Manual de luz redes

Realizado por: Luz Mary

MANUAL DE PROCEDIMIENTOS

INFORMATICOS


INDICE GENERAL

Pag

1 GENERALIDADES

1.1 Objetivo General

1.2 Objetivos Específicos

1.3 Organigrama

2 PROCEDIMIENTOS DE INFORMATICA Y SISTEMAS

2.1 Estudio y análisis de los recursos informáticos actuales

2.1.1 Procedimiento administración de servidores y centro de datos

2.1.2 Administración de servidores y centro de datos

2.1.3 Gestión de backups en centro de datos

2.1.4 Gestión de backups en servidores

2.2 Equipos de comunicación

2.2.1 Asesoría y soporte técnico a usuarios

2.2.2 Control del correo

2.2.3 Creación de cuentas de dominio

2.2.4 Modificación privilegios de acceso

2.2.5 Respaldo y recuperación de archivos

2.2.6 Amenazas posibles

2.3 Procedimiento de soporte técnico

2.3.1 Inventario tecnológico

2.3.2 Mantenimiento preventivo de hardware y software

2.3.3 Mantenimiento correctivo de hardware y software

2.3.4 Elementos de análisis para la seguridad informática


2.3.5 Generación de backups de PC

2.4 Programa de seguridad

2.4.1 Plan de acción

2.4.2 Tabla de grupo de acceso

2.4.3 Generación de informe

2.5 Procedimiento de redes y conectividad

2.5.1 Distribución de puntos de conexión físico a la red

2.5.2 Valoración de los elementos de la red

2.5.3 Herramientas de software de monitoreo a la red

2.5.4 Herramientas de software para control de acceso

2.6 Políticas de seguridad

2.6.1 Prohibiciones

2.6.2 Actualización de las políticas de seguridad

2.7 Conclusion

2.7.1 Recomendaciones


INTRODUCCION

Este documento que se presenta tiene como finalidad la implementación de las

PSI (Políticas de Seguridad Informáticas) para la organización.

Las tecnologías de la información (TI) contribuyen a optimizar y elevar los niveles

de productividad y eficiencia, correspondiéndole al departamento de sistemas,

velar por que dicha tecnología se integren a los procesos y actividades del servicio

de manera tal de brindar al usuario el máximo apoyo en cuanto a su gestión y que

este tenga a su disposición toda las herramientas y facilidades que otorga la

nueva plataforma, haciendo necesario que todo los usuarios conozcan de forma

clara y precisa, por un lado las normas que regulen su uso y por otro los

procedimientos y mecanismos establecidos para asistencia.

En base al estudio y análisis requerido que determinan los posibles riesgos

inherentes a los recursos informáticos, se ha procedido a distinguir las políticas de

seguridad informática actual y/o establecer nuevos procedimientos y estrategias

tanto Gerenciales como Administrativas que permitan el resguardo de la

información de los recursos informáticos de la empresa.

Como resultado del presente proyecto finalmente es la documentación y ejecución

de un plan estratégico en el cual se implemente las Políticas de Seguridad

Informática para la organización.

¿Qué es la información?

“Es la comunicación de conocimiento que permite ampliar o precisar los que se

posee sobre una materia determinada”.

En la actualidad la información se ha convertido en uno de los bienes más

importantes y preciados, es por esta razón que se convierte a nivel mundial gran

cantidad de otros recursos (profesionales, tecnológicos, económicos, etc.) para

protegerla, pero ¿es solo la protección de ella la que debe preocuparnos? La

respuesta es no existen otros factores igual de importantes que considerar como

por ejemplo: la oportunidad, integridad, validez o confiabilidad, de lo anterior surge

la necesidad entonces de “Asegurar “el conjunto de elementos que dan su valor.

¿Qué es la seguridad de la información?

La información es un bien que, como otros, tiene distinto valor para una

organización y/o persona, consecuentemente, con ello, necesita ser protegida en


forma apropiada. La seguridad debe entenderse como un conjunto de conductas,

acciones, procedimientos, tecnología y otros que buscan “asegurarla” su buen

uso, integridad, confiabilidad, confidencialidad y oportunidad, es por lo anterior que

no podemos observar a la seguridad como un agente externo o distinto a nosotros

ya que somos parte activa de ella, ninguno sistema de seguridad será lo

suficientemente bueno como para evitar por ejemplo: que algunos de nosotros al

salir a realizar algún trámite dejemos olvidado sobre el escritorio el informe final

de un caso, que este pueda ser sustraído, copiado o adulterado, ningún sistema

de control de acceso puede ser efectivo si permanentemente dejamos las puertas

de acceso abiertas o colocamos trabas para facilitar nuestro transitar de un lado a

otro, ningún sistema de auditoria va a servir si entregamos nuestras credenciales

(nombre de usuario y contraseña).

La información puede existir de diferentes formas puede ser escrita, impresa o

almacenada o transmitida electrónicamente, cualquier forma que tome la

información, o los dispositivos por los cuales es compartida o almacenada,

siempre deberá estar sujeto al mismo cuidado.

La seguridad de la información se logra mediante la implementación de un

adecuado conjunto de controles, los podrían ser políticas, practicas,

procedimientos, estructuras organizacionales y funciones.

Es por lo anteriormente expuesto que en el siguiente documento se establecen los

procedimientos y mecanismos básicos de resguardo de la información del servicio.


