MANUAL DE PROCEDIMIENTOS DE LAS POLITICAS DE SEGURIDAD

INFORMATICA DE LA EMPRESA EN-CORE DE LA CIUDAD DE MEDELLN

1. GENERALIDADES

1.1 INTRODUCCIN

El documento que a continuacin se presenta describe el origen, evolucin y

logros en cuanto a la implementacin de polticas de seguridad informtica en la
empresa colombiana EN-CORE, que presta servicios de investigacin tecnolgica
para las empresas del pas.

1.2 OBJETIVO DEL MANUAL

Establecer y desarrollar cada una de las polticas de seguridad que sern

aplicadas en las instalaciones de la empresa colombiana EN-CORE as como sus
dependencias, con el fin establecer las medidas de ndole tcnica y de
organizacin, necesarias para garantizar la seguridad en cuanto al manejo de la
informacin.

2. ESTUDIO PRELIMINAR DE LA SITUACIN

La empresa colombiana En-core, presta servicios de investigacin tecnolgica

para las empresas del pas. Su sede principal se encuentra en Medelln. Esta
empresa est en un proceso de expansin, por lo que andan construyendo 2
sucursales ms en la misma ciudad, y una de ellas en la capital del pas, Bogot.
Se busca gestionar la seguridad de las redes de esta empresa, debido a que
maneja datos crticos y secretos para la competencia.

Figura 1. Ubicacin geogrfica.

2.1. TIPO DE RED UTILIZADO POR LA EMPRESA

Para poder establecer la base del sistema de de seguridad de la empresa

debemos conocer el tipo de red que utiliza.

Por alcance: WAN: Redes de rea amplia. Redes que cubren un pas o un
continente, en nuestro caso se habla de dos ciudades diferentes Medelln -
Bogot.
Por medio de conexin: Medio no guiado: Esta es una red cuya conexin
se hace de manera inalmbrica.
Por relacin funcional: Relacin cliente-servidor: Este tipo de red se
maneja cuando un computador, al que llamaremos cliente, hace una
peticin para usar un programa o un servicio, a otro computador que
controla dicho programa, al que llamamos servidor. Esta topologa es la
ms usada en las organizaciones, pues a travs del servidor se hace todo
un seguimiento a la seguridad de la red. En nuestro caso el servido estar
ubicado en la sede principal en Medelln.
Por topologa: Estrella: Los servidores centrales reciben la conexin de
todos los ordenadores.
Por direccin de datos: Full dplex: Tanto los servidores como los
ordenadores van poder transmitir de manera simultnea.

2.2. ORIGEN DE ERRORES

Se realizo un estudio en la empresa EN-CORE con el fin de establecer el origen

de los errores que vulneran la seguridad de la informacin en la red, lo cual arrojo
los siguientes resultados:

Errores de los empleados 50%

Empleados deshonestos 15%
Empleados descuidados 15%
Otros 20% (Intrusos ajenos a la Empresa 10%; Integridad fsica de instalaciones
10% )

Se puede ver que el 80% de los problemas, son generados por los empleados de
la organizacin, y, stos se podran tipificar en tres grandes grupos:

Problemas por ignorancia

Problemas por haraganera
Problemas por malicia

De estos 3 problemas, el de la ignorancia es el ms fcil de atacar. Se deben

llevar capacitaciones y entrenamientos peridicos a los usuarios en las reas
digitales, y, aunque obvio para algunas personas, recordar de tanto en tanto,
cosas que todos deben conocer.
La haraganera, ms que un problema, es una tentacin, tanto para los usuarios,
como para el administrador de las polticas. Sin embargo, cuando las personas
ven las metas de los sistemas de seguridad y ven en la organizacin un ambiente
no de censura sino de focalizacin de soluciones, tienden a evitar la haraganera o
pereza, descargando gran cantidad de trabajo en la administracin y en la
gerencia, entes responsables por la productividad de los empleados.

Finalmente, la malicia se debe combatir con el desarrollo de lealtad en los

trabajadores por su trabajo.

Como vimos anteriormente, el 80% de los problemas de seguridad de una

organizacin surgen de los empleados. Es por esto que ellos deben estar
comprometidos con el desarrollo de las polticas. No nos cansaremos de enfatizar
que el primer y ltimo elemento de la comunicacin son las personas.

