Proyecto Final

Recomendaciones para presentar la Actividad:

Enva el desarrollo de esta actividad a tu tutor@ en un documento de Word, que

llamars Proyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema

Santiago Valencia Rondon.

19/09/2015
Proyecto Final.
Manual de Procesos y Procedimientos.

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las

herramientas usadas para proteger los datos, y haber generado sus
procedimientos, est listo para generar la carta magna de la seguridad de
la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual

debe tener el estudio previo que se hizo para establecer la base del
sistema de seguridad, el programa de seguridad, el plan de accin,
las tablas de grupos de acceso, la valoracin de los elementos de la
red, los formatos de informes presentados a la gerencia para
establecer el sistema de seguridad, los procedimientos escogidos
para la red, as como las herramientas, y el desarrollo de cada
procedimiento en forma algortmica (agregue todo lo que considere
necesario). Recuerde que el manual de procedimientos es un proceso
dinmico, por lo que debe modular todos los contenidos en unidades
distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la
capacidad que tiene, como persona, de gestionar la seguridad de una red.
Guarde este documento, pues es su carta de presentacin para cualquier
empleo en el que se le exija experiencia.

1 Redes y seguridad
Proyecto Final

ACTIVIDAD
MANUAL DE PROCESOS Y PROCEDIMIENTOS

Proyecto final

Presentado por:
Santiago Valencia Rondon

Instructora:
Ayda Andrea Franco V.

SERVICIO NACIONAL DE APRENDIZAJE SENA

ANTIOQUIA / MEDELLN

Curso Virtual
Ficha: 1051346 - REDES Y SEGURIDAD

2 Redes y seguridad
Proyecto Final

19/09/2015

INTRODUCCIN
Las redes en el mundo han mostrado un gran progreso, la posibilidad de
comunicarse a travs de la red ha abierto mucho horizontes a las empresas
para mejorar su productividad y poder expandirse a muchos pases, debido a
esto hay que garantizar la seguridad de la informacin que se trabaja da a da,
estos riesgos nos han llevado a implementar nuevos procedimientos que nos
van a ayudar en el adecuado uso de los sistemas tecnolgicos y de las redes
en general, la cual consisten en compartir recursos, y que todos los programas,
datos y equipo estn disponibles para cualquiera de la red que as lo solicite,
sin importar la localizacin del recurso y del usuario.

Tambin consiste en proporcionar una alta fiabilidad, al contar con fuentes

alternativas de suministro. Adems, la presencia de mltiples CPU significa que
si una de ellas deja de funcionar, las otras pueden ser capaces de encargarse
de su trabajo, aunque se tenga un rendimiento menor. Este manual fue
elaborado con nociones Bsicas de Seguridad en redes informticas,
recogiendo los principales conceptos y recomendaciones de los problemas que
se pueden presentar en una red, con el fin de informar a los trabajadores sobre
los riesgos ms comunes y sus medidas preventivas.

Por esta razn, hay que salir adelante con un buen Manual de Procedimientos,
donde se haga un estudio por anticipado de la entidad, para ver los riesgos a
los que est expuesto en cuestiones de seguridad, as como un buen plan
detallado de las acciones que debe tomar cada miembro de la entidad.

3 Redes y seguridad
Proyecto Final

OBJETIVOS

Se har todo lo posible por manejar un lenguaje sencillo, que sea de

fcil asimilacin con el fin de que sea aplicado por todos. Aunque no
sobra decir que se necesita compromiso para estar dispuesto a aportar
en lo que sea posible a evitar la entrada de personas malintencionadas a
nuestra institucin, y reforzar nuestro nivel de seguridad informtico.

El objetivo principal de nuestro proyecto es entregarles un Manual de

Procesos y Procedimientos con el fin de que todos lo puedan estudiar y
as garantizar la seguridad en la informacin y en los datos de nuestra
empresa.

Implementar y proponen estrategias que ayuden a proteger el sistema

contra posibles ataques.

