El documento presenta un manual de procedimientos de seguridad para una empresa. Incluye un análisis de seguridad que identifica vulnerabilidades actuales, un programa de seguridad y plan de acción, una tabla de grupos de acceso, herramientas de seguridad y procedimientos específicos. El objetivo es optimizar la seguridad de la información de la red empresarial mediante la implementación de este manual de procedimientos de seguridad.
presentación del desensamble y ensamble del equipo de computo en base a las n...
Proyecto Final CRS - Redes y Seguridad
1. 1 Redes y seguridad
Proyecto Final
Proyecto Final
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás
Proyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre Jesús Daniel Mayo Vidal
Fecha 22/07/2016
Actividad Proyecto Final
Tema Manual De Procedimiento
Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas
para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta
magna” de la seguridadde lared:El manual de procedimientos.
Proyecto Final
1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el
estudio previo que se hizo para establecer la base del sistema de seguridad, el programa
de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los
elementos de la red, los formatos de informes presentados a la gerencia para establecer
el sistema de seguridad, los procedimientos escogidos para la red, así como las
herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo
lo que considere necesario). Recuerde que el manual de procedimientos es un proceso
dinámico, por lo que debe modular todos los contenidos en unidades distintas, para
podermodificarlasencasode que seanecesario.
Nota:Este trabajo final,másqueuna nota para aprobarelcurso,muestra la capacidad que
tiene, como persona,degestionarla seguridad deuna red. Guardeeste documento,puesessu
cartade presentación para cualquierempleo en el quese le exija experiencia.
2. 2 Redes y seguridad
Proyecto Final
A. Proyecto final
(a) Presentado por:
Jesús Daniel Mayo Vidal
Instructora:
Ayda Andrea Franco Villamil
Fecha:
22- de Julio- de 2016
Curso virtual
Ficha 1230965 – Redes y Seguridad
Servicio nacional de aprendizaje - Sena
3. 3 Redes y seguridad
Proyecto Final
Introducción
Hoy en día hemosvisto como la tecnología ha avanzado y como lassociedadeshan aceptado
estaspara ser más fácil la vida del ser humano hemosvisto como losniños,jóvenes,adultosy
hastaancianosla manipulan,aligual quelos gobiernos,entidades,y hasta empresastrabajan
con la tecnología.
Las empresascon este avancehan modernizado susredesdecomunicaciones,así en la forma
en quealmacenan y procesan susdatoshaciendo mucho másfácilla agilización delas
comunicacionesdela empresa.
Pero también a la vez las empresasse han visto afectadasdebido a esteavancetecnológico,ya
queestas redesde comunicacionessepueden verafectadassi no se hace un buen manejo dela
seguridad en la información queposeela empresa.
La penetración en los sistemasde cualquierempresa es responsabilidad delmanejo de
seguridad quehay en ella dejando asíla puerta abierta para quepersonasmalintencionadas
entren a esas comunicaciones generando asíun caosdela información dela empresa personas
quele denominamos crackers,o también piratasinformáticos.
Para evitar esto debemosimplementarun buen manualdeprocedimientosdondeelobjetivo
principal sea optimizarla seguridad dela información en las redesde la empresa y así evitar
estosposiblesataquesa las redes de comunicación y así identificarlas posibles
vulnerabilidadesy las solucionesquepodemosveren un sistema de comunicación deuna
organización.
4. 4 Redes y seguridad
Proyecto Final
Análisis de seguridad
En la empresa se cuentacon una topología dered estrella y poralcance se usa la red MAN,ya
quetenemossucursalesafuera dela ciudad también utilizamosla relación de cliente-servidor
para hacer seguimiento a la seguridad dela red a travésde un servidor.
A continuación haremosun análisisal sistema de seguridad dela empresa y ejecutarcon éxito
nuestro manualdeprocedimientos.
1 no hay un sistema queregule el nivel de seguridad delas contraseñasdelosusuarios
2 hay cuentaspasivasquehan dejado deserutilizada durantemucho tiempo
3 no hay un controlsobrelas páginasvisitadas,lasdescargasy loscontenidosquelos
empleadosdela empresa visitan
4 no hay un plan de emergencia visible
5 los empleadosdela empresa suben archivosa una nubequeno es segura
6 se evidencio que losusuariostienen su login y Password muy visibleslo cuales susceptible a
una suplantación
7 impartirmás concienciación en materia de seguridad a los miembrosdela organización
Programa de seguridad y plan de acción
Es posible quepersonasajenasa la empresa acceda de manera
ilegal a nuestra información y alteren o roben información valiosa,
poreso es necesario que cada empleado cuentecon su propia
cuentay login como también queaccedan a ellos mediantesu
ordenadorcorrespondiente.
Los técnicosde mantenimiento tendrán queteneruna vigilancia
constantea las cuentasdecada usuario como también velaran
para quecada usuario tenga su propia cuenta y login con un alto
nivel de seguridad en suspassword.
Las copiasde seguridad y los archivosserán subidosa una nube
segura libre de cualquier vulerabilidad.