OBJETIVO GENERAL

Establecer los mecanismos que permitan la ejecución de acciones orientadas a

mantener en condiciones de operatividad y funcionalidad la infraestructura

informática, facilitando con ellos el cumplimiento de sus propósitos y objetivos.

OBJETIVOS ESPECIFICOS

Realizar el estudio, análisis de los recursos informáticos de la organización.

Evaluar y determinar los posibles riesgos ante los sistemas informáticos.

Establecer y documentar el programa de seguridad a través de un plan de

acción, los procedimientos y normativas necesarios para implementar un

Sistema de Seguridad Informática.

Ejecutar las políticas de Seguridad de la información en la Empresa

mediante las respectivas estrategias tanto a nivel Gerencial como

Administrativo.


ORGANIGRAMA

Departamento De Sistemas

Análisis y Desarrollo Operaciones

Administración de Soporte Interno Soporte Técnico Servicio


DEFINICION DE NORMAS Y POLITICAS DE SEGUIRDAD INFORMATICA

¿Qué son las normas de seguridad? Las normas son un conjunto de

lineamientos, reglas, recomendaciones y controles con el propósito de dar

respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a

través de funciones, delegación de responsabilidades y otras técnicas, con un

objetivo claro y acorde a las necesidades de seguridad para el entorno

administrativo de la red.

¿Qué son políticas de seguridad? Son una forma de comunicación con el

personal, ya que las mismas constituyen un canal formal de actuación, en relación

con los recursos y servicios informáticos de la organización. Esta a su vez

establece las reglas y procedimientos que regulan las formas en que una

organización prevé, protege, y maneja los riegos de diferentes daños, sin importar

el origen de esto.

Como parte integral de un Sistema de Gestión de Seguridad de la Información

(SGSI), un manual de normas y políticas de seguridad, trata de definir; ¿Qué?,

¿Por qué? , ¿De qué? Y ¿Cómo? Se debe proteger la información Estos

engloban una serie de objetivos, estableciendo los mecanismos necesarios para

lograr un nivel de seguridad adecuado a las necesidades establecidas dentro de la

organización. Estos documentos tratan a su vez de ser el medio de interpretación

dela seguridad para toda la organización.


2. PROCEDIMIENTOS DE INFORMATICA Y SISTEMAS

2.1 ESTUDIO Y ANÁLISIS DE LOS RECURSOS INFORMÁTICOS ACTUALES

Para evaluar las posibles amenazas, causas y determinar las mejores políticas de

seguridad de la información es necesario realizar un estudio previo de todos y

cada uno de los recursos tecnológicos y recursos humanos que cuenta la

empresa, de ésta manera ejecutar el plan y los procedimientos para aplicar

efectivamente las políticas de seguridad informática en la empresa.

2.1.1 PROCEDIMIENTO ADMINISTRACIÓN DE SERVIDORES Y CENTRO DE

DATOS

Se propone a garantizar la disponibilidad y los niveles de servicio de los diferentes

sistemas informáticos que presta el departamento de sistemas.

Monitoreo de Recursos: se realiza un monitoreo del desempeño de las particiones

y discos en cada uno de los servidores, verificando la velocidad de lectura y

escritura, tiempo de acceso y capacidad usada.

Identificación del problema: verificar que las aplicaciones no estén generando

problemas de lectura y escritura del disco. Verificar que el disco o partición no este

presentando fallos físicos. Verificar que el disco no esté ocupado al 100% de su

capacidad. Identifica el proceso o procesos que estén generando los mayores

consumos de CPU y se verifica si es correcto o no el valor presentado. Se verifica

el consumo de ancho de banda, teniendo en cuenta el tipo de tráfico (http, smtp,

ftp, recursos compartidos, entre otros). Se localiza de red afectado acudiendo al

mapa de distribución de equipos y a la herramienta de monitoreo. Se detectan

fallas en los equipos o puertos.

Solución del problema: se realizan las correcciones necesarias para el correcto

funcionamiento de los dispositivos: discos, CPU, equipos de red, enlaces,

extensiones telefónicas, interfaces de red, cables y log.

Cambio, solicitud y recibos de dispositivos: en caso de fallas de algún dispositivo

se verifica si se puede sustituir por algún otro que se encuentre en el centro de

sistemas o si este tiene garantía.


Realizar mantenimientos a los dispositivos: hacerles limpieza y diagnostico a los

dispositivos (equipos de red, planta, y extensiones telefónicas), realizar la

afinación del servidor, configuración de los parámetros óptimos para tener un

mejor desempeño del servidor, realizar la eliminación de los archivos de log o

respaldo de temporales, realizar limpieza a los dispositivos en coordinación con

los de soporte técnico para realizar el mantenimiento al servidor.

Configuración final del dispositivo: se hacen pruebas de funcionamiento de cada

dispositivo, red, teléfono o servidor; y se deja en estado funcional. Se realizan

instalaciones a nivel de firewall, permisos de lectura, ejecución y escritura sobre el

servidor para aumentar la seguridad. Se verifican que los parches de seguridad

del servidor estén actualizados.

2.1.2 ADMINISTRACIÓN DE SERVIDORES Y CENTRO DE DATOS

Identificar problema

Cambiar,

dispositivos

Inicio monitoreo de recursos

Solucionar problema

Configuración final del Dispositivo

Fin

Realizar mantenimiento a los dispositivos 2.1.3 GESTION DE BACKUPS EN CENTRO DE DATOS Este procedimiento busca respaldar la información almacenada en las bases de datos que están que están bajo la responsabilidad del centro de datos, conforme a las políticas de seguridad establecidas, garantizando la disponibilidad de los datos en el momento que se requiera.