4 Redes y seguridad
Proyecto Final

ANTECEDENTES
(ESTUDIO PREVIO)

Nuestra empresa EN CORE, es una empresa colombiana que presta

servicios para la investigacin tecnolgica para las empresas del pas, su sede
principal se encuentra en la ciudad de Medelln, la empresa est en proceso de
expansin, se estn construyendo dos sucursales ms en la ciudad y otra ms
en la capital del pas, en las que utilizamos la topologa de red en estrella, por
el control que permite sobre la red, y la posibilidad de agregar o quitar equipos
a la red sin afectar los dems equipos; por alcance utilizamos la red MAN, por
lo de las sucursales que se van a manejar, por relacin funcional utilizaremos la
relacin cliente- servidor, para poder hacer un seguimiento a la seguridad de la
red a travs de un servidor.

En nuestra empresa manejamos datos importantes, informacin privada y de

uso exclusivo, por lo que debemos cuidar tanto los lugares de almacenamiento
fsico como lgico de la informacin. Por ello exponemos a continuacin lo que
encontramos para poder ejecutar nuestro Manual de Procedimientos.
* Los elementos estn expuestos a posibles daos por el ambiente, como la
humedad o temperatura.
* No hay un sistema que regule el nivel de seguridad de las contraseas de los
usuarios.
* Se evidencias cuentas pasivas, o que han dejado de ser utilizadas durante
mucho tiempo.
* No se lleva un control de las pginas de internet que visitan los empleados,
as como del contenido descargado por los mismos, y del horario que utilizan la
red.
* El personal encargado de la vigilancia, no lleva un control de lo que sacan los
empleados de la empresa, hablamos de material original, copias, o digital.
5 Redes y seguridad
Proyecto Final

* Se evidenci que muchos usuarios tienen su login y contrasea en lugar

visible, lo que facilita la suplantacin.
* No hay control escrito de entrada y salida, no existe tal registro de manera
escrita, con sus respectivas firmas.
* No hay un plan de emergencia visible.
* Las copias de seguridad se guardan en el mismo sitio de donde se realizan.

PROGRAMA DE SEGURIDAD Y PLAN DE ACCIN

ESTUDIO DEL SISTEMA DE SEGURIDAD.
En esta empresa un mecanismo para evitar que la seguridad sea un factor de
riesgo hay que facilitar la formalizacin de los empleados para que ellos
materialicen las Polticas de Seguridad Informtica, por otra parte hay una gran
cantidad de inconvenientes porque las personas no se acoplan al cambio y no
les gusta regirse a los avances; Si realmente quiere que las PSI sean
aceptadas, debemos realizar una integracin en la empresa con la misin,
visin y objetivos estratgicos. Por lo anterior es muy importante saber las
clases de riesgo tiene la empresa como lo descritos a continuacin:
Mucha informacin confidencial puede ser observada y alterada
continuamente por otros usuarios.
Se puede suplantar con facilidad la identidad de los usuarios o
administradores.
No hay restriccin a personas ajenas a la empresa.
Los equipos de cmputo son el punto ms dbil en la seguridad porque se
maneja personal variado.
No hay niveles de jerarqua entre jefes, administradores y usuarios.
En los sistemas de cmputo la informacin est completamente abierta.
No hay responsabilidades en los cargos de las distintas dependencias y se
delegaran a sus subordinados sin autorizacin.
No se cuenta con un programa de mantenimiento preventivo y correctivo de
los sistemas de cmputo.
La falla contina por no tener las normas elctricas bien aplicadas; dan pie
a cortes de electricidad sin previo aviso.
6 Redes y seguridad
Proyecto Final

 PROGRAMA DE SEGURIDAD.

