Proyecto Final
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un docume...
INTRODUCCIÓN
En este manual de procedimientos encontraran de forma clara y precisa en la cual será
administrada los sistem...
RECURSO DEL SISTEMA

RIESGO (R,)

TIPO DE
ACCESO

PERMISOS OTORGADOS

NÚMERO

NOMBRE

1

Libre navegación en la web

Grupo...
CREACIÓN DE “LOGIN” CUENTAS DE USUARIO
Es importante que cada trabajador que labore en un sistema de cómputo cuente con
un...
CREACIÓN DE LA CUENTA DEL CORREO CORPORATIVO:
Es de importancia que la empresa cuente con un correo corporativo ya que los...
PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS
Cuando ingresa nuevo personal a la empresa el jefe de dicha área o departamento s...
ARANDA SOFTWARE
Se utilizarán los módulos de Aranda para llevar un control preciso tanto en software
como en hardware, hay...
NETLOG
Como hay ataques a la red a gran velocidad haciendo en ocasiones imposible de
detectar, esta herramienta es indispe...
 Routers: Creo que hoy día la internet se ha vuelto un factor muy
importante tanto en la vida de una persona como en las ...
Próxima SlideShare
Cargando en…5
×

Proyecto final crs (1)

1.977 visualizaciones

Publicado el

Publicado en: Educación
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
1.977
En SlideShare
0
De insertados
0
Número de insertados
3
Acciones
Compartido
0
Descargas
121
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Proyecto final crs (1)