2.1.4 GESTION DE BACKUPS DE SERVIDORES Este procedimiento respalda la información de los aplicativos institucionales que están bajo la responsabilidad del centro de datos, conforme a las políticas de seguridad establecidas por este y garantizar la disponibilidad de los datos en el momento que se requiera. 2.2 EQUIPOS DE COMUNICACIÓN DESCRIPCION | CANTIDAD | SERVICIOS |

Router Cisco 2 interfaces Rj45 1000BaseT | 2 | Router de borde para la

Matriz de Medellín y Bogotá |

Router Cisco 2 interfaces Rj45 100BaseT | 2 | Router de borde para la

sucursales de Medellín |

Switch de 24 puertos 100/1000 Mbps administrable | 1 | Comunicación LAN

en el Edif. Medellín |


en el Edif. Sucursal 1 de Medellín |


en el Edif. Sucursal 2 de Medellín |

Access Point 2.4 GHz/54 Mbps | 3 | Comunicación WLAN en Edificios EQUIPOS INFORMÁTICOS DESKTOP

DESCRIPCION | CANTIDAD |

Computadores Desktop Core2Quad 2.8Ghz/ 2Gbram/500Gb Disco duro/Tarjeta de

red/Video/sonido. | 17 |

Computadores Portátil Core i3 3Ghz/4Gb/500Gb Ram disco duro/Wifi | 8 |

2.2.1 ASESORIA Y SOPORTE TECNICO A USUARIOS Establecer los mecanismos que permitan la ejecución de acciones orientadas a mantener a mantener en condiciones de operatividad y funcionalidad la infraestructura informática, facilitando con ellos el cumplimiento de sus propósitos y objetivos.


Recibir vía telefónica o mediante correos electrónico, solicitud de asesoría técnica. Realizar solicitud en el sistema “service desk”, generando número de reporte el cual debe ser entregado al usuario para realizar el seguimiento posterior a la solicitud. Solucionar en forma remota o telefónicamente la incidencia reportada. Una vez solucionada la incidencia, el técnico cerrara el caso documentado todos los eventos y la solución en el sistema de registro, derivando una copia al usuario por medio el correo electrónico. 2.2.2 CONTRO DEL CORREO La identificación de los servicios informáticos es única y exclusivamente para uso personal, actividades netamente de la empresa, y deberá ser empleada únicamente por la persona a quien le fue asignada. El correo es de uso personal e intransferible. Es deber de cada usuario asegurarse de cerrar la sesión de trabajo una vez finalice la utilización de todo los servicios a fin de que nadie más pueda utilizar su identificación. El olvidar esta tarea puede acarrear graves consecuencias para el usuario, que van desde la posibilidad de pérdida de información y el envió de correos a su nombre, hasta el uso inadecuado, por parte de otras personas, de los recursos que le fueron asignados. Si un usuario encuentra abierta la identificación de otra persona es su deber cerrarla y por ningún motivo deberá hacer uso de ella. No se debe realizar envíos de correos tipo cadena o forwards con información que no pertenezca a la empresa. Políticas de uso: El correo electrónico se creara exclusivamente para uso

administrativo. Cada buzón de correo tendrá una capacidad 7 GB, en su defecto, lo

que le asigne el proveedor del servicio de correo electrónico. Utilizar los destinatarios precisos para evitar los mensajes en

cadenas.


En el momento en que el empleado deje de trabajar en el empresa, se cancelara de forma inmediata el servicio de correo electrónico.

Mantener y ejecutar funciones de administración para eliminar

aquellos mensajes que no requieren estar almacenados con el fin de mantener espacio disponible tanto para enviar como para recibir nuevos mensajes.

2.2.3 CREACION DE CUENTAS DE DOMINIO Es importante remarcar que para trabajar con el equipo se ha de utilizar siempre una cuenta valida de usuario del dominio SML-SERVER, si no se dispone de ella o no se conoce su contraseña no se podrá iniciar una sesión de trabajo. De mismo modo para acceder a recursos de la red (carpetas en servidores, impresoras en red...) se ha de utilizar siempre una cuenta de usuario de domino. Siendo posible hacer coincidir identificador y contraseña de las cuentas locales y del dominio si bien la administración simultanea solo puede realizarse si el equipo pertenece al dominio. Políticas: Mantener en forma confidencial las contraseñas. Evitar mantener un registro de contraseñas en papel, a menos que

este se pueda guardar en forma segura. Cambiar la contraseña cuando crea que exista una indicación de un

posible compromiso de la contraseña o del sistema. Que sean fáciles de recordar para el usuario. Se recomienda no relacionar las contraseñas con la persona, por

ejemplo, nombre, números telefónicos, fechas de cumpleaños, etc. Los computadores personales, las estaciones de trabajo y las

impresoras no se deberán dejar con la sesión abierta, cuando estén desatendidos y cuando no se usen se deberán proteger con contraseña o cierre la sesión.

No compartir las contraseñas de usuario. Red interna: sistema integrado de redes y comunicación que permite a todo el personal del servicio, compartir la misma información y acceder a ella de una forma fácil y segura.