La seguridad en la informacin, es un concepto relacionado con los

componentes del sistema (hardware), las aplicaciones utilizadas en este
(software) y la capacitacin del personal que se encargara del manejo de los
equipos. Por esta razn un paso primordial es establecer normas y estndares
que permitan obtener un manejo seguro de toda la infraestructura de
comunicacin, la informacin, y por consiguiente los recursos de la empresa.
Se han convertido en un activo de altsimo valor, de tal forma que, la empresa
no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y
administrar la informacin necesaria para garantizar su integridad,
confidencialidad y disponibilidad.
El presentar bases, normas de uso y seguridad informticas dentro de la
empresa respecto a la manipulacin, uso de aplicaciones y equipos
computacionales permitir el buen desarrollo de los procesos informticos y
elevar el nivel de seguridad de los mismos y as preservar la informacin y los
diferentes recursos informticos con que cuenta la Empresa.
PLAN DE ACCIN.
El propsito de este plan de accin es asegurar que los funcionarios utilicen
correctamente los recursos tecnolgicos que la empresa pone a su disposicin,
este ser de obligatorio cumplimiento y el usuario que incumpla deber
responder por los daos causados a el sistema informtico de la empresa, y
tendr acciones disciplinarias y penales ante la ley. En el plan de accin a
seguir de la empresa adoptaremos los siguientes pasos:
Crear una cuenta para cada usuario la cual, impedir que pueda daar al
sistema o a otros usuarios, y le dar solo los recursos necesarios para la
labor asignada.
En esta cuenta de usuario se asignaran permisos o privilegios al usuario
para acceder a los sistemas de informacin y desarrollar actividades
dentro de ellas de forma personalizada.
7 Redes y seguridad
Proyecto Final

 Implementar una base de datos de usuario, esto permite realizar

seguimiento y control.
Para la creacin de cuentas se deber enviar una solicitud a la oficina de
Sistemas, con el visto bueno del jefe de cada rea, donde se bebe resaltar
los privilegios que va a tener el usuario.
Cuando un usuario reciba una cuenta, deber acercarse a la oficina de
sistema para informarle las responsabilidades y el uso de esta.
Por ningn motivo se conceder una cuenta a personas ajenas a la
empresa.
El departamento de Recursos Humanos debe informar al departamento de
Sistemas los funcionarios que dejan de laborar, para desactivarle la
cuenta.
El acceso a internet se permitir al personal que lo necesite este ser de
uso laboral y no personal, con el fin de no saturar el ancho de banda.
No acceder a pginas de entretenimiento, pornografa, o que estn fuera
del contexto laboral.
No se descargara informacin en archivos adjuntos
procedencia, esto para evitar el ingreso de virus al equipo.

de

dudosa

Ningn usuario est autorizado para instalar software en su ordenador. El

usuario que necesite algn programa especfico para desarrollar su
actividad laboral, deber comunicarlo al Departamento de Sistemas.
Los empleados de la Empresa solo tendrn acceso a la informacin
necesaria para el desarrollo de sus actividades.
Ningn empleado debe instalar ningn programa para ver vdeos, msica o
juegos va Internet.
se debe utilizar el correo electrnico como una herramienta de trabajo, y no
para recibir mensajes de amigos y familiares, para eso est el correo
personal.
No enviar archivos de gran tamao a compaeros de oficina, esto ocupa
mucho espacio en la banda.
8 Redes y seguridad
Proyecto Final

 No participar en la propagacin de mensajes encadenados o de esquemas

de pirmides.

No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que

podran contener cdigos maliciosos.
El acceso a las cuentas personales no debe hacerse en jornadas laborales
ni en los equipo de la empresa.
Cuando el usuario deje de usar su estacin de trabajo deber cerrar y
verificar el cierre del correo, para evitar que otra persona use su cuenta.
Se debe mantener los mensajes que se desea conservar, agrupndolos por
temas en carpetas personales.
El departamento de Sistemas determinar el tamao mximo que deben
tener los mensajes del correo electrnico.
Los mensajes tendrn una vigencia de 30 das desde la fecha de entrega o
recepcin. Terminada la fecha, los mensajes debern ser eliminados del
servidor de correo.
Se creara una carpeta compartida para todos los empleados esta es de uso
laboral para compartir tareas y no para almacenar cosas personales o
innecesarias.
Tambin se crearan unas subcarpetas compartidas de cada departamento,
jefes, supervisores y administradores pero se crearan privilegio para el uso
de estas.
A la informacin vital se le realizara una copia de seguridad todos los fines
de semana, con el fin de proteger, tener respaldo de los datos y el buen
manejo de la red.
La informacin que se guarde en la red y no sea utilizada, debe eliminarse
y guardarla ya sea en el equipo o en memorias USB, para no mantener la
red llena.

