarse y en la que cada
funcionario se va a desempeñar específicamente.
 ...
como un recurso o mecanismo para mitigar los riesgos a los que se ve
expuesta.
 Equipos y Bienes de la empresa:
 se tien...
 Para la compra de Hardware el equipo que se desee adquirir deberá estar
dentro de las listas de ventas vigentes de los f...
 Se establecerán tres tipos de prioridad para la información de la dependencia:
Información vital, necesaria y ocasional ...
 Ningún trabajador tendrá acceso a la red, recursos informáticos o aplicaciones
hasta que no acepte formalmente la Políti...
 HERRAMIENTAS.
Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas desc...
 GLOSARIO.
 Cracker:Un "cracker" es una persona que intenta acceder a un sistema
informático sin autorización.Estas pers...
Upcoming SlideShare
Loading in...5
×

redes y seguridad Proyecto final

7,355

Published on

redes y seguridad Proyecto final

Published in: Education
0 Comments
4 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
7,355
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
506
Comments
0
Likes
4
Embeds 0
No embeds

No notes for slide

Transcript of "redes y seguridad Proyecto final"

  1. 1. ACTIVIDAD Proyecto final Presentado por: Carlos Andrés Pérez Cabrales Tutor: HAMILTHON MERCHAN MANTILLA CENTRO TECNOLÓGICO DE GESTIÓN INDUSTRIAL ANTIOQUIA / MEDELLÍN Curso Virtual Ficha: 560589 - REDES Y SEGURIDAD Servicio Nacional de Aprendizaje - SENA Montería Agosto - 10 – 2013
  2. 2. INTRODUCCIÓN Las redes informática en el mundo han mostrado un gran progreso, la posibilidad de comunicarse a través de redes ha abierto mucho horizontes a las empresas para mejorar su productividad y poder expandirse a muchos países, debido a esto hay que garantizar la seguridad de la información que se trabaja día a día, estos riesgos nos han llevado a implementar nuevos procedimientos que nos van a ayudar en el adecuado uso de los sistemas tecnológicos y de las redes en general, la cual consisten en compartir recursos, y que todos los programas, datos y equipo estén disponibles para cualquiera de la red que así lo solicite, sin importar la localización del recurso y del usuario. También consiste en proporcionar una alta fiabilidad, al contar con fuentes alternativas de suministro. Además, la presencia de múltiples CPU significa que si una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su trabajo, aunque se tenga un rendimiento menor. Este manual fue elaborado con nociones Básicas de Seguridad en redes informáticas, recogiendo los principales conceptos y recomendaciones de los problemas que se pueden presentar en una red, con el fin de informar a los trabajadores sobre los riesgos más comunes y sus medidas preventivas.
  3. 3. Nombre Carlos Andrés Pérez Cabrales Fecha Agosto 10 del 2013 Actividad Proyecto final Tema Unidad 4 1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.  ESTUDIO DEL SISTEMA DE SEGURIDAD. En esta empresa un mecanismo para evitar que la seguridad sea un factor de riesgo hay que facilitar la formalización de los empleados para que ellos materialicen las Políticas de Seguridad Informática, por otra parte hay una gran cantidad de inconvenientes porque las personas no se acoplan al cambio y no les gusta regirse a los avances; Si realmente quiere que las PSI sean aceptadas, debemos realizar una integración en la empresa con la misión, visión y objetivos estratégicos. Por lo anterior es muy importante saber las clases de riesgo tiene la empresa como lo descritos a continuación:  Mucha información confidencial puede ser observada y alterada continuamente por otros usuarios.  Se puede suplantar con facilidad la identidad de los usuarios o administradores. No hay restricción a personas ajenas a la empresa.  Los equipos de cómputo son el punto más débil en la seguridad porque se maneja personal variado.  No hay niveles de jerarquía entre jefes, administradores y usuarios.  En los sistemas de cómputo la información está completamente abierta.