Usuarios: todo aquel que interactúa con los sistemas de TI (tecnología de la información) que la empresa ha puesto a su disposición. Contraseña: se refiere al complemento del código de acceso, que es la parte secreta y que solo el dueño del código de acceso debe conocer, también conocida como password. Perfil: asignación de acceso de aplicaciones de acuerdo al rol del trabajo del funcionario, debidamente aprobado. 2.2.4 MODIFICACION PRIVILEGIOS DE ACCESO Se realizar la modificación de permisos y acceso a la información en los siguientes casos:

Cuando el jefe del departamento o superior jerárquico solicite modificación.

Cuando el usuario deje de cumplir sus funciones (para este caso el usuario quedara sin acceso a los sistemas informáticos).

El departamento de informática está facultado para modificar permisos o accesos en los siguientes casos:

El usuario allá incurrido en actos ilegales. Requerimiento expreso de autoridades competentes. Para identificar o resolver problemas técnicos.

Revocación o bajas de cuentas y accesos. Seguridad y privacidad Todos los usuarios son responsables de cumplir con las políticas de seguridad y privacidad establecidas por la organización. El privilegio de uso de los sistemas de informática e información será revocado en caso de violación a estas políticas, sin importar cuan necesario sea el uso de computadores para completar las tareas asignadas a dicha persona. Cualquier usuario implicado en infracciones a esta política, políticas del servicio o criminales con relación a la privacidad y seguridad computacional de la organización será sujeto acción disciplinaria incluyendo, pero no limitada a, revocación de privilegios a recursos de informática, suspensión de equipamiento computacional, eliminación de cuentas de acceso.


Todos los usuarios deberán cooperar con las autoridades en la investigación y convicción de cualquier sospecha de infracción a la seguridad y privacidad que involucren a personal de la organización. 2.2.5 RESPALDO DE RECUPERACION DE ARCHIVO Establecer los lineamientos para salvaguardar la información generada por las diferentes áreas de la organización, lo que permitirá contar con la información en caso de contingencia o desastre. Está dirigido a los usuarios que contengan información propia de la organización. Políticas:

Conjunto de copias de seguridad: conjunto de archivos, carpetas y demás datos de los que se ha realizado copia de seguridad y se han almacenado en un archivo o en uno o varios medios (CD, DVD, etc.).

Definimos como política de seguridad a los diferentes métodos (la forma en la que se realiza copia y su tipo) que se utilizan para guardar un grupo o conjunto de archivos de datos. Existen varios métodos de copias de seguridad que se pueden utilizar. Métodos de copias Copia de seguridad normal: una copia de seguridad normal incluye todo los archivos seleccionados y pone a cada archivo una marca que indica que se ha hecho una copia de seguridad del mismo. Las copias de seguridad normales se suelen realizar al crear por primera vez un conjunto de copia. Copia de seguridad diaria: incluye todo los archivos seleccionados que se hayan modificado el día en que se realizó la copia diaria. Los archivos incluidos en la copia de seguridad no se marcan como tales. Copia de seguridad incremental: una copia de seguridad incremental solo copia los archivos creados o modificados desde la última copia de seguridad normal o incremental. Marcar los archivos copiados. Respaldo de la información: se realiza el respaldo de la información contenida en los servidores en servicio de la organización.


2.2.6 AMENAZAS POSIBLES FÍSICO

Robo de equipos informáticos.

Incendio en las instalaciones.

Fallas electrónicas en los equipos.

LÓGICO

Robo de información.

Virus Informáticos.

Accesos no autorizados a los computadores y servidores.

2.3 PROCEDIMIENTO DE SOPORTE TECNICO Inicio Recepción de equipos Creación de hoja de vida Instalación y Del equipo configuración Entrega al usuario Archivo de documentos Fin

2.3.1 INVENTARIO TECNOLOGICO

El inventario de tecnología es responsabilidad del coordinador de soporte técnico.

2.3.2 MANTENIMENTO PREVENTIVO DE HARDWARE Y SOFTWARE


Se realiza por medio del cronograma de mantenimiento preventivo de soporte. Las

evidencias quedan registradas en la hoja de vida de cada equipo.

2.3.3 MANTENIMIENTO CORRECTIVO DE HARDWARE Y SOFTWARE

Reporte de solicitud: el usuario reporta la solicitud.

Asigna responsable para la atención del incidente: de acuerdo a lo solicitud se le

asigna el técnico responsable de atender el incidente.

Asistencia técnica: realiza el diagnóstico para la atención de la solicitud. Realiza lo

necesario lo necesario para atender y solucionar el incidente.

Se le informa al usuario que el incidente ha sido solucionado: da a conocer al

usuario lo que se le hizo y realiza las pruebas pertinentes. Realiza el cierre del

servicio de soporte realizado.

2.3.4 ELEMENTOS DE ANALISIS PARA LA SEGURIDAD INFORMATICA

# | Amenaza | Consecuencias | Ambiente | Mecanismos | Factor

Humano |

1 | Ingreso de personas no autorizadas a las instalaciones | Robo de

equipos informáticos y de información | Institución privada, dedicada a la

ejecución de proyectos de obras civiles | Vigilantes en la institución |

Descuido |

2 | Personas que no corresponden al uso de determinado terminal |

Extracción de información ajena, ingreso de información falsa | Institución

privada, dedicada a la ejecución de proyectos de | Claves de seguridad de

acceso al terminal | Descuido |

3 | Virus informáticos | Eliminación de información | Institución privada,

dedicada a la ejecución de proyectos de | Antivirus | No utilización y

actualización de antivirus |

4 | Compartición de recursos y carpetas en la red | Eliminación, robo de

información. | Institución privada, dedicada a la ejecución de proyectos de |

Compartición de recursos con restricciones | Desconocimiento, personal

confiado. |


5 | Compartir las claves de acceso personal | Ingreso de personas ajenas

al equipo, manipulación de datos. | Institución privada, dedicada a la

ejecución de proyectos de | Asignar claves de acceso único para cada usuario. |

Personal confiado, desconocen consecuencias. |

6 | No existe responsable del área de seguridad informática | No se evalúa,

estudia y determina procedimientos y gestión de la seguridad de la información |

Institución privada, dedicada a la ejecución de proyectos de | Asignar las

funciones de la Seguridad de la Información a una o varias personas |

Descuido o falta de información de los directivos y administradores de la empresa