9 Redes y seguridad
Proyecto Final

 No modificar ni manipular archivos que se encuentren en la red que no

sean de su propiedad.
Los usuarios no pueden instalar, suprimir o modificar el software entregado
en su computador.
No se puede instalar ni conectar dispositivos o partes diferentes a las
entregadas en los equipos.
No es permitido abrir la tapa de los equipos, y retirar parte de estos por
personal diferente al departamento de sistemas.
Los equipos, escner, impresoras, lectoras y equipos de comunicacin no
podrn ser trasladados del sitio que se les asign inicialmente, sin previa
autorizacin del departamento de sistemas o seguridad.
Se debe garantizar la estabilidad y buen funcionamiento de las
instalaciones elctricas, asegurando que los equipos estn conectados a
una corriente regulada, o Ups.
Los equipos deben estar ubicados en sitios adecuados, evitando la
exposicin al agua, polvo o calor excesivo.
Ningn usuario, podr formatear los discos duros de los computadores.
Ningn usuario podr retirar partes o usar los equipos de comunicacin
para uso personal sin la autorizacin del departamento de sistemas.
A los equipos personales no se les brindar soporte de ninguna ndole: ni
de hardware ni de software, porque son responsabilidad del dueo.
La direccin IP asignada a cada equipo debe ser conservada y no se debe
cambiar sin la autorizacin del departamento de Sistemas porque esto
ocasionara conflictos y esto alterara el flujo de la red.
No llenar el espacio de disco del equipo con msica ni videos, ni
informacin personal que no sea necesaria para el desarrollo de sus tareas
con respecto a la entidad.
Se capacitara al personal para tener un anlisis previo y evaluar en qu
parte es necesario mejorar o resolver un problema.
10 Redes y seguridad
Proyecto Final

 Dar una capacitacin de la actividad a desarrollarse y en la que cada

funcionario se va a desempear especficamente.
Es estrictamente obligatorio, informar oportunamente al departamento de
sistemas las novedades por problemas elctricos, tcnicos, de planta fsica,
etc. que altere la correcta funcionalidad del sistema.

MANUAL DE PROCEDIMIENTOS

Procedimiento para que los clientes o personas ajenas a la entidad,

estn lejos de las reas de trabajo, para prevenir el espionaje o el robo
de terceros.

Procedimiento para instalar los equipos de uso interno en lugares

adecuados, libres del polvo y la humedad.

Procedimiento para bloquear pginas pornogrficas, redes sociales, o

descargas de link desconocidos.

Procedimiento para cambiar peridicamente las claves de seguridad, y

dar de baja a las que lleven tiempo sin ser usadas, no dejar cuentas
para usuarios invitados.

Procedimiento para supervisar los documentos que son sacados de la

entidad, prohibido sacar copias y distribuirlas a terceros.

11 Redes y seguridad
Proyecto Final

Procedimiento para controlar el acceso a internet despus de jornadas

laborales.

Procedimiento para monitorear el trfico de informacin, o los puertos

utilizados.

VALORACION DE ELEMENTOS DE LA RED

Es necesario que se conozcan los elementos principales de la red y el

valor que se le dan a los mismos, por eso elaboramos esta tabla
sencilla para explicarlo.

Nmero

Nombre

Nivel de
importancia
del recurso
(R1)

Severidad
de la
prdida
(w1)

Riesgo
evaluado
R1 * W1

Bridge

10

Computador

24

Switch

30

Router

48

Servidor

10

10

100

12 Redes y seguridad
Proyecto Final

1) nivel medio, es el encargado de la interconexin de redes en los

computadores, transfiere datos de una red a otra. Si llegara a
averiarse se vera afectada la red, pero puede ser fcilmente
cambiado el puente.