  4. 4.  No hay responsabilidades en los cargos de las distintas dependencias y se delegaran a sus subordinados sin autorización.  No se cuenta con un programa de mantenimiento preventivo y correctivo de los sistemas de cómputo.  La falla continúa por no tener las normas eléctricas bien aplicadas; dan pie a cortes de electricidad sin previo aviso.  PROGRAMA DE SEGURIDAD. La seguridad en la información, es un concepto relacionado con los componentes del sistema (hardware), las aplicaciones utilizadas en este (software) y la capacitación del personal que se encargara del manejo de los equipos. Por esta razón un paso primordial es establecer normas y estándares que permitan obtener un manejo seguro de toda la infraestructura de comunicación, la información, y por consiguiente los recursos de la empresa. Se han convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información necesaria para garantizar su integridad, confidencialidad y disponibilidad. El presentar bases, normas de uso y seguridad informáticas dentro de la empresa respecto a la manipulación, uso de aplicaciones y equipos computacionales permitirá el buen desarrollo de los procesos informáticos y elevará el nivel de seguridad de los mismos y así preservar la información y los diferentes recursos informáticos con que cuenta la Empresa.  PLAN DE ACCIÓN. El propósito de este plan de acción es asegurar que los funcionarios utilicen correctamente los recursos tecnológicos que la empresa pone a su disposición, este será de obligatorio cumplimiento y el usuario que incumpla deberá responderá por los daños causados a el sistema informático de la empresa, y tendrá acciones disciplinarias y penales ante la ley. En el plan de acción a seguir de la empresa adoptaremos los siguientes pasos:  Crear una cuenta para cada usuario la cual, impedirá que pueda dañar al sistema o a otros usuarios, y le dará solo los recursos necesarios para la labor asignada.  En esta cuenta de usuario se asignaran permisos o privilegios al usuario para acceder a los sistemas de información y desarrollará actividades dentro de ellas de forma personalizada.
  5. 5.  Implementar una base de datos de usuario, esto permite realizar seguimiento y control.  Para la creación de cuentas se deberá enviar una solicitud a la oficina de Sistemas, con el visto bueno del jefe de cada área, donde se bebe resaltar los privilegios que va a tener el usuario.  Cuando un usuario reciba una cuenta, deberá acercarse a la oficina de sistema para informarle las responsabilidades y el uso de esta.  Por ningún motivo se concederá una cuenta a personas ajenas a la empresa.  El departamento de Recursos Humanos debe informar al departamento de Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta.  El acceso a internet se permitirá al personal que lo necesite este será de uso laboral y no personal, con el fin de no saturar el ancho de banda.  No acceder a páginas de entretenimiento, pornografía, o que estén fuera del contexto laboral.  No se descargara información en archivos adjuntos de dudosa procedencia, esto para evitar el ingreso de virus al equipo.  Ningún usuario está autorizado para instalar software en su ordenador. El usuario que necesite algún programa específico para desarrollar su actividad laboral, deberá comunicarlo al Departamento de Sistemas.  Los empleados de la Empresa solo tendrán acceso a la información necesaria para el desarrollo de sus actividades.  Ningún empleado debe instalar ningún programa para ver vídeos, música o juegos vía Internet.  se debe utilizar el correo electrónico como una herramienta de trabajo, y no para recibir mensajes de amigos y familiares, para eso está el correo personal.  No enviar archivos de gran tamaño a compañeros de oficina, esto ocupa mucho espacio en la banda.
  6. 6.  No participar en la propagación de mensajes encadenados o de esquemas de pirámides.  No enviar grandes cadenas de chistes en forma interna.  No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que podrían contener códigos maliciosos.  El acceso a las cuentas personales no debe hacerse en jornadas laborales ni en los equipo de la empresa.  Cuando el usuario deje de usar su estación de trabajo deberá cerrar y verificar el cierre del correo, para evitar que otra persona use su cuenta.  Se debe mantener los mensajes que se desea conservar, agrupándolos por temas en carpetas personales.  El departamento de Sistemas determinará el tamaño máximo que deben tener los mensajes del correo electrónico.  Los mensajes tendrán una vigencia de 30 días desde la fecha de entrega o recepción. Terminada la fecha, los mensajes deberán ser eliminados del servidor de correo.  Se creara una carpeta compartida para todos los empleados esta es de uso laboral para compartir tareas y no para almacenar cosas personales o innecesarias.  También se crearan unas subcarpetas compartidas de cada departamento, jefes, supervisores y administradores pero se crearan privilegio para el uso de estas.  A la información vital se le realizara una copia de seguridad todos los fines de semana, con el fin de proteger, tener respaldo de los datos y el buen manejo de la red.  La información que se guarde en la red y no sea utilizada, debe eliminarse y guardarla ya sea en el equipo o en memorias USB, para no mantener la red llena.
