Manual de luz redes

Realizado por: Luz Mary
MANUAL DE PROCEDIMIENTOS
INFORMATICOS

INDICE GENERAL
Pag
1 GENERALIDADES
1.1 Objetivo General
1.2 Objetivos Específicos
1.3 Organigrama
2 PROCEDIMIENTOS DE INFORMATICA Y SISTEMAS
2.1 Estudio y análisis de los recursos informáticos actuales
2.1.1 Procedimiento administración de servidores y centro de datos
2.1.2 Administración de servidores y centro de datos
2.1.3 Gestión de backups en centro de datos
2.1.4 Gestión de backups en servidores
2.2 Equipos de comunicación
2.2.1 Asesoría y soporte técnico a usuarios
2.2.2 Control del correo
2.2.3 Creación de cuentas de dominio
2.2.4 Modificación privilegios de acceso
2.2.5 Respaldo y recuperación de archivos
2.2.6 Amenazas posibles
2.3 Procedimiento de soporte técnico
2.3.1 Inventario tecnológico
2.3.2 Mantenimiento preventivo de hardware y software
2.3.3 Mantenimiento correctivo de hardware y software
2.3.4 Elementos de análisis para la seguridad informática

2.3.5 Generación de backups de PC
2.4 Programa de seguridad
2.4.1 Plan de acción
2.4.2 Tabla de grupo de acceso
2.4.3 Generación de informe
2.5 Procedimiento de redes y conectividad
2.5.1 Distribución de puntos de conexión físico a la red
2.5.2 Valoración de los elementos de la red
2.5.3 Herramientas de software de monitoreo a la red
2.5.4 Herramientas de software para control de acceso
2.6 Políticas de seguridad
2.6.1 Prohibiciones
2.6.2 Actualización de las políticas de seguridad
2.7 Conclusion
2.7.1 Recomendaciones

INTRODUCCION
Este documento que se presenta tiene como finalidad la implementación de las
PSI (Políticas de Seguridad Informáticas) para la organización.
Las tecnologías de la información (TI) contribuyen a optimizar y elevar los niveles
de productividad y eficiencia, correspondiéndole al departamento de sistemas,
velar por que dicha tecnología se integren a los procesos y actividades del servicio
de manera tal de brindar al usuario el máximo apoyo en cuanto a su gestión y que
este tenga a su disposición toda las herramientas y facilidades que otorga la
nueva plataforma, haciendo necesario que todo los usuarios conozcan de forma
clara y precisa, por un lado las normas que regulen su uso y por otro los
procedimientos y mecanismos establecidos para asistencia.
En base al estudio y análisis requerido que determinan los posibles riesgos
inherentes a los recursos informáticos, se ha procedido a distinguir las políticas de
seguridad informática actual y/o establecer nuevos procedimientos y estrategias
tanto Gerenciales como Administrativas que permitan el resguardo de la
información de los recursos informáticos de la empresa.
Como resultado del presente proyecto finalmente es la documentación y ejecución
de un plan estratégico en el cual se implemente las Políticas de Seguridad
Informática para la organización.
¿Qué es la información?
“Es la comunicación de conocimiento que permite ampliar o precisar los que se
posee sobre una materia determinada”.
En la actualidad la información se ha convertido en uno de los bienes más
importantes y preciados, es por esta razón que se convierte a nivel mundial gran
cantidad de otros recursos (profesionales, tecnológicos, económicos, etc.) para
protegerla, pero ¿es solo la protección de ella la que debe preocuparnos? La
respuesta es no existen otros factores igual de importantes que considerar como
por ejemplo: la oportunidad, integridad, validez o confiabilidad, de lo anterior surge
la necesidad entonces de “Asegurar “el conjunto de elementos que dan su valor.
¿Qué es la seguridad de la información?
La información es un bien que, como otros, tiene distinto valor para una
organización y/o persona, consecuentemente, con ello, necesita ser protegida en

forma apropiada. La seguridad debe entenderse como un conjunto de conductas,
acciones, procedimientos, tecnología y otros que buscan “asegurarla” su buen
uso, integridad, confiabilidad, confidencialidad y oportunidad, es por lo anterior que
no podemos observar a la seguridad como un agente externo o distinto a nosotros
ya que somos parte activa de ella, ninguno sistema de seguridad será lo
suficientemente bueno como para evitar por ejemplo: que algunos de nosotros al
salir a realizar algún trámite dejemos olvidado sobre el escritorio el informe final
de un caso, que este pueda ser sustraído, copiado o adulterado, ningún sistema
de control de acceso puede ser efectivo si permanentemente dejamos las puertas
de acceso abiertas o colocamos trabas para facilitar nuestro transitar de un lado a
otro, ningún sistema de auditoria va a servir si entregamos nuestras credenciales
(nombre de usuario y contraseña).
La información puede existir de diferentes formas puede ser escrita, impresa o
almacenada o transmitida electrónicamente, cualquier forma que tome la
información, o los dispositivos por los cuales es compartida o almacenada,
siempre deberá estar sujeto al mismo cuidado.
La seguridad de la información se logra mediante la implementación de un
adecuado conjunto de controles, los podrían ser políticas, practicas,
procedimientos, estructuras organizacionales y funciones.
Es por lo anteriormente expuesto que en el siguiente documento se establecen los
procedimientos y mecanismos básicos de resguardo de la información del servicio.