2) su nivel de importancia es bajo, ya que en una empresa hay varios

equipos que pueden realizar dicha labor, adems, se recurre a la
copia de seguridad de datos. Si llegara a perderse o daarse se corre
el riesgo de perder informacin importante para la empresa, y tiempo
que se gastara en configurarlo nuevamente.

3) el nivel de conexin que maneja es medio, este proporciona la

conexin de varios equipos en un solo recurso. Recibe conexin del
router para conectar en red a los dems equipos. Si se llegara a daar
no habr otro elemento que lo reemplace perdiendo as la conexin
de otros equipos.

4) maneja la red de la empresa, si se pierde o daa podra ocasionar

graves daos a la red y por supuesto a la informacin.

5) se le da el mximo de importancia en ambos caso, ya que adems

de costoso, es primordial por la informacin que maneja, an hasta
de los otros equipo, sin olvidar lo costoso que es conseguirlo.

13 Redes y seguridad
Proyecto Final

TABLA DE GRUPO DE ACCESO

Nmero

Nombre

Riesgo

Tipo de
acceso

Permisos
otorgados

Informacin
personal
administrativ
a.

Gerencia,
jefe de
personal

local

Lectura y
escritura

Base de
datos

Gerencia,
grupo de
auditores

Local y
remoto

Lectura

Archivo fsico

Secretaria,
gerencia,
auditores

Local

Lectura y
escritura

Computadore
s

Empleados
con usuario y
login

local

Manejo sin
descargar
link
diferentes a
la entidad

internet

Empleados
con usuario y
login

Local y
remoto

Manejo
institucional

DEMONIOS PARA LA RED

(Qu son y para qu se utilizan)
14 Redes y seguridad
Proyecto Final

TELNET: se crea una conexin entre cliente y servidor que sirve para transferir
informacin, su login y passwords para acceder al sistema son asignados por el
demonio, lo cual sera una desventaja ya que un cracker puede instalar un
snifer en la red, y pueda tener acceso al login y contrasea ya que estas
estn en la red; afortunadamente para esto se puede usar un programa que
encripte las contraseas y las envi una sola vez por red, as de esta manera
se obtendr una sola vez la contrasea.

ARGUS: Esta herramienta nos permite auditar el trfico IP que se produce en

nuestra red, mostrndonos todas las conexiones del tipo indicado que
descubre, mandando as la captura de paquetes IP donde se puede especificar
condiciones de filtrado como protocolos especficos, nombres de mquinas.

SATAN: Esta herramienta nos permite chequear las mquinas que estn
conectadas a la red, genera informacin sobre el tipo de mquina conectada,
los servicios que presta cada una, y la herramienta quiz ms importante,
permite detectar fallos de seguridad. Sus datos se muestran en un navegador,
por lo que su lectura es sencilla. Se detecta la vulnerabilidad y su posible
solucin.

HERRAMIENTAS PARA LA RED Y PROCEDIMENTOS

Las siguientes herramientas sirven para generar un control de acceso.

15 Redes y seguridad
Proyecto Final

TCP-WRAPPER: Esta herramienta nos permite controlar y monitorear el trfico

de las redes de nuestra organizacin y nos permite tener un control sobre las
conexiones que se generan en la misma. Es de gran ayuda ya que restringe la
conexin de sistemas no deseados a servicios de nuestra red. Una de las
ventajas de este programa es que nos deja un registro de las conexiones que
se hicieron en la red, as como a los servicios y de la mquina de los que se
intent acceder.

Procedimiento para instalar Tcp-Wapper y que los tcnicos definan las reglas
para la eficiencia del filtrado de elementos y la proteccin del mismo.

SATAN: chequea las mquinas que estn conectadas a la red, detecta la

vulnerabilidad y la marca como insegura, se genera un registro y su posible
solucin.

Procedimiento para instalar Satan con el fin de detectar posibles accesos de

otras mquinas no permitidas.

COURTNEY: detecta el uso de las topologas de redes, permite detectar la

mquina que genera el ataque Satan, a partir de informacin pasada por el
programa TcpDump, el programa genera un aviso.