  7. 7.  No modificar ni manipular archivos que se encuentren en la red que no sean de su propiedad.  Los usuarios no pueden instalar, suprimir o modificar el software entregado en su computador.  No se puede instalar ni conectar dispositivos o partes diferentes a las entregadas en los equipos.  No es permitido abrir la tapa de los equipos, y retirar parte de estos por personal diferente al departamento de sistemas.  Los equipos, escáner, impresoras, lectoras y equipos de comunicación no podrán ser trasladados del sitio que se les asignó inicialmente, sin previa autorización del departamento de sistemas o seguridad.  Se debe garantizar la estabilidad y buen funcionamiento de las instalaciones eléctricas, asegurando que los equipos estén conectados a una corriente regulada, o Ups.  Los equipos deben estar ubicados en sitios adecuados, evitando la exposición al agua, polvo o calor excesivo.  Ningún usuario, podrá formatear los discos duros de los computadores.  Ningún usuario podrá retirar partes o usar los equipos de comunicación para uso personal sin la autorización del departamento de sistemas.  A los equipos personales no se les brindará soporte de ninguna índole: ni de hardware ni de software, porque son responsabilidad del dueño.  La dirección IP asignada a cada equipo debe ser conservada y no se debe cambiar sin la autorización del departamento de Sistemas porque esto ocasionaría conflictos y esto alteraría el flujo de la red.  No llenar el espacio de disco del equipo con música ni videos, ni información personal que no sea necesaria para el desarrollo de sus tareas con respecto a la entidad.  Se capacitara al personal para tener un análisis previo y evaluar en qué parte es necesario mejorar o resolver un problema.
  8. 8.  Dar una capacitación de la actividad a desarrollarse y en la que cada funcionario se va a desempeñar específicamente.  Es estrictamente obligatorio, informar oportunamente al departamento de sistemas las novedades por problemas eléctricos, técnicos, de planta física, etc. que altere la correcta funcionalidad del sistema.  TABLA DE GRUPOS DE ACCESO.  Recurso del Sistema  Riesgo R  Tipos de Acceso  Permisos Otorgados  Numero  Nombre 1. Router (56):Es uno de los más importantes ya que de la buenaconfiguración de este depende mucho la seguridad de nuestrared. 2. Swiche (48):El buen funcionamiento de este hace posible distribuir todalainformación a la red. 3. Impresora (16):En este recurso es posible llevar cualquier información aun documento físico. 4. Cableado (20):De este depende intercomunican entre terminales yservidores. 5. Servidor (100):Es el de mayor importancia porque todas las acciones serealizarán a través de este. 6. Terminal (25):Es importante porque por medio de estos alimentaremos al servidor. 7. Base de Datos (48):Es de gran importancia ya que almacena toda la informaciónde la empresa.  PROCEDIMIENTOS. En la empresa se utilizaran una serie de procedimientos que nos ayudaran a tener un control sobre los equipos, usuarios y toda la información vital en la red, estos procedimientos serán una propuesta de políticas de seguridad,
  9. 9. como un recurso o mecanismo para mitigar los riesgos a los que se ve expuesta.  Equipos y Bienes de la empresa:  se tiene que crear un medio de escrito para controlar y velar la seguridad informática de las diferentes áreas de la Empresa.  Para los efectos de este instrumento se entenderá por: Comité Al equipo integrado por la Gerencia, los Jefes de área y el personal administrativo (ocasionalmente) convocado para fines específicos como: Adquisiciones para la compra de nuevos Hardware y software para la empresa.  Velar por el buen funcionamiento de las herramientas tecnológicas que se van a utilizar en las diferentes áreas de la empresa.  Elaborar y efectuar seguimiento el Plan de acción de la empresa verificando todas la normatividad vigente de la misma.  Elaborar el plan correctivo realizando en forma clara cada dependencia de la empresa para poder corregirlo, y en las futuras revistas poder tener solucionado las novedades encontradas y levar a un margen de error de cero.  La instancia rectora de los sistemas de informática de la empresa es la Gerencia, y el organismo competente para la aplicación de este ordenamiento, es el Comité que fue nombrado.  Compra de recursos informáticos.  Para toda compra que se haga en tecnología informática se realizara a través del Comité, que está conformado por el personal de la Administración de Informática.  El comité de Informática deberá planear las operaciones para la compra de los bienes informáticos que se necesitan con prioridad y en su elección deberá tomar en cuenta: el estudio técnico, precio, calidad, experiencia, desarrollo tecnológico, estándares y capacidad, costo inicial, costo de mantenimiento y consumibles por el período estimado de uso de los equipos.