OBJETIVO GENERAL
Establecer los mecanismos que permitan la ejecución de acciones orientadas a
mantener en condiciones de operatividad y funcionalidad la infraestructura
informática, facilitando con ellos el cumplimiento de sus propósitos y objetivos.
OBJETIVOS ESPECIFICOS
 Realizar el estudio, análisis de los recursos informáticos de la organización.
 Evaluar y determinar los posibles riesgos ante los sistemas informáticos.
 Establecer y documentar el programa de seguridad a través de un plan de
acción, los procedimientos y normativas necesarios para implementar un
Sistema de Seguridad Informática.
 Ejecutar las políticas de Seguridad de la información en la Empresa
mediante las respectivas estrategias tanto a nivel Gerencial como
Administrativo.

ORGANIGRAMA
Departamento
De Sistemas
Análisis y Desarrollo Operaciones
Administración de Soporte Interno Soporte Técnico
Servicio

DEFINICION DE NORMAS Y POLITICAS DE SEGUIRDAD INFORMATICA
¿Qué son las normas de seguridad? Las normas son un conjunto de
lineamientos, reglas, recomendaciones y controles con el propósito de dar
respaldo a las políticas de seguridad y a los objetivos desarrollados por éstas, a
través de funciones, delegación de responsabilidades y otras técnicas, con un
objetivo claro y acorde a las necesidades de seguridad para el entorno
administrativo de la red.
¿Qué son políticas de seguridad? Son una forma de comunicación con el
personal, ya que las mismas constituyen un canal formal de actuación, en relación
con los recursos y servicios informáticos de la organización. Esta a su vez
establece las reglas y procedimientos que regulan las formas en que una
organización prevé, protege, y maneja los riegos de diferentes daños, sin importar
el origen de esto.
Como parte integral de un Sistema de Gestión de Seguridad de la Información
(SGSI), un manual de normas y políticas de seguridad, trata de definir; ¿Qué?,
¿Por qué? , ¿De qué? Y ¿Cómo? Se debe proteger la información Estos
engloban una serie de objetivos, estableciendo los mecanismos necesarios para
lograr un nivel de seguridad adecuado a las necesidades establecidas dentro de la
organización. Estos documentos tratan a su vez de ser el medio de interpretación
dela seguridad para toda la organización.

2. PROCEDIMIENTOS DE INFORMATICA Y SISTEMAS
2.1 ESTUDIO Y ANÁLISIS DE LOS RECURSOS INFORMÁTICOS ACTUALES
Para evaluar las posibles amenazas, causas y determinar las mejores políticas de
seguridad de la información es necesario realizar un estudio previo de todos y
cada uno de los recursos tecnológicos y recursos humanos que cuenta la
empresa, de ésta manera ejecutar el plan y los procedimientos para aplicar
efectivamente las políticas de seguridad informática en la empresa.
2.1.1 PROCEDIMIENTO ADMINISTRACIÓN DE SERVIDORES Y CENTRO DE
DATOS
Se propone a garantizar la disponibilidad y los niveles de servicio de los diferentes
sistemas informáticos que presta el departamento de sistemas.
Monitoreo de Recursos: se realiza un monitoreo del desempeño de las particiones
y discos en cada uno de los servidores, verificando la velocidad de lectura y
escritura, tiempo de acceso y capacidad usada.
Identificación del problema: verificar que las aplicaciones no estén generando
problemas de lectura y escritura del disco. Verificar que el disco o partición no este
presentando fallos físicos. Verificar que el disco no esté ocupado al 100% de su
capacidad. Identifica el proceso o procesos que estén generando los mayores
consumos de CPU y se verifica si es correcto o no el valor presentado. Se verifica
el consumo de ancho de banda, teniendo en cuenta el tipo de tráfico (http, smtp,
ftp, recursos compartidos, entre otros). Se localiza de red afectado acudiendo al
mapa de distribución de equipos y a la herramienta de monitoreo. Se detectan
fallas en los equipos o puertos.
Solución del problema: se realizan las correcciones necesarias para el correcto
funcionamiento de los dispositivos: discos, CPU, equipos de red, enlaces,
extensiones telefónicas, interfaces de red, cables y log.
Cambio, solicitud y recibos de dispositivos: en caso de fallas de algún dispositivo
se verifica si se puede sustituir por algún otro que se encuentre en el centro de
sistemas o si este tiene garantía.

Realizar mantenimientos a los dispositivos: hacerles limpieza y diagnostico a los
dispositivos (equipos de red, planta, y extensiones telefónicas), realizar la
afinación del servidor, configuración de los parámetros óptimos para tener un
mejor desempeño del servidor, realizar la eliminación de los archivos de log o
respaldo de temporales, realizar limpieza a los dispositivos en coordinación con
los de soporte técnico para realizar el mantenimiento al servidor.
Configuración final del dispositivo: se hacen pruebas de funcionamiento de cada
dispositivo, red, teléfono o servidor; y se deja en estado funcional. Se realizan
instalaciones a nivel de firewall, permisos de lectura, ejecución y escritura sobre el
servidor para aumentar la seguridad. Se verifican que los parches de seguridad
del servidor estén actualizados.
2.1.2 ADMINISTRACIÓN DE SERVIDORES Y CENTRO DE DATOS
Identificar problema
Cambiar,
dispositivos
Inicio monitoreo de recursos
Solucionar problema
Configuración final del
Dispositivo
Fin
Realizar mantenimiento
a los dispositivos
2.1.3 GESTION DE BACKUPS EN CENTRO DE DATOS
Este procedimiento busca respaldar la información almacenada en las bases de
datos que están que están bajo la responsabilidad del centro de datos, conforme a
las políticas de seguridad establecidas, garantizando la disponibilidad de los datos
en el momento que se requiera.