|

2.3.5 GENERACION DE BACKUPS DE PC

Cada proceso es responsable de su propia información. El departamento de

informática y sistema realiza backups de la información a los computadores del

personal administrativo de acuerdo al cronograma de mantenimiento preventivo.

2.4 PROGRAMA DE SEGURIDAD

| Amenaza | Pasos a tomar para asegurar la seguridad deseada |

1 | Ingreso de personas no autorizadas a las instalaciones | 1. Tener a

una persona que vigile la entrada del lugar de la Organización 2. Brindar de la

tecnología e instrumentos necesarios para control de personal ajeno. 3. Dotar de

radio comunicación |

2 | Personas que no corresponden al uso de determinado terminal | 1. No

abandonar puesto de trabajo. 2. Cerrar la sesión actual del usuario. 3. Mantener

la clave de usuario exclusivamente de carácter personal. |

3 | Virus informáticos | 1. Instalar antivirus. 2. Actualizar frecuentemente.

3. Si existe la posibilidad, instalar un antivirus Enterprise. |

4 | Compartición de recursos y carpetas en la red | 1. Compartir con

restricciones las carpetas 2. Evitar compartir carpetas de manera permanente. |


5 | Compartir las claves de acceso personal | 1. Asignar clave de

acceso al computador y que sea exclusivo para el usuario. 2. Definir los permisos

necesarios y requeridos por el usuario. 3. En caso de que el equipo será utilizado

por varios usuarios, cada uno tendrá definido su clave y usuario diferenciado. |

2.4.1 PLAN DE ACCION

| Amenaza | Acciones a llevar a cabo para implantar el programa de seguridad

|

1 | Ingreso de personas no autorizadas a las instalaciones | 1. Al vigilante

pedir carnet de identificación para ingresas a las instalaciones 2. Preguntar hacia

dónde y con quién quiere tomar contacto 3. Verificar maletas físicamente o

mediante equipos electrónicos, para verificar equipos sospechosos. 4. Entregar

la identificación y observar al usuario. |

2 | Personas que no corresponden al uso de determinado terminal | 1.

Supervisar la presencia del usuario en su puesto de trabajo. 2. Capacitar al

usuario en el uso de claves y accesos al sistema. |

3 | Virus informáticos | 1. Tener instalado un antivirus por defecto en el

terminal 2. Verificar con antivirus las unidades de almacenamiento portátiles. 3.

Programar eventualmente una revisión de las unidades de disco con el antivirus.

|

4 | Compartición de recursos y carpetas en la red | 1. Compartir con

restricciones las carpetas 2. Evitar compartir carpetas de manera permanente.

3. Capacitar al personal del uso de recursos compartidos. |

5 | Compartir las claves de acceso personal | 1. Realizar un análisis de

los reportes de los accesos del usuario al sistema, así como de vigilar si

efectivamente corresponde a los horarios de trabajo establecido |

2.4.2 TABLA DE GRUPO DE ACCESO

Se define las siguientes tablas de los grupos de trabajo que va a tener la empresa

en cuanto a los privilegios que tienen determinados usuarios con determinadas

funciones dentro de la empresa, estos son:


Recurso del Sistema | Grupo definido | Tipo de acceso | Permisos

Otorgados | Privilegio |

# | Ubicación | | | | |

1 | Medellín | Cta. Grupo cobranza | Local y remoto | Lectura y

escritura | Personal que se dedica a modificar la base de datos con los pagos

|

2 | Medellín | Cta. Grupo Administradores | Local y remoto | Lectura

y escritura | Acceso total ya que son los administradores. |

Recurso del Sistema | Grupo definido | Tipo de acceso | Permisos

Otorgados | Privilegio |

# | Ubicación | | | | |

2.4.3 GENERACION DE INFORME

Recibir la solicitud de los usuarios administrativos.

Analizar el reporte solicitado.

Generar la respectiva consulta o bloques de códigos u objetos de base de datos

(PL, SQL).

Verificar la veracidad de los datos generados.

Generar archivo en Excel.

Enviar reporte al usuario por mail.

2.5 PROCEDIMIENTO DE REDES Y CONECTIVIDAD

El área de redes y conectividad tiene como propósito ofrecer a la organización, el

servicio de conexión a la red LAN (Red de Área local), a través de este servicio de

le brinda a los usuarios poder contar con una o varias conexiones que pueden ser

físicas o inalámbricas mediante la cual pueden conectarse a la red de datos de la

organización.


El principal objetivo es llegar a todos los puestos de trabajo, en general una

conexión de calidad a la red de datos de la organización; igualmente de

responder de manera oportuna y adecuada ante cualquier fallo en la red de datos,

para lograr que los usuarios tenga un servicio de alta disponibilidad de excelente

desempeño y calidad con la tecnología de punta en la que invierte la organización.