  10. 10.  Para la compra de Hardware el equipo que se desee adquirir deberá estar dentro de las listas de ventas vigentes de los fabricantes y/o distribuidores del mismo y dentro de los estándares de la empresa.  La marca de los equipos o componentes deberá contar con presencia y permanencia demostrada en el mercado nacional e internacional, así como con asistencia técnica.  Los dispositivos de almacenamiento, así como las interfaces de entrada- salida, deberán estar acordes con la tecnología de punta vigente, tanto en velocidad de transferencia de datos.  Las impresoras deberán apegarse a los estándares de Hardware y Software vigente en el mercado y en la empresa.  En lo que se refiere a los servidores, equipos de comunicaciones, deben de contar con un programa de mantenimiento preventivo y correctivo que incluya su período de garantía.  Instalación de equipos.  Los equipos y las redes para uso de la empresa se instalarán en lugares adecuados, lejos de polvo y tráfico de personas.  La Administración de Informática, así como las áreas operativas deberán contar con un mapa actualizado de las redes, equipos, instalaciones eléctricas y de comunicaciones de la red.  Las instalaciones eléctricas y redes, estarán fijas o resguardadas del paso de personas o máquinas, y libres de cualquier peligro eléctrico o magnetismo.  Manejo de la información.  La información almacenada en medios magnéticos o físicos se deberá inventariar, anexando la descripción y las especificaciones de la misma, clasificándola en categorías.  Los jefes de las dependencias responsables de la información contenida en la oficina a su cargo, delegaran responsabilidades a sus subordinados y determinarán quien está autorizado a efectuar operaciones salientes con dicha información tomando las medidas de seguridad pertinentes.
  11. 11.  Se establecerán tres tipos de prioridad para la información de la dependencia: Información vital, necesaria y ocasional o eventual.  La información vital para el funcionamiento de la dependencia, se deberán tener un buen proceso a la información, así como tener el apoyo diario de las modificaciones efectuadas y guardando respaldos históricos semanalmente.  Funcionamiento de la red.  Una obligación del comité de la Administración de Informática es vigilar que las redes y los equipos se usen bajo las condiciones especificadas por el proveedor.  El personal ajeno de la empresa al usar la red o un equipo de cómputo, debe estar su vigilado por un miembro de la empresa y se abstendrán de consumir alimentos, fumar o realizar actos que perjudiquen el funcionamiento del mismo o deterioren la información almacenada.  Mantener claves de acceso que permitan el uso solamente al personal autorizado para tal fin.  Verificar la información que provenga de fuentes externas a fin de examinar que esté libre de cualquier agente contaminante o perjudicial para el funcionamiento de los equipos.  En ningún caso se autorizará la utilización de dispositivos ajenos a los procesos informáticos de la dependencia, por consecutivo, se prohíbe el ingreso y/o instalación de hardware y software a particulares, es decir que no sea propiedad de la empresa.  Contraseñas.  Todos los que laboren en la parte de las dependencias de la empresa deben tener un usuario con acceso a un sistema de información o a una red informática, colocando una única autorización de acceso compuesta de usuario y contraseña.