2.1.4 GESTION DE BACKUPS DE SERVIDORES
Este procedimiento respalda la información de los aplicativos institucionales que
están bajo la responsabilidad del centro de datos, conforme a las políticas de
seguridad establecidas por este y garantizar la disponibilidad de los datos en el
momento que se requiera.
2.2 EQUIPOS DE COMUNICACIÓN
DESCRIPCION | CANTIDAD | SERVICIOS |
Router Cisco 2 interfaces Rj45 1000BaseT | 2 | Router de borde para la
Matriz de Medellín y Bogotá |
Router Cisco 2 interfaces Rj45 100BaseT | 2 | Router de borde para la
sucursales de Medellín |
Switch de 24 puertos 100/1000 Mbps administrable | 1 | Comunicación LAN
en el Edif. Medellín |
en el Edif. Sucursal 1 de Medellín |
en el Edif. Sucursal 2 de Medellín |
Access Point 2.4 GHz/54 Mbps | 3 | Comunicación WLAN en Edificios
EQUIPOS INFORMÁTICOS DESKTOP
DESCRIPCION | CANTIDAD |
Computadores Desktop Core2Quad 2.8Ghz/ 2Gbram/500Gb Disco duro/Tarjeta de
red/Video/sonido. | 17 |
Computadores Portátil Core i3 3Ghz/4Gb/500Gb Ram disco duro/Wifi | 8 |
2.2.1 ASESORIA Y SOPORTE TECNICO A USUARIOS
Establecer los mecanismos que permitan la ejecución de acciones orientadas a
mantener a mantener en condiciones de operatividad y funcionalidad la
infraestructura informática, facilitando con ellos el cumplimiento de sus propósitos
y objetivos.

Recibir vía telefónica o mediante correos electrónico, solicitud de asesoría
técnica.
Realizar solicitud en el sistema “service desk”, generando número de reporte el
cual debe ser entregado al usuario para realizar el seguimiento posterior a la
solicitud.
Solucionar en forma remota o telefónicamente la incidencia reportada.
Una vez solucionada la incidencia, el técnico cerrara el caso documentado todos
los eventos y la solución en el sistema de registro, derivando una copia al usuario
por medio el correo electrónico.
2.2.2 CONTRO DEL CORREO
La identificación de los servicios informáticos es única y exclusivamente para uso
personal, actividades netamente de la empresa, y deberá ser empleada
únicamente por la persona a quien le fue asignada. El correo es de uso personal
e intransferible.
Es deber de cada usuario asegurarse de cerrar la sesión de trabajo una vez
finalice la utilización de todo los servicios a fin de que nadie más pueda utilizar su
identificación. El olvidar esta tarea puede acarrear graves consecuencias para el
usuario, que van desde la posibilidad de pérdida de información y el envió de
correos a su nombre, hasta el uso inadecuado, por parte de otras personas, de los
recursos que le fueron asignados.
Si un usuario encuentra abierta la identificación de otra persona es su deber
cerrarla y por ningún motivo deberá hacer uso de ella.
No se debe realizar envíos de correos tipo cadena o forwards con información que
no pertenezca a la empresa.
Políticas de uso:
 El correo electrónico se creara exclusivamente para uso
administrativo.
 Cada buzón de correo tendrá una capacidad 7 GB, en su defecto, lo
que le asigne el proveedor del servicio de correo electrónico.
 Utilizar los destinatarios precisos para evitar los mensajes en
cadenas.

 En el momento en que el empleado deje de trabajar en el empresa,
se cancelara de forma inmediata el servicio de correo electrónico.
 Mantener y ejecutar funciones de administración para eliminar
aquellos mensajes que no requieren estar almacenados con el fin de
mantener espacio disponible tanto para enviar como para recibir nuevos
mensajes.
2.2.3 CREACION DE CUENTAS DE DOMINIO
Es importante remarcar que para trabajar con el equipo se ha de utilizar siempre
una cuenta valida de usuario del dominio SML-SERVER, si no se dispone de ella o
no se conoce su contraseña no se podrá iniciar una sesión de trabajo.
De mismo modo para acceder a recursos de la red (carpetas en servidores,
impresoras en red...) se ha de utilizar siempre una cuenta de usuario de domino.
Siendo posible hacer coincidir identificador y contraseña de las cuentas locales y
del dominio si bien la administración simultanea solo puede realizarse si el equipo
pertenece al dominio.
Políticas:
 Mantener en forma confidencial las contraseñas.
 Evitar mantener un registro de contraseñas en papel, a menos que
este se pueda guardar en forma segura.
 Cambiar la contraseña cuando crea que exista una indicación de un
posible compromiso de la contraseña o del sistema.
 Que sean fáciles de recordar para el usuario.
 Se recomienda no relacionar las contraseñas con la persona, por
ejemplo, nombre, números telefónicos, fechas de cumpleaños, etc.
 Los computadores personales, las estaciones de trabajo y las
impresoras no se deberán dejar con la sesión abierta, cuando estén
desatendidos y cuando no se usen se deberán proteger con contraseña o
cierre la sesión.
 No compartir las contraseñas de usuario.
Red interna: sistema integrado de redes y comunicación que permite a todo el
personal del servicio, compartir la misma información y acceder a ella de una
forma fácil y segura.