2.5.1 DISTRIBUCION DE PUNTOS DE CONEXIÓN FISICO A LA RED

Solicitud de conexión: se recibe la solicitud a través del administrador de red o por

memorando.

Clasificar que tipo de solicitud ingresa:

Conectar un edificio a la red de la organización.

Adicionar un punto de red.

Habilitar un punto de red existente.

Habilitar conexión inalámbrica.

Falla de un punto de red existente.

Planear la ejecución del cableado: se realiza la planificación del cableado y se le

informa y se le informa al usuario a través del administrador de red. De ser

necesario se le pide apoyo de personal de soporte técnico.

Alistamiento de materiales los insumos y equipos necesarios: se alista las

herramientas, el material, los insumos y los equipos necesarios para el cableado,

en caso de hacer falta algo realizar el pedido.

Ejecución del cableado: se desplaza al sitio donde se debe ejecutar la solución

bajo los estándares de calidad que obedecen a las normas de cableado

estructurado.

2.5.2 VALORACION DE LOS ELEMENTOS DE LA RED

Los elementos y recursos informáticos que mantiene la empresa se encuentran

registrados en las siguientes tablas con sus respectivos niveles de riesgo de

seguridad.

Recurso del Sistema | Riesgo Ri | Importancia Wi | Riesgo Evaluado |

Descripción |


# | Equipo | | | | |

1 | Servidor de Base de Datos | 10 | 10 | 100 | El servidor de BD

brinda gestión y servicio comercial a la empresa, si es vulnerado los servicios

permanecerán inactivos hacia el cliente. |

2 | Terminales de trabajo | 5 | 3 | 15 | El terminal es el último

elemento de uso, puede ser vulnerado pero no afecta en forma crítica su pérdida,.

|

3 | Switch | 7 | 8 | 48 | Se puede reemplazar sin mayores

complicaciones, sin embargo si afecta las comunicaciones pero por poco periodo

de tiempo hasta su cambio. |

4 | Router de borde | 5 | 7 | 35 | Se perdería comunicación en un

punto específico de la red WAN pero la información no es alterada |

5 | Sistema electrónico de acceso restringido para el área de servidores | 4

| 7 | 28 | La información no es afectada, sin embargo el acceso estará

vulnerable, pero se pueden tomar otras medidas. |

6 | Sistema de comunicación inalámbrico | 4 | 8 | 32 | Las

comunicaciones inalámbricas se detienen y los servicios de la red se interrumpen

|

7 | Access point empresariales | 3 | 3 | 9 | Las comunicaciones

de datos de los equipos portátiles de interrumpen, sin embargo no es

transcendente. |

VALORACION GENERAL DE RIESGO

= 267 / 46 => 5.8 =~ 6 / 10

Se valora en un 60% de riesgo de pérdida de información conforme a la

evaluación y análisis de los parámetros que para el efecto se determinaron.


2.5.3 HERRAMIENTAS DE SOFTWARE DE MONITOREO A LA RED

La herramienta utilizada para verificar y comprobar la integridad del sistema será

el software TIGER y CPM, conforme a las pruebas y los resultados obtenidos:

TIGER.- Software que detecta problemas de seguridad de forma parecida a

COPS. Una vez chequeado el sistema, se genera un archivo con toda la

información recogida por el programa.

Tiger dispone de una herramienta (tigexp) que recibe como parámetro dicho

archivo y da una serie de explicaciones adicionales de cada línea que generó el

programa anterior. El programa viene con un archivo de configuración donde es

posible informarle qué tipo de chequeo se quiere realizar. Podemos comentar las

operaciones más lentas y ejecutar éstas de forma menos continuada, mientras

que las más rápidas pueden ser ejecutadas más frecuentemente.

CPM (Check Promiscuous Mode.- Chequea la interfaz de red de la máquina

descubriendo si está siendo utilizada en modo promiscuo (escuchando todo el

tráfico de la red).

Está herramienta es muy útil, porque nos alerta de la posible existencia de un

"sniffer" (olfateador) que intente capturar información en nuestra red como puedan

ser las passwords. Este programa debería ser ejecutado de forma periódica para

detectar lo antes posible el estado promiscuo en la placa de red. Una forma útil de

utilizarlo es mandarnos el resultado vía correo electrónico.

2.5.4 HERRAMIENTAS DE SOFTWARE PARA EL CONTROL DE ACCESO

SATAN (Security Administrator Tool for Analyzing Networks).- Es un software de

dominio público creado por Dan Farmer que chequea máquinas conectadas en red

y genera información sobre el tipo de máquina, qué servicios da cada máquina y

avisa de algunos fallos de seguridad que tengan dichas máquinas.

Instalar el software en un equipo preestablecido para ello.

La instalación será efectuada exclusivamente por el administrador de red.


El monitoreo y reportes generados serán realizados quincenalmente.

los reportes resúmenes serán entregados al administrador de la

Organización.

Los informes serán archivados de manera secuencial y ordenada.

ISS (Internet Security Scanner).- Es una herramienta de la cual existe versión de

dominio público que chequea una serie de servicios para comprobar el nivel de

seguridad que tiene esa máquina. ISS es capaz de chequear una dirección IP o un

rango de direcciones IP (en este caso se indican dos direcciones IP e ISS

chequeará todas las máquinas dentro de ese rango).

2.6 POLITICAS DE SEGURIDAD

Del Gerente y Administrador de la Organización:

Cumplir a hacer cumplir las normas, procedimientos y políticas de

seguridad informática para la organización.