  12. 12.  Ningún trabajador tendrá acceso a la red, recursos informáticos o aplicaciones hasta que no acepte formalmente la Política de Seguridad.  Los usuarios tendrán acceso autorizado solo a los recursos que le asignen la empresa para el desarrollo de sus funciones.  La contraseña tendrá una longitud mínima de igual o superior a ocho caracteres, y estarán constituidas por combinación de caracteres alfabéticos, numéricos y especiales.  Los identificadores para usuarios temporales se configurarán para un corto período de tiempo. Una vez expirado dicho período, se desactivarán de los sistemas inmediatamente.  Responsabilidades.  Los usuarios son responsables de toda actividad relacionada con el uso de su acceso autorizado que la empresa le asigno.  Los usuarios no deben revelar bajo ningún concepto su contraseña a ninguna persona ni mantenerla por escrito a la vista, ni al alcance de terceros.  Los usuarios no deben utilizar ningún acceso o contraseña de otro usuario, aunque dispongan de la autorización del propietario.  En el caso que el sistema no lo solicite automáticamente, el usuario debe cambiar su contraseña como mínimo una vez cada 30 días. En caso contrario, se le podrá denegar el acceso y se deberá contactar con el jefe inmediato para solicitar al administrador de la red una nueva clave.  Los usuarios deben notificar a su jefe inmediato cualquier incidencia que detecten que afecte o pueda afectar a la seguridad de los datos de carácter personal: pérdida de listados y/o información, sospechas de uso indebido del acceso autorizado por otras personas.  Los usuarios únicamente introducirán datos identificativos y direcciones o teléfonos de personas en las agendas de contactos de las herramientas informáticas.
  13. 13.  HERRAMIENTAS. Las herramientas de control que se pueden utilizar para administrar una red dependiendo de las fallas descritas en este manual son las siguientes:  GABRIEL: Detecta ataques SATAN, genera alertas vía e-mail o en el servidor.  NETLOG: Registra conexión cada milisegundo, corrige ataques SATAN o ISS, genera Trazas.  COURTNEY: Detecta ataques SATAN, genera información procesada por TCPDump: ve la información de cabecera de paquetes: Maquina de origen, máquina de destino, protocolos utilizados y chequea los puertos en un lapso de tiempo corto. Y las herramientas que se utilizaran para chequear el sistema son las siguientes:  CRACK: Es una herramienta virtual del sistema y permite forzar las contraseñas de usuario, para medir el grado de complejidad de las contraseñas, las contraseñas de nuestro sistema siempre están encriptados.  TRIPWIRE: Su función principal es la de detectar cualquier cambio o modificación en el sistema de archivos, como modificaciones no autorizadas o alteraciones maliciosas en los software.  TIGER: Chequea elementos de seguridad del sistema para detectar problemas y vulnerabilidades ayudando a configurar el sistema en general, sistemas de archivos, caminos de búsqueda, cuentas de usuarios, y también configuraciones de usuarios. Además, el supervisor de Informática, deberá desarrollar una revisión a los demás distintos medios como (intranet, email, sitio web oficial, etc.), y tomara las medidas necesarias para el cumplimiento de los Procedimientos de Seguridad.
  14. 14.  GLOSARIO.  Cracker:Un "cracker" es una persona que intenta acceder a un sistema informático sin autorización.Estas personastienen a menudo malas intenciones, en contraste con los "hackers", y suelen disponer de muchos medios para introducirseen un sistema.  Hacker:Persona que tiene un conocimiento profundo acerca del funcionamiento de redes y que puede advertir loserrores y fallas de seguridad del mismo. Al igual que un cracker busca acceder por diversas vías a lossistemas informáticos pero con fines de protagonismo contratado.  Local Área Network (LAN): (Red de datos para dar servicio a un área geográfica pequeña, un edificio por ejemplo, por lo cual mejorarde Área Local) los protocolos de señal de la red para llegar a velocidades de transmisión de hasta 100 Mbps (100millones de bits por segundo).  SATAN (Security Analysis Tool for Auditing Networks): Herramienta de Análisis de Seguridad para la Auditoria de redes. Conjunto de programas escritos por Dan Farmer junto con Wietse Venema para la detección de problemas relacionados con la seguridad.  TCP/IP (Transmisión Control Protocol/Internet Protocol): Arquitectura de red desarrollada por la "DefenseAdvanced Research Projects Agency" en USA, es el conjunto de protocolos básicos de Internet o de una Intranet.  Trojan Horse (Caballo de Troya): programa informático que lleva en su interior la lógica necesaria para que el creador del programa pueda acceder al interior del sistema que lo procesa.  Intranet: Una red privada dentro de una compañía u organización que utiliza el mismo software que se encuentra en Internet, pero que es solo para uso interno.

×