Usuarios: todo aquel que interactúa con los sistemas de TI (tecnología de la
información) que la empresa ha puesto a su disposición.
Contraseña: se refiere al complemento del código de acceso, que es la parte
secreta y que solo el dueño del código de acceso debe conocer, también conocida
como password.
Perfil: asignación de acceso de aplicaciones de acuerdo al rol del trabajo del
funcionario, debidamente aprobado.
2.2.4 MODIFICACION PRIVILEGIOS DE ACCESO
Se realizar la modificación de permisos y acceso a la información en los siguientes
casos:
 Cuando el jefe del departamento o superior jerárquico solicite
modificación.
 Cuando el usuario deje de cumplir sus funciones (para este caso el
usuario quedara sin acceso a los sistemas informáticos).
 El departamento de informática está facultado para modificar
permisos o accesos en los siguientes casos:
 El usuario allá incurrido en actos ilegales.
 Requerimiento expreso de autoridades competentes.
 Para identificar o resolver problemas técnicos.
Revocación o bajas de cuentas y accesos.
Seguridad y privacidad
Todos los usuarios son responsables de cumplir con las políticas de seguridad y
privacidad establecidas por la organización.
El privilegio de uso de los sistemas de informática e información será revocado en
caso de violación a estas políticas, sin importar cuan necesario sea el uso de
computadores para completar las tareas asignadas a dicha persona.
Cualquier usuario implicado en infracciones a esta política, políticas del servicio o
criminales con relación a la privacidad y seguridad computacional de la
organización será sujeto acción disciplinaria incluyendo, pero no limitada a,
revocación de privilegios a recursos de informática, suspensión de equipamiento
computacional, eliminación de cuentas de acceso.

Todos los usuarios deberán cooperar con las autoridades en la investigación y
convicción de cualquier sospecha de infracción a la seguridad y privacidad que
involucren a personal de la organización.
2.2.5 RESPALDO DE RECUPERACION DE ARCHIVO
Establecer los lineamientos para salvaguardar la información generada por las
diferentes áreas de la organización, lo que permitirá contar con la información en
caso de contingencia o desastre.
Está dirigido a los usuarios que contengan información propia de la organización.
Políticas:
 Conjunto de copias de seguridad: conjunto de archivos, carpetas y
demás datos de los que se ha realizado copia de seguridad y se han
almacenado en un archivo o en uno o varios medios (CD, DVD,
etc.).
Definimos como política de seguridad a los diferentes métodos (la forma en la que
se realiza copia y su tipo) que se utilizan para guardar un grupo o conjunto de
archivos de datos. Existen varios métodos de copias de seguridad que se pueden
utilizar.
Métodos de copias
Copia de seguridad normal: una copia de seguridad normal incluye todo los
archivos seleccionados y pone a cada archivo una marca que indica que se ha
hecho una copia de seguridad del mismo. Las copias de seguridad normales se
suelen realizar al crear por primera vez un conjunto de copia.
Copia de seguridad diaria: incluye todo los archivos seleccionados que se hayan
modificado el día en que se realizó la copia diaria. Los archivos incluidos en la
copia de seguridad no se marcan como tales.
Copia de seguridad incremental: una copia de seguridad incremental solo copia
los archivos creados o modificados desde la última copia de seguridad normal o
incremental. Marcar los archivos copiados.
Respaldo de la información: se realiza el respaldo de la información contenida en
los servidores en servicio de la organización.

2.2.6 AMENAZAS POSIBLES
FÍSICO
 Robo de equipos informáticos.
 Incendio en las instalaciones.
 Fallas electrónicas en los equipos.
LÓGICO
 Robo de información.
 Virus Informáticos.
 Accesos no autorizados a los computadores y servidores.
2.3 PROCEDIMIENTO DE SOPORTE TECNICO
Inicio Recepción de equipos Creación de hoja de vida Instalación y
Del equipo configuración
Entrega al usuario Archivo de documentos Fin
2.3.1 INVENTARIO TECNOLOGICO
El inventario de tecnología es responsabilidad del coordinador de soporte técnico.
2.3.2 MANTENIMENTO PREVENTIVO DE HARDWARE Y SOFTWARE

Se realiza por medio del cronograma de mantenimiento preventivo de soporte. Las
evidencias quedan registradas en la hoja de vida de cada equipo.
2.3.3 MANTENIMIENTO CORRECTIVO DE HARDWARE Y SOFTWARE
Reporte de solicitud: el usuario reporta la solicitud.
Asigna responsable para la atención del incidente: de acuerdo a lo solicitud se le
asigna el técnico responsable de atender el incidente.
Asistencia técnica: realiza el diagnóstico para la atención de la solicitud. Realiza lo
necesario lo necesario para atender y solucionar el incidente.
Se le informa al usuario que el incidente ha sido solucionado: da a conocer al
usuario lo que se le hizo y realiza las pruebas pertinentes. Realiza el cierre del
servicio de soporte realizado.
2.3.4 ELEMENTOS DE ANALISIS PARA LA SEGURIDAD INFORMATICA
# | Amenaza | Consecuencias | Ambiente | Mecanismos | Factor
Humano |
1 | Ingreso de personas no autorizadas a las instalaciones | Robo de
equipos informáticos y de información | Institución privada, dedicada a la
ejecución de proyectos de obras civiles | Vigilantes en la institución |
Descuido |
2 | Personas que no corresponden al uso de determinado terminal |
Extracción de información ajena, ingreso de información falsa | Institución
privada, dedicada a la ejecución de proyectos de | Claves de seguridad de
acceso al terminal | Descuido |
3 | Virus informáticos | Eliminación de información | Institución privada,
dedicada a la ejecución de proyectos de | Antivirus | No utilización y
actualización de antivirus |
4 | Compartición de recursos y carpetas en la red | Eliminación, robo de
información. | Institución privada, dedicada a la ejecución de proyectos de |
Compartición de recursos con restricciones | Desconocimiento, personal
confiado. |