  1. 1. Proyecto Final Recomendaciones para presentar la Actividad: Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarásProyecto Final. Procura marcar siempre tus trabajos con un encabezado como el siguiente: Nombre Fecha Actividad Tema Milton Leonel Ibarra Barreto 26/10/13 Proyecto Final Construir un manual de procedimientos para una organización Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta magna” de la seguridad de la red: El manual de procedimientos. Proyecto Final 1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario. Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentación para cualquier empleo en el que se le exija experiencia. 1 Redes y seguridad Proyecto Final
  2. 2. INTRODUCCIÓN En este manual de procedimientos encontraran de forma clara y precisa en la cual será administrada los sistemas de información de esta empresa para brindar una mayor seguridad de su información y la manera de cómo controlar sus activos tecnológicos tanto a nivel de hardware como de software. Se debe tener en cuenta que hoy día las leyes que vigilan la autoría de software cada vez son más rígidas y es por eso que se crearan unas buenas maneras de proceder y evitar que su empresa sea penalizada con altas sumas de dinero; usted podrá tener control de su información, del software que se instala, entre otros. DIRECTORIO ACTIVO DOMINIO Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. Active Directory permite a los administradores establecer políticas a nivel de empresa, desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una organización entera. Un Active Directory almacena información de una organización en una base de datos central, organizada y accesible. El dominio es un conjunto de ordenadores conectados en una red que confían a uno de los equipos de dicha red la administración de los usuarios y los privilegios que cada uno de los usuarios tiene en dicha red. Muy importante crear grupos de usuarios para acceder a determinados recursos de la organización. 2 Redes y seguridad Proyecto Final
  3. 3. RECURSO DEL SISTEMA RIESGO (R,) TIPO DE ACCESO PERMISOS OTORGADOS NÚMERO NOMBRE 1 Libre navegación en la web Grupo de personal Administrativo Web Libre navegación, Grupo de Avanzados 2 Servidores Grupo de Administradores de Informática Local y remoto Lectura y escritura 3 Switches, routers Grupo de Administradores del área de Telecomunicaciones Local y Remoto Lectura y escritura 4 Oracle Grupo de administradores Local y remoto Lectura y escritura 5 Bases de datos que funcionan con Oracle Personal que ingresa datos Local Lectura y escritura 6 Bases de datos que funcionan con Oracle Personal de atención al usuario Local Lectura 7 Servidor de Aplicaciones Grupo de HelpDesk local Y remoto Lectura y escritura 8 Página web corporativa Grupo Web Master Local y remoto Lectura y escritura 9 Inventario de Activos (hardware) Grupo de Inventarios local Y remoto Lectura y escritura 10 Navegación Web Personal de atención al usuario Web Sólo a la página corporativa 3 Redes y seguridad Proyecto Final
  4. 4. CREACIÓN DE “LOGIN” CUENTAS DE USUARIO Es importante que cada trabajador que labore en un sistema de cómputo cuente con una cuenta de usuario corporativo, esto con el fin de controlar el acceso de cada persona, y evitar suplantaciones de identidad. Para creación de la cuenta de usuario se procedería de la siguiente manera: El ingeniero encargado del Directorio Activo deberá solicitar los siguientes datos a cada individuo:  Nombres y apellidos completos  Cargo  Área o departamento donde ejercerá labores  Extensión (teléfono)  Correo electrónico  Fecha de ingreso y terminación de contrato  Tipo de contrato Con estos datos el Administrador del Directorio Activo creará una cuenta de usuario de la siguiente forma:  Letra inicial del primer nombre  Primer apellido completo  Letra inicial del segundo apellido En caso tal de que suceda una credencial idéntica se le agregará una letra más del segundo apellido. La contraseña que se le brindará será por defecto el nombre de la empresa con la letra inicial en mayúscula y acompañada del año presente. Cuando el usuario ingrese por primera vez se le solicitará cambiarla inmediatamente; esto lo hará de forma automática, además se le dará al usuario con esto de que sólo él tenga conocimiento de la misma y al mismo tiempo sensibilizarlo de su responsabilidad sobre la información en la cual trabaje. Los demás datos le serán de mucha utilidad al Administrador del D.A para tener conocimiento de cuando esta cuenta caducará y así poder inhabilitarla o eliminarla evitando que se produzca una suplantación de identidad. 4 Redes y seguridad Proyecto Final
  5. 5. CREACIÓN DE LA CUENTA DEL CORREO CORPORATIVO: Es de importancia que la empresa cuente con un correo corporativo ya que los datos de una empresa son estrictamente confidenciales y por tal deben permanecer en el dominio de la entidad. Para creación de la cuenta de correo corporativo se procedería de la siguiente manera: El Administrador del correo deberá solicitar los siguientes datos a cada individuo:  Nombres y apellidos completos  Cargo  Área o departamento donde ejercerá labores  Extensión (teléfono)  Fecha de ingreso y terminación de contrato  Tipo de contrato  Con estos datos el Administrador del correo corporativo creará un ID (identificación) de la siguiente forma:  Primer nombre completo  Utilizará un carácter el cual será el (.)  El primer apellido completo En caso tal de que suceda un ID idéntico se le agregará una letra más del segundo apellido y así sucesivamente. NOMBRE Luis Gabriel 1°APELLIDO 2°APELLIDO ID CORREO Santana Verduga LUIS_SANTANA@NOMBRE DE LA EMPRESA.COM.EC Luis Fernando Vélez 5 Roldan Redes y seguridad Proyecto Final LUIS_VELEZ@NOMBRE DE LA EMPRESA.COM.EC