Aprobar o censurar la propuesta de las políticas de seguridad.

Administración Tecnológica:

Estará conformada por el Gerente y Jefes de cada área, las cuales son

responsables de:

Velar por el funcionamiento de la tecnología informática que se utilice en

las diferentes áreas.

Elaborar y efectuar seguimiento del Plan Maestro de Informática

Definir estrategias y objetivos a corto, mediano y largo plazo

. Mantener la Arquitectura tecnológica

Controlar la calidad del servicio brindado

Mantener el Inventario actualizado de los recursos informáticos


Velar por el cumplimiento de las Políticas y Procedimientos

establecidos.

Adquisición de bienes informáticos:

La adquisición de equipos y tecnología se efectuará a través del

Gerente de Tecnología, y el Gerente General.

Los requerimientos tecnológicos los efectuará el Gerente de TI.

La Administración de Informática, al planear las operaciones relativas

a la adquisición de Bienes informáticos, establecerá prioridades y en

su selección deberá tomar en cuenta: estudio técnico, precio,

calidad, experiencia, desarrollo tecnológico, estándares y capacidad.

Sistema Operativo

El sistema operativo utilizado en la empresa será Microsoft Windows

Xp profesional, y Linux distribución Centos.

Base de datos:

El motor de base de datos será SQL server 2008

Lenguajes y herramientas de programación

Visual C++

Java

Macromedia Dreamweaver

Macromedia Fireworks

Java Decompiler

Utilitarios de oficina

Microsoft Office 2007

Open Office


Programas antivirus

McAfee profesional

Avast free

Navegadores de Internet

Internet Explorer

Mozilla

Google chorme

Compresores de archivos

Lzip

Instalaciones De Los Equipos De Cómputo

La instalación del equipo de cómputo, quedará sujeta a los siguientes

lineamientos:

Los equipos para uso interno se instalarán en lugares

adecuados, lejos de polvo y tráfico de personas.

La Administración de Informática, así como las áreas

operativas deberán contar con un croquis actualizado de las

instalaciones eléctricas y de comunicaciones del equipo de cómputo

en red.

Las instalaciones eléctricas y de comunicaciones, estarán

de preferencia fija o en su defecto resguardadas del paso de

personas o máquinas, y libres de cualquier interferencia eléctrica o

magnética.

Las instalaciones se apegarán estrictamente a los requerimientos de

los equipos, cuidando las especificaciones del cableado y de los

circuitos de protección necesarios.

En ningún caso se permitirán instalaciones improvisadas o

sobrecargadas.

La supervisión y control de las instalaciones se llevará a cabo en los

plazos y mediante los mecanismos que establezca el Comité.


Lineamientos En Informática: Información

La información almacenada en medios magnéticos se deberá

inventariar, anexando la descripción y las especificaciones de la

misma, clasificándola en tres categorías:

Información histórica para auditorias.

Información de interés de la organización.

Información de interés exclusivo de alguna área en particular.

Los jefes de área responsables de la información contenida en los

departamentos a su cargo, delimitarán las responsabilidades de sus

subordinados y determinarán quien está autorizado a efectuar

operaciones emergentes con dicha información tomando las medidas

de seguridad pertinentes.

Se establecen tres tipos de prioridad para la información:

En caso de información vital para el funcionamiento del área, se

deberán tener procesos colaborativos, así como tener el respaldo

diario de las modificaciones efectuadas, rotando los dispositivos de

respaldo y guardando respaldos históricos semanalmente.

El respaldo de la información ocasional o eventual queda a criterio

del área.

La información almacenada en medios magnéticos, de carácter

histórico, quedará documentada como activos del área y estará

debidamente resguardada en su lugar de almacenamiento.

Es obligación del responsable del área, la entrega conveniente de la

información, a quien le suceda en el cargo.

Ningún colaborador en proyectos de software y/o trabajos

específicos, deberá poseer, para usos no propios de su

responsabilidad, ningún material o información confidencial de la

organización tanto ahora como en el futuro.


Plan De Contingencias Informáticas

La Administración de Informática creará para los departamentos un

plan de contingencias informáticas que incluya al menos los

siguientes puntos:

Continuar con la operación del área con procedimientos informáticos

alternos.

Tener los respaldos de información en un lugar seguro, fuera del

lugar en el que se encuentran los equipos.

Tener el apoyo por medios magnéticos o en forma documental, de

las operaciones necesarias para reconstruir los archivos dañados.

Contar con un instructivo de operación para la detección de posibles

fallas, para que toda acción correctiva se efectúe con la mínima

degradación posible de los datos.

Contar con un directorio del personal interno y del personal externo

de soporte, al cual se pueda recurrir en el momento en que se

detecte cualquier anomalía.

Ejecutar pruebas de la funcionalidad del plan.

Mantener revisiones del plan a fin de efectuar las actualizaciones

respectivas.

Estrategias Informáticas

La estrategia informática de la organización se consolida en el Plan

Maestro de Informática y está orientada hacia los siguientes puntos:

Plataforma de Sistemas Abiertos (Portables).

Esquemas de operación bajo el concepto multicapas.

Estandarización de hardware, software base, utilitarios y estructuras

de datos

Intercambio de experiencias entre Departamentos.


Manejo de proyectos conjuntos con las diferentes áreas.

Programa de capacitación permanente para los colaboradores de la

organización.

Acceso Físico

Sólo al personal autorizado le está permitido el acceso a las

instalaciones donde se almacena la información confidencial de la

organización.