5 | Compartir las claves de acceso personal | Ingreso de personas ajenas
al equipo, manipulación de datos. | Institución privada, dedicada a la
ejecución de proyectos de | Asignar claves de acceso único para cada usuario. |
Personal confiado, desconocen consecuencias. |
6 | No existe responsable del área de seguridad informática | No se evalúa,
estudia y determina procedimientos y gestión de la seguridad de la información |
Institución privada, dedicada a la ejecución de proyectos de | Asignar las
funciones de la Seguridad de la Información a una o varias personas |
Descuido o falta de información de los directivos y administradores de la empresa
|
2.3.5 GENERACION DE BACKUPS DE PC
Cada proceso es responsable de su propia información. El departamento de
informática y sistema realiza backups de la información a los computadores del
personal administrativo de acuerdo al cronograma de mantenimiento preventivo.
2.4 PROGRAMA DE SEGURIDAD
| Amenaza | Pasos a tomar para asegurar la seguridad deseada |
1 | Ingreso de personas no autorizadas a las instalaciones | 1. Tener a
una persona que vigile la entrada del lugar de la Organización 2. Brindar de la
tecnología e instrumentos necesarios para control de personal ajeno. 3. Dotar de
radio comunicación |
2 | Personas que no corresponden al uso de determinado terminal | 1. No
abandonar puesto de trabajo. 2. Cerrar la sesión actual del usuario. 3. Mantener
la clave de usuario exclusivamente de carácter personal. |
3 | Virus informáticos | 1. Instalar antivirus. 2. Actualizar frecuentemente.
3. Si existe la posibilidad, instalar un antivirus Enterprise. |
4 | Compartición de recursos y carpetas en la red | 1. Compartir con
restricciones las carpetas 2. Evitar compartir carpetas de manera permanente.|

5 | Compartir las claves de acceso personal | 1. Asignar clave de
acceso al computador y que sea exclusivo para el usuario. 2. Definir los permisos
necesarios y requeridos por el usuario. 3. En caso de que el equipo será utilizado
por varios usuarios, cada uno tendrá definido su clave y usuario diferenciado. |
2.4.1 PLAN DE ACCION
| Amenaza | Acciones a llevar a cabo para implantar el programa de seguridad
|
1 | Ingreso de personas no autorizadas a las instalaciones | 1. Al vigilante
pedir carnet de identificación para ingresas a las instalaciones 2. Preguntar hacia
dónde y con quién quiere tomar contacto 3. Verificar maletas físicamente o
mediante equipos electrónicos, para verificar equipos sospechosos. 4. Entregar
la identificación y observar al usuario. |
2 | Personas que no corresponden al uso de determinado terminal | 1.
Supervisar la presencia del usuario en su puesto de trabajo. 2. Capacitar al
usuario en el uso de claves y accesos al sistema. |
3 | Virus informáticos | 1. Tener instalado un antivirus por defecto en el
terminal 2. Verificar con antivirus las unidades de almacenamiento portátiles. 3.
Programar eventualmente una revisión de las unidades de disco con el antivirus.
|
4 | Compartición de recursos y carpetas en la red | 1. Compartir con
restricciones las carpetas 2. Evitar compartir carpetas de manera permanente.
3. Capacitar al personal del uso de recursos compartidos. |
5 | Compartir las claves de acceso personal | 1. Realizar un análisis de
los reportes de los accesos del usuario al sistema, así como de vigilar si
efectivamente corresponde a los horarios de trabajo establecido |
2.4.2 TABLA DE GRUPO DE ACCESO
Se define las siguientes tablas de los grupos de trabajo que va a tener la empresa
en cuanto a los privilegios que tienen determinados usuarios con determinadas
funciones dentro de la empresa, estos son:

El principal objetivo es llegar a todos los puestos de trabajo, en general una
conexión de calidad a la red de datos de la organización; igualmente de
responder de manera oportuna y adecuada ante cualquier fallo en la red de datos,
para lograr que los usuarios tenga un servicio de alta disponibilidad de excelente
desempeño y calidad con la tecnología de punta en la que invierte la organización.
2.5.1 DISTRIBUCION DE PUNTOS DE CONEXIÓN FISICO A LA RED
Solicitud de conexión: se recibe la solicitud a través del administrador de red o por
memorando.
Clasificar que tipo de solicitud ingresa:
 Conectar un edificio a la red de la organización.
 Adicionar un punto de red.
 Habilitar un punto de red existente.
 Habilitar conexión inalámbrica.
 Falla de un punto de red existente.
Planear la ejecución del cableado: se realiza la planificación del cableado y se le
informa y se le informa al usuario a través del administrador de red. De ser
necesario se le pide apoyo de personal de soporte técnico.
Alistamiento de materiales los insumos y equipos necesarios: se alista las
herramientas, el material, los insumos y los equipos necesarios para el cableado,
en caso de hacer falta algo realizar el pedido.
Ejecución del cableado: se desplaza al sitio donde se debe ejecutar la solución
bajo los estándares de calidad que obedecen a las normas de cableado
estructurado.
2.5.2 VALORACION DE LOS ELEMENTOS DE LA RED
Los elementos y recursos informáticos que mantiene la empresa se encuentran
registrados en las siguientes tablas con sus respectivos niveles de riesgo de
seguridad.
Recurso del Sistema | Riesgo Ri | Importancia Wi | Riesgo Evaluado |
Descripción |