Procedimiento para instalar Courtney y detectar chequeos de puertos en un

lapso corto de tiempo.

Las siguientes herramientas sirven para chequear la integridad del sistema.

16 Redes y seguridad
Proyecto Final

COPS: chequea aspectos de seguridad con el sistema operativo Unix, como

permisos a determinados archivos, permisos de escritura y lectura sobre
elementos importantes de la configuracin de red.

Procedimiento para instalar Cops, si se maneja el sistema operativo Unix, con

el fin de mantener la seguridad en la red.

CRACK: esta herramienta permite medir la seguridad de las contraseas, y

chequear la seguridad del sistema.

Procedimiento para instalar Crack y hacer un barrido peridico del mismo, el

tcnico deber avisar a cada usuario cuando sea necesario cambiar su
contrasea por una ms segura.

TRIPWIRE: detecta cualquier cambio o modificacin en el sistema de archivos,

genera una base de datos con una firma por cada elemento en el sistema de
archivos, informacin valiosa para una futura comparacin de la base de datos
y as detectar modificaciones en los mismos.

Procedimiento para instalar Tripwire, y crear una base de datos main donde
se hagan comparaciones peridicas con el fin de detectar cambios, y actualizar
17 Redes y seguridad
Proyecto Final

la misma cada vez que ingrese un nuevo elemento autorizado a la

organizacin.

OSH: permite indicar al administrador de red cuales son los comandos que
puede ejecutar cada usuario de red.

Procedimiento para informar a los empleados el archivo generado con los

permisos otorgados y la informacin sobre si puede o no ejecutarlos.

GLOSARIO.
Cracker: Un "cracker" es una persona que intenta acceder a un sistema
informtico sin autorizacin. Estas personas tienen a menudo malas
intenciones, en contraste con los "hackers", y suelen disponer de muchos
medios para introducirse en un sistema.
Hacker: Persona que tiene un conocimiento profundo acerca del
funcionamiento de redes y que puede advertir los errores y fallas de
seguridad del mismo. Al igual que un cracker busca acceder por diversas
vas a los sistemas informticos pero con fines de protagonismo
contratado.
18 Redes y seguridad
Proyecto Final

 Local rea Network (LAN): (Red de datos para dar servicio a un rea
geogrfica pequea, un edificio por ejemplo, por lo cual mejorar de rea
Local) los protocolos de seal de la red para llegar a velocidades de
transmisin de hasta 100 Mbps (100 millones de bits por segundo).
SATAN (Security Analysis Tool for Auditing Networks): Herramienta de
Anlisis de Seguridad para la Auditoria de redes. Conjunto de programas
escritos por Dan Farmer junto con Wietse Venema para la deteccin de
problemas relacionados con la seguridad.
TCP/IP (Transmisin Control Protocol/Internet Protocol): Arquitectura
de red desarrollada por la "Defense Advanced Research Projects Agency"
en USA, es el conjunto de protocolos bsicos de Internet o de una Intranet.
Trojan Horse (Caballo de Troya): programa informtico que lleva en su
interior la lgica necesaria para que el creador del programa pueda acceder
al interior del sistema que lo procesa.
Intranet: Una red privada dentro de una compaa u organizacin que
utiliza el mismo software que se encuentra en Internet, pero que es solo
para uso interno.

CONCLUSIN

Con el anterior estudio, esperamos que la empresa se concientice de los

graves riesgos que corre con los datos y la informacin que maneja, por eso
creamos conciencia con el estudio previo, se mostr el valor de sus elementos,
lo que se poda presentar y cmo solucionarlo a tiempo.

El manual de procedimientos debe ser aplicado por cada miembro de la

institucin, donde se vern excelentes resultados, a corto y largo plazo.
19 Redes y seguridad
Proyecto Final

Esperamos haber logrado nuestro objetivo, principalmente concientizar a cada

empleado para que ponga en funcionamiento cada parte del manual de
procesos y procedimientos.

20 Redes y seguridad
Proyecto Final