5. 5 Redes y seguridad
Proyecto Final
Los empleadosdela organización esuna de las principales
vulnerabilidadesdentro deuna organización porendetendremos
queconcientizar a un buen uso de la plataforma para evitar
futurasamenazas.
Habrá un controlsobrelas páginas,y los sitiosdondenavegan los
empleadostambién como loscontenidosquedescargan y los
archivosqueejecutan en el sistema operativo.
Manual de procedimiento
Procedimiento para quelos clientes o personasajenas,estén lejosdelárea de
gestión de la información para prevenira espíaso ciberdelincuentes
Procedimiento para bloquearpáginasqueno cumplan con loscaracteresde
una navegación confiabletalescomo páginas pornográficas,redes socialesy
otrasqueno cumplan con los criterios tales como las HTTP si no usarpáginas
con contenido seguro quesean HTTPS libre de terceros.
Procedimiento para cambiarperiódicamentelasclavesde seguridad,y darde
bajaslascuentasquellevan tiempo sin ser usadasy no crear usuarios
invitados
Procedimiento para monitorearel tráfico de la información o los puertos
utilizadoscomo también controlarel acceso a interneten jornadasno
laborales.
Procedimiento para crearun servicio de una nubeprivada segura quecumpla
con las medidasde seguridad y no incumpla la LOPD, la cual nosayudea
evitar fugasdeinformación y resguardo dedatosdemanera mássegura.
Procedimiento de constantecapacitacionesa losempleadospara generaren
ellos una conciencia sobreel uso de la información dela empresa y losriesgos
quedejan erróneamenteya sea porignorancia o tratando darmayor
funcionalidad,generando asíun equilibrio entre funcionalidad y la seguridad.
6. 6 Redes y seguridad
Proyecto Final
Tabla de grupos de acceso
Recurso del sistema
Riesgo R
Tipos deacceso
Permisosotorgados
Numero
Nombre
A. Router56:es uno de losmásimportantes yaque la buenaconfiguracióndeeste
dependemucho la seguridaddelared
B. Swiche 48: el buenfuncionamientode este hace posible distribuirtodalainformación
a la red
C. Cableado:de este depende intercomunicarentre terminalesyservidores
D. Servidor100: esel de mayor importanciaporque todaslasaccionesse realizarana
travésde el
E. Base de datos48: es de gran importanciayaque almacenatoda lainformaciónde la
empresa
F. Terminal 25: es vital yaque por mediode estosalimentaremosal servidor.
1. Nombre:informaciónpersonal administrativa
Riesgo:gerencia
Tipode acceso:local
Permisosotorgados:lecturayescritura
2 Nombre:base de datos
Riesgo:gerencia,grupode auditores
Tipode acceso: local
Permisosotorgados:lectura
3 Nombre:archivofísico
Riesgo:secretaria
Tipo de acceso:local
Permisosotorgados:lecturayescitura
4 Nombre:computadores
Riesgo:empleadosconusuarioylogin
7. 7 Redes y seguridad
Proyecto Final
Tipode acceso:local
Permisosotrogados:manejosindescargarlinkdiferentesalaentidad
5 Nombre:internet
Riesgo:empleadosconusuarioylogin
Tipode acceso:local y remoto
Permisosotorgados:manejoinstitucional
Herramientas
Las herramientas de controlque se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son:
GABRIEL:detecta ataques SATAN genera alertas en el servidor
NETLOG:registra conexión cada milisegundo corrigue ataques SATAN o ISS,
genera trazas
COURTNEY:detectaataques SATAN, genera información procesada por TCPDump
Y las herramientas que se utilizan para chequear el sistema son las siguientes:
CRACK: es una herramienta virtual del sistema y permite forzarlas contraseñas de
usuario para medir el grado de complejidad de las contraseñas las contraseñas
siempre están encriptado
TRIPWIRE:sufunción principal es la de detectar cualquier cambio o modificación
en el sistema de archivos, comomodificaciones no autorizadas o aleteraciones
maliciosa en los software
TIGER:chequea elementos de seguridad del sistema para detectar problemas y
vulnerabilidades ayudando a configurar el sistema general, sistema de archivos,
caminos de búsqueda, cuentas de usuario y también configuraciones de usuario
Además, el supervisor de informática deberá desarrollar una revisión a los demás
distintos medios como( intranet, email, sitio webetc…) y tomara las medidas
necesarias para el cumplimiento de los procedimientos de seguridad.
8. 8 Redes y seguridad
Proyecto Final
Conclusión
Esperamoshaberconcientizaratodos los elementos delaorganizaciónde
losriesgosyvulnerabilidades quepuedencorrerenuna organizacióncomo
tambiénel cómo darleuna soluciónacada uno deellos, juntos con la
políticade seguridadimplantadas,elmanualdeprocedimientos yelplande
acción.
Si alcanzamosestos objetivos planteados podemos generarunamejor
organizacióndondelaseguridadsealaprincipalprioridad.