# | Equipo | | | | |
1 | Servidor de Base de Datos | 10 | 10 | 100 | El servidor de BD
brinda gestión y servicio comercial a la empresa, si es vulnerado los servicios
permanecerán inactivos hacia el cliente. |
2 | Terminales de trabajo | 5 | 3 | 15 | El terminal es el último
elemento de uso, puede ser vulnerado pero no afecta en forma crítica su pérdida,.
|
3 | Switch | 7 | 8 | 48 | Se puede reemplazar sin mayores
complicaciones, sin embargo si afecta las comunicaciones pero por poco periodo
de tiempo hasta su cambio. |
4 | Router de borde | 5 | 7 | 35 | Se perdería comunicación en un
punto específico de la red WAN pero la información no es alterada|
5 | Sistema electrónico de acceso restringido para el área de servidores | 4
| 7 | 28 | La información no es afectada, sin embargo el acceso estará
vulnerable, pero se pueden tomar otras medidas. |
6 | Sistema de comunicación inalámbrico | 4 | 8 | 32 | Las
comunicaciones inalámbricas se detienen y los servicios de la red se interrumpen
|
7 | Access point empresariales | 3 | 3 | 9 | Las comunicaciones
de datos de los equipos portátiles de interrumpen, sin embargo no es
transcendente. |
VALORACION GENERAL DE RIESGO
= 267 / 46 => 5.8 =~ 6 / 10
Se valora en un 60% de riesgo de pérdida de información conforme a la
evaluación y análisis de los parámetros que para el efecto se determinaron.

2.5.3 HERRAMIENTAS DE SOFTWARE DE MONITOREO A LA RED
La herramienta utilizada para verificar y comprobar la integridad del sistema será
el software TIGER y CPM, conforme a las pruebas y los resultados obtenidos:
TIGER.- Software que detecta problemas de seguridad de forma parecida a
COPS. Una vez chequeado el sistema, se genera un archivo con toda la
información recogida por el programa.
Tiger dispone de una herramienta (tigexp) que recibe como parámetro dicho
archivo y da una serie de explicaciones adicionales de cada línea que generó el
programa anterior. El programa viene con un archivo de configuración donde es
posible informarle qué tipo de chequeo se quiere realizar. Podemos comentar las
operaciones más lentas y ejecutar éstas de forma menos continuada, mientras
que las más rápidas pueden ser ejecutadas más frecuentemente.
CPM (Check Promiscuous Mode.- Chequea la interfaz de red de la máquina
descubriendo si está siendo utilizada en modo promiscuo (escuchando todo el
tráfico de la red).
Está herramienta es muy útil, porque nos alerta de la posible existencia de un
"sniffer" (olfateador) que intente capturar información en nuestra red como puedan
ser las passwords. Este programa debería ser ejecutado de forma periódica para
detectar lo antes posible el estado promiscuo en la placa de red. Una forma útil de
utilizarlo es mandarnos el resultado vía correo electrónico.
2.5.4 HERRAMIENTAS DE SOFTWARE PARA EL CONTROL DE ACCESO
SATAN (Security Administrator Tool for Analyzing Networks).- Es un software de
dominio público creado por Dan Farmer que chequea máquinas conectadas en red
y genera información sobre el tipo de máquina, qué servicios da cada máquina y
avisa de algunos fallos de seguridad que tengan dichas máquinas.
 Instalar el software en un equipo preestablecido para ello.
 La instalación será efectuada exclusivamente por el administrador de red.

 El monitoreo y reportes generados serán realizados quincenalmente.
 los reportes resúmenes serán entregados al administrador de la
Organización.
 Los informes serán archivados de manera secuencial y ordenada.
ISS (Internet Security Scanner).- Es una herramienta de la cual existe versión de
dominio público que chequea una serie de servicios para comprobar el nivel de
seguridad que tiene esa máquina. ISS es capaz de chequear una dirección IP o un
rango de direcciones IP (en este caso se indican dos direcciones IP e ISS
chequeará todas las máquinas dentro de ese rango).
2.6 POLITICAS DE SEGURIDAD
Del Gerente y Administrador de la Organización:
 Cumplir a hacer cumplir las normas, procedimientos y políticas de
seguridad informática para la organización.
 Aprobar o censurar la propuesta de las políticas de seguridad.
Administración Tecnológica:
Estará conformada por el Gerente y Jefes de cada área, las cuales son
responsables de:
 Velar por el funcionamiento de la tecnología informática que se utilice en
las diferentes áreas.
 Elaborar y efectuar seguimiento del Plan Maestro de Informática
 Definir estrategias y objetivos a corto, mediano y largo plazo
 . Mantener la Arquitectura tecnológica
 Controlar la calidad del servicio brindado
 Mantener el Inventario actualizado de los recursos informáticos