  6. 6. PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS Cuando ingresa nuevo personal a la empresa el jefe de dicha área o departamento será el encargado de enviar una solicitud por correo electrónico al área de informática, este correo debe llegar tanto al encargado de los bienes tecnológicos como al jefe de dicha área (Informática). Inmediatamente el agente de soporte técnico empezará a preparar la máquina con los programas solicitados, incluyendo el correo, corporativo, impresora y el S.O con todas sus actualizaciones (parches de seguridad). Además antes de entregar el equipo de cómputo el usuario deberá firmar un acta en la cual se describe las partes esenciales con sus respectivos seriales. El formato utilizado aplica también para cuando una persona realiza un reintegro al área de sistemas. PROCEDIMIENTO PARA SOPORTE TÉCNICO Se implementará una mesa de ayuda de 3 niveles de los cuales se dividen así: PRIMER NIVEL Por medio de la línea telefónica que se habilitará los usuarios que llamen recibirán asistencia remota hasta donde lo permita la situación, en este caso el incidente que se presenta, si no se resuelve de forma oportuna el servicio que el usuario necesita se deberá tomar los datos del usuario y registrarlo en el software de incidentes para que el segundo nivel se haga cargo. SEGUNDO NIVEL Interviene el Agente de soporte en sitio, el cuál brindará atención de una forma amable y educada y resolver el incidente que se presente. El agente de soporte en sitio se encargará fuera de resolver el incidente, el de verificar que el sistema local esté sin problemas, es decir, mirar que el equipo no presente demás fallas para así evitar el llamado concurrente del usuario. Si el segundo nivel no puede dar solución al incidente se escalará el servicio al tercer nivel. TERCER NIVEL En este nivel encontramos a los administradores de servidores. HERRAMIENTAS PARA CONTROL Las herramientas para uso de administración de redes, será única y exclusivamente para el personal administrativo del área de redes y sobre ellos caerá toda responsabilidad por el uso de la misma. 6 Redes y seguridad Proyecto Final
  7. 7. ARANDA SOFTWARE Se utilizarán los módulos de Aranda para llevar un control preciso tanto en software como en hardware, hay que tener en cuenta que se deberá instalar en cada máquina (computador) un agente el cual recogerá toda la información a nivel de software y hardware. MODULO METRIX Recoge información del software que tenga instalado cada equipo, esto nos ayudará a tener control sobre los programas que se instalen ya que la idea aquí es evitar que la empresa se vea sancionada por no tener un óptimo control sobre este tema. Debemos tener muy claro que no todos los usuarios tendrán los mismos permisos ya que dependiendo del área donde se encuentren tendrán credenciales con ciertos privilegios. Es importante que el administrador este pendiente de los programas que se manejen en la empresa. Recuerden que no todos los programas que son gratis, son libres de utilizarlos en una empresa, llevando un buen control se evitaría sanciones penales. MÓDULO NETWORK Permite conocer los dispositivos de red en un diagrama topológico que permite las vistas de routers, Switches, servidores, estaciones de trabajo y servicios. Este software permite encontrar fallas en la red rápidamente, además son éste se puede administrar dispositivos conectados a la red de una entidad, como routers, Switches, estaciones de trabajo, impresoras, entre otros. Permite obtener reportes críticos sobre la red, además de identificar que puertos están en funcionamiento o no y errores que estos presentan. Identifica cualquier máquina que se conecte en un punto de red, enviando información a los administradores de la misma, esta información es:         Identificador Nombre del dispositivo Ubicación Descripción Fabricante Tipo de dispositivo IP MAC, entre otros. 7 Redes y seguridad Proyecto Final
  8. 8. NETLOG Como hay ataques a la red a gran velocidad haciendo en ocasiones imposible de detectar, esta herramienta es indispensable pues nos permite ver paquetes que circulan por la red y determinar si son sospechosos, peligrosos o si es un ataque que se produjo. GABRIEL Como sabemos que el Daemon SATAN es excelente necesitamos una herramienta que contrarreste a éste identificándolo, pues al instalar este demonio cliente-servidor será más fácil identificar la máquina que está siendo atacada y evitar que se propague. CRACK Esta herramienta es muy útil para implementar la cultura en los usuarios de generar contraseñas óptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa. TRINUX Será muy útil para controlar el tráfico de correos electrónicos entrantes y salientes, evitar el robo de contraseñas y la intercepción de correos, esta herramienta nos evitaría un DoS que haría colapsar los sistemas de una empresa. VALORACIÓN DE LOS ELEMENTOS RECURSO DEL SISTEMA NÚMERO NOMBRE 1 Servidor 2 Servidor Espejo 3 Estaciones de Trabajo 4 Routers 5 Impresoras RIESGO (R,) R1= 10 R1= 10 R3= 9 R4= 8 R5= 7 IMPORTANCIA (W,) W1= 10 W1= 10 W3= 10 W4=9 W5= 8 RIESGO EVALUADO (R,*W,) 100 100 90 72 56  Tanto el servidor como su espejo son activos importantes ya que sin estos una empresa queda paralizada. Si se presentara alguna falla en el servidor, su espejo lo remplazaría evitando caídas y/o pérdida de información.  Las estaciones de trabajo son necesarios para la producción en una empresa, pues un usuario sin poder trabajar representa pérdidas económicas, para cubrir cualquier falla en este sentido es bueno tener máquinas que sirvan de contingencia. 8 Redes y seguridad Proyecto Final
  9. 9.  Routers: Creo que hoy día la internet se ha vuelto un factor muy importante tanto en la vida de una persona como en las grandes compañías, pues para hacer pagos, transacciones en línea, consultas de todo tipo este recurso es algo indispensable en el funcionamiento de una empresa sin olvidar también lo importante de este dispositivo que permite hacer interconexiones de redes y direccionar los paquetes de datos.  Las impresoras son un recurso necesario de toda entidad pues permite entregar información con ciertos documentos que aún los exige de este modo, no se puede parar un proyecto por falta del contrato impreso. PLAN DE ACCIÓN Factor Humano:  Cargo y desempeño en el trabajo, para determinar permisos dependiendo de sus responsabilidades.  Datos:  Backus. Bienes Informáticos:  Servidores, estaciones de trabajo, dispositivos que permitan la conectividad como Switches, routers, Bridges, se incluyen los cables, entre otros, esto con el fin de determinar que bienes informáticos requieren un nivel de protección contra amenazas. Plan de contingencia:      9 Que se debe hacer en caso de una falla o un ataque a los sistemas. Capacitación constante: Esto incluye tanto a los usuarios como a los administradores de los sistemas. Monitoreo: Garantizar un buen funcionamiento de las PSI. Redes y seguridad Proyecto Final

×