Sólo bajo la vigilancia de personal autorizado, puede el personal

externo entrar en las instalaciones donde se almacena la información

confidencial, y durante un período de tiempo justificado.

Identificadores De Usuario Y Contraseñas

Todos los usuarios con acceso a un sistema de información o a una

red informática, dispondrán de una única autorización de acceso

compuesta de identificador de usuario y contraseña.

Ningún usuario recibirá un identificador de acceso a la Red de

Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no

acepte formalmente la Política de Seguridad vigente.

Los usuarios tendrán acceso autorizado únicamente a aquellos datos

y recursos que precisen para el desarrollo de sus funciones,

conforme a los criterios establecidos por el responsable de la

información.

La longitud mínima de las contraseñas será igual o superior a ocho

caracteres, y estarán constituidas por combinación de caracteres

alfabéticos, numéricos y especiales.

Los identificadores para usuarios temporales se configurarán para un

corto período de tiempo. Una vez expirado dicho período, se

desactivarán de los sistemas.

Salida De Información


Toda salida de información (en soportes informáticos o por correo

electrónico) sólo podrá ser realizada por personal autorizado y será

necesaria la autorización formal del responsable del área del que

proviene.

Además, en la salida de datos especialmente protegidos (como son

los datos de carácter personal para los que el Reglamento requiere

medidas de seguridad de nivel alto), se deberán cifrar los mismos o

utilizar cualquier otro mecanismo que garantice que la información no

sea inteligible ni manipulada durante su transporte.

Uso Apropiado De Los Recursos

Los Recursos Informáticos, Datos, Software, Red Corporativa y

Sistemas de Comunicación Electrónica están disponibles

exclusivamente para cumplimentar las obligaciones y propósito de la

operativa para la que fueron diseñados e implantados. Todo el

personal usuario de dichos recursos debe saber que no tiene el

derecho de confidencialidad en su uso.

2.6.1 PROHIBICIONES

El uso de estos recursos para actividades no relacionadas con el

propósito del negocio, o bien con la extralimitación en su uso.

Las actividades, equipos o aplicaciones que no estén directamente

especificados como parte del Software o de los Estándares de los

Recursos Informáticos propios de la organización.

Introducir voluntariamente programas, virus, macros, applets,

controles ActiveX o cualquier otro dispositivo lógico o secuencia de

caracteres que causen o sean susceptibles de causar cualquier tipo

de alteración o daño en los Recursos Informáticos. El personal

contratado por la organización tendrá la obligación de utilizar los

programas antivirus y sus actualizaciones para prevenir la entrada en

los Sistemas de cualquier elemento destinado a destruir o corromper

los datos informáticos.

Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los

datos, programas o documentos electrónicos.


Albergar datos de carácter personal en las unidades locales de disco

de los computadores de trabajo.

Cualquier fichero introducido en la red corporativa o en el puesto de

trabajo del usuario a través de soportes automatizados, Internet,

correo electrónico o cualquier otro medio, deberá cumplir los

requisitos establecidos en estas normas y, en especial, las referidas

a propiedad intelectual y control de virus.

2.6.2 ACTUALIZACION DE LAS POLITICAS DE SEGURIDAD

Debido a la propia evolución de la tecnología y las amenazas de seguridad,

y a las nuevas aportaciones legales en la materia, la organización se

reserva el derecho a modificar esta Política cuando sea necesario. Los

cambios realizados en esta Política serán divulgados a todos los

colaboradores de la organización.

Es responsabilidad de cada uno de los colaboradores de la organización, la

lectura y conocimiento de la Política de Seguridad más reciente.

2.7 CONCLUSION

Las políticas de seguridad de la información descrita en el documento permitirán

un desenvolvimiento seguro de las transacciones digitales a través de la red de

datos. Los administradores y usuarios serán los principales responsables de

cumplir las PSI empresarial. El único objetivo es transcender la información valiosa

alimentada durante toda la carrera de la organización, por ello es importante el

análisis, gestión, actualización de normas y procedimientos según el andar

empresarial.

2.7.1 RECOMENDACIONES

Es recomendable la participación de todos y cada uno de los usuarios que

hacer uso activo de la tecnología dentro de la empresa. La supervisión del

cumplimiento de la PSI corresponde a los administradores.

Es necesario de parte de los Gerentes de TI socializar las nuevas normas y

procedimientos a los usuarios para que con ello exista la aceptación y

aplicación de las mismas.


No olvidar que las PSI son un proceso activo y dinámico, en donde los

factores sociales, de información, de participación, responsabilidad son

claves para mantener la información con el menor índice de riesgo.

Actualizar de forma constante, transparente y de acuerdo a las necesidades

existentes al momento, el manual de normas y políticas de seguridad

informática.

Crear un comité de seguridad de la información.

Asignar presupuesto para la gestión de seguridad de la información.

Fijar objetivos para salvaguardar la información.

Concienciar a los usuarios, en temas de seguridad, hacerles sentirse

responsables y parte de la organización.

Involucrar tanto al personal técnico, como directivos de la organización, o a

la alta gerencia en temas de seguridad.

Dar seguimiento a estándares internacionales sobre temas de seguridad de

la información.

Realizar pruebas de intrusión, locales y externas por el personal de la

organización de forma periódica.

Capacitar a los empleados de la organización, en temas de seguridad,

adoptando un estricto control de las técnicas más comunes de persuasión

de personal (ingeniería social).


Manual de luz redes

Documents

Transcript of Manual de luz redes