 Velar por el cumplimiento de las Políticas y Procedimientos
establecidos.
Adquisición de bienes informáticos:
 La adquisición de equipos y tecnología se efectuará a través del
Gerente de Tecnología, y el Gerente General.
 Los requerimientos tecnológicos los efectuará el Gerente de TI.
 La Administración de Informática, al planear las operaciones relativas
a la adquisición de Bienes informáticos, establecerá prioridades y en
su selección deberá tomar en cuenta: estudio técnico, precio,
calidad, experiencia, desarrollo tecnológico, estándares y capacidad.
Sistema Operativo
 El sistema operativo utilizado en la empresa será Microsoft Windows
Xp profesional, y Linux distribución Centos.
Base de datos:
 El motor de base de datos será SQL server 2008
Lenguajes y herramientas de programación
 Visual C++
 Java
 Macromedia Dreamweaver
 Macromedia Fireworks
 Java Decompiler
Utilitarios de oficina
 Microsoft Office 2007
 Open Office

Programas antivirus
 McAfee profesional
 Avast free
Navegadores de Internet
 Internet Explorer
 Mozilla
 Google chorme
Compresores de archivos
 Lzip
Instalaciones De Los Equipos De Cómputo
 La instalación del equipo de cómputo, quedará sujeta a los siguientes
lineamientos:
 Los equipos para uso interno se instalarán en lugares
adecuados, lejos de polvo y tráfico de personas.
 La Administración de Informática, así como las áreas
operativas deberán contar con un croquis actualizado de las
instalaciones eléctricas y de comunicaciones del equipo de cómputo
en red.
 Las instalaciones eléctricas y de comunicaciones, estarán
de preferencia fija o en su defecto resguardadas del paso de
personas o máquinas, y libres de cualquier interferencia eléctrica o
magnética.
 Las instalaciones se apegarán estrictamente a los requerimientos de
los equipos, cuidando las especificaciones del cableado y de los
circuitos de protección necesarios.
 En ningún caso se permitirán instalaciones improvisadas o
sobrecargadas.
 La supervisión y control de las instalaciones se llevará a cabo en los
plazos y mediante los mecanismos que establezca el Comité.

Lineamientos En Informática: Información
 La información almacenada en medios magnéticos se deberá
inventariar, anexando la descripción y las especificaciones de la
misma, clasificándola en tres categorías:
 Información histórica para auditorias.
 Información de interés de la organización.
 Información de interés exclusivo de alguna área en particular.
 Los jefes de área responsables de la información contenida en los
departamentos a su cargo, delimitarán las responsabilidades de sus
subordinados y determinarán quien está autorizado a efectuar
operaciones emergentes con dicha información tomando las medidas
de seguridad pertinentes.
 Se establecen tres tipos de prioridad para la información:
 En caso de información vital para el funcionamiento del área, se
deberán tener procesos colaborativos, así como tener el respaldo
diario de las modificaciones efectuadas, rotando los dispositivos de
respaldo y guardando respaldos históricos semanalmente.
 El respaldo de la información ocasional o eventual queda a criterio
del área.
 La información almacenada en medios magnéticos, de carácter
histórico, quedará documentada como activos del área y estará
debidamente resguardada en su lugar de almacenamiento.
 Es obligación del responsable del área, la entrega conveniente de la
información, a quien le suceda en el cargo.
 Ningún colaborador en proyectos de software y/o trabajos
específicos, deberá poseer, para usos no propios de su
responsabilidad, ningún material o información confidencial de la
organización tanto ahora como en el futuro.

Plan De Contingencias Informáticas
 La Administración de Informática creará para los departamentos un
plan de contingencias informáticas que incluya al menos los
siguientes puntos:
 Continuar con la operación del área con procedimientos informáticos
alternos.
 Tener los respaldos de información en un lugar seguro, fuera del
lugar en el que se encuentran los equipos.
 Tener el apoyo por medios magnéticos o en forma documental, de
las operaciones necesarias para reconstruir los archivos dañados.
 Contar con un instructivo de operación para la detección de posibles
fallas, para que toda acción correctiva se efectúe con la mínima
degradación posible de los datos.
 Contar con un directorio del personal interno y del personal externo
de soporte, al cual se pueda recurrir en el momento en que se
detecte cualquier anomalía.
 Ejecutar pruebas de la funcionalidad del plan.
 Mantener revisiones del plan a fin de efectuar las actualizaciones
respectivas.
Estrategias Informáticas
 La estrategia informática de la organización se consolida en el Plan
Maestro de Informática y está orientada hacia los siguientes puntos:
 Plataforma de Sistemas Abiertos (Portables).
 Esquemas de operación bajo el concepto multicapas.
 Estandarización de hardware, software base, utilitarios y estructuras
de datos
 Intercambio de experiencias entre Departamentos.

 Manejo de proyectos conjuntos con las diferentes áreas.
 Programa de capacitación permanente para los colaboradores de la
organización.
Acceso Físico
 Sólo al personal autorizado le está permitido el acceso a las
instalaciones donde se almacena la información confidencial de la
organización.
 Sólo bajo la vigilancia de personal autorizado, puede el personal
externo entrar en las instalaciones donde se almacena la información
confidencial, y durante un período de tiempo justificado.
Identificadores De Usuario Y Contraseñas
 Todos los usuarios con acceso a un sistema de información o a una
red informática, dispondrán de una única autorización de acceso
compuesta de identificador de usuario y contraseña.
 Ningún usuario recibirá un identificador de acceso a la Red de
Comunicaciones, Recursos Informáticos o Aplicaciones hasta que no
acepte formalmente la Política de Seguridad vigente.
 Los usuarios tendrán acceso autorizado únicamente a aquellos datos
y recursos que precisen para el desarrollo de sus funciones,
conforme a los criterios establecidos por el responsable de la
información.
 La longitud mínima de las contraseñas será igual o superior a ocho
caracteres, y estarán constituidas por combinación de caracteres
alfabéticos, numéricos y especiales.
 Los identificadores para usuarios temporales se configurarán para un
corto período de tiempo. Una vez expirado dicho período, se
desactivarán de los sistemas.
Salida De Información

 Toda salida de información (en soportes informáticos o por correo
electrónico) sólo podrá ser realizada por personal autorizado y será
necesaria la autorización formal del responsable del área del que
proviene.
 Además, en la salida de datos especialmente protegidos (como son
los datos de carácter personal para los que el Reglamento requiere
medidas de seguridad de nivel alto), se deberán cifrar los mismos o
utilizar cualquier otro mecanismo que garantice que la información no
sea inteligible ni manipulada durante su transporte.
Uso Apropiado De Los Recursos
 Los Recursos Informáticos, Datos, Software, Red Corporativa y
Sistemas de Comunicación Electrónica están disponibles
exclusivamente para cumplimentar las obligaciones y propósito de la
operativa para la que fueron diseñados e implantados. Todo el
personal usuario de dichos recursos debe saber que no tiene el
derecho de confidencialidad en su uso.
2.6.1 PROHIBICIONES
 El uso de estos recursos para actividades no relacionadas con el
propósito del negocio, o bien con la extralimitación en su uso.
 Las actividades, equipos o aplicaciones que no estén directamente
especificados como parte del Software o de los Estándares de los
Recursos Informáticos propios de la organización.
 Introducir voluntariamente programas, virus, macros, applets,
controles ActiveX o cualquier otro dispositivo lógico o secuencia de
caracteres que causen o sean susceptibles de causar cualquier tipo
de alteración o daño en los Recursos Informáticos. El personal
contratado por la organización tendrá la obligación de utilizar los
programas antivirus y sus actualizaciones para prevenir la entrada en
los Sistemas de cualquier elemento destinado a destruir o corromper
los datos informáticos.
 Intentar destruir, alterar, inutilizar o cualquier otra forma de dañar los
datos, programas o documentos electrónicos.

 Albergar datos de carácter personal en las unidades locales de disco
de los computadores de trabajo.
 Cualquier fichero introducido en la red corporativa o en el puesto de
trabajo del usuario a través de soportes automatizados, Internet,
correo electrónico o cualquier otro medio, deberá cumplir los
requisitos establecidos en estas normas y, en especial, las referidas
a propiedad intelectual y control de virus.
2.6.2 ACTUALIZACION DE LAS POLITICAS DE SEGURIDAD
 Debido a la propia evolución de la tecnología y las amenazas de seguridad,
y a las nuevas aportaciones legales en la materia, la organización se
reserva el derecho a modificar esta Política cuando sea necesario. Los
cambios realizados en esta Política serán divulgados a todos los
colaboradores de la organización.
 Es responsabilidad de cada uno de los colaboradores de la organización, la
lectura y conocimiento de la Política de Seguridad más reciente.
2.7 CONCLUSION
Las políticas de seguridad de la información descrita en el documento permitirán
un desenvolvimiento seguro de las transacciones digitales a través de la red de
datos. Los administradores y usuarios serán los principales responsables de
cumplir las PSI empresarial. El único objetivo es transcender la información valiosa
alimentada durante toda la carrera de la organización, por ello es importante el
análisis, gestión, actualización de normas y procedimientos según el andar
empresarial.
2.7.1 RECOMENDACIONES
 Es recomendable la participación de todos y cada uno de los usuarios que
hacer uso activo de la tecnología dentro de la empresa. La supervisión del
cumplimiento de la PSI corresponde a los administradores.
 Es necesario de parte de los Gerentes de TI socializar las nuevas normas y
procedimientos a los usuarios para que con ello exista la aceptación y
aplicación de las mismas.

 No olvidar que las PSI son un proceso activo y dinámico, en donde los
factores sociales, de información, de participación, responsabilidad son
claves para mantener la información con el menor índice de riesgo.
 Actualizar de forma constante, transparente y de acuerdo a las necesidades
existentes al momento, el manual de normas y políticas de seguridad
informática.
 Crear un comité de seguridad de la información.
 Asignar presupuesto para la gestión de seguridad de la información.
 Fijar objetivos para salvaguardar la información.
 Concienciar a los usuarios, en temas de seguridad, hacerles sentirse
responsables y parte de la organización.
 Involucrar tanto al personal técnico, como directivos de la organización, o a
la alta gerencia en temas de seguridad.
 Dar seguimiento a estándares internacionales sobre temas de seguridad de
la información.
 Realizar pruebas de intrusión, locales y externas por el personal de la
organización de forma periódica.
 Capacitar a los empleados de la organización, en temas de seguridad,
adoptando un estricto control de las técnicas más comunes de persuasión
de personal (ingeniería social).

Manual de luz redes

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (19)

Similar a Manual de luz redes

Similar a Manual de luz redes (20)

Manual de luz redes