De este apartado surge el concepto de visibilidad, cuya idea principal es la de

permitir que los usuarios puedan aportar en el desarrollo de dichas polticas y sean
siempre conocidas las acciones tomadas, evitando as la unilateralidad de las
decisiones y pudiendo llegar a obtener soluciones ms efectivas de las que se
iban a tomar en un principio, al sopesar perspectivas diferentes a las planteadas
por los expertos.

2.3. ANLISIS PARA LLEVAR A CABO EL SISTEMA DE SEGURIDAD

INFORMTICA

Creamos una base de anlisis para el sistema de seguridad, que est basada en
varios elementos:

Factor humano de la empresa

Mecanismos y procedimientos con que cuenta la empresa
Ambiente en que se desenvuelve la organizacin
Consecuencias posibles si falla la seguridad de la empresa
Amenazas posibles de la empresa.

Luego de evaluado todo este conjunto de elementos, que conforman la base del
anlisis del sistema de seguridad se procede a realizar el programa de
seguridad, El cual contiene todos los pasos a tomar para asegurar la seguridad
deseada. Luego de realizado este programa, se pasa al plan de accin, que
posee todas las acciones a llevar a cabo para implantar el programa de seguridad.
El paso siguiente es crear un manual de procedimientos y normativas, que
sern en suma la forma en la que cada elemento del programa debe ser aplicado
en el elemento correspondiente, y las acciones a llevar a cabo luego de violada
una norma.
Mientras los programas de seguridad, plan de accin y procedimientos son
llevados a cabo, se debe ejercer un control y vigilancia de cada uno de ellos,
para asegurar su realizacin. Este control debe ser auditado, con el propsito de
generar los logfiles o archivos de evidencias, que pueden ser revisados en
cualquier momento para analizar la forma en la que fue llevado a cabo el control y
poder generar cualquier cambio. La auditada realizada tambin sirve para generar
simulaciones que permitan probar el sistema. Estas simulaciones pasan por una
revisin que da fe del desempeo de las polticas de seguridad, y que ayuda a
modificar las bases del anlisis, as como el programa, plan y las normativas de
seguridad.

Figura 2. Base de anlisis para el sistema de seguridad.

3. PROGRAMA DE SEGURIDAD Y PLAN DE ACCIN

A la hora de realizar el anlisis de la empresa, se han detectado ciertas

vulnerabilidades graves como por ejemplo que no exista un replicado de la
informacin, que no existan polticas de acceso a la informacin o la ms
importante, que los responsables de la empresa no tengan conciencia de la
importancia de dotar a su empresa de unas adecuadas medidas de seguridad
para proteger la informacin de la misma. Para conseguir reducir el riesgo de la
empresa se van a detallar las medidas que se debern emplear para conseguir
que consiga ponerse al da en la seguridad de su informacin y elementos
informticos. Dentro de las medidas a emplear para eliminar las vulnerabilidades y
dotar a la empresa de una seguridad adecuada, se pueden distinguir varios tipos:

Medidas preventivas: Medidas que se debern implantar en la prevenir la

posible explotacin de una vulnerabilidad por parte de una amenaza.
Medidas correctoras: Medidas que se debern implantar en la empresa para
corregir problemas o fallos debidos a amenazas que se han materializado.

Riesgos asumibles: Pueden existir vulnerabilidades de la empresa que no sean

sensibles a que un riesgo las explote, por lo que esa vulnerabilidad no es
necesario que sea tenida en cuenta a la hora de establecer las medidas de
seguridad.

3.1 MEDIDAS APLICADAS A DESASTRES NATURALES

A la hora de establecer medidas para proteger a la empresa de daos debidos a

desastres naturales hay que tener en cuenta que no se puede controlar que
lleguen, o no, a materializarse por lo que la empresa est expuesta a ellos y
nicamente se pueden establecer medidas preventivas para intentar minimizar en
lo posible el dao.

Medidas preventivas a adoptar dentro de la empresa:

Instalacin de dispositivos de proteccin de lneas elctricas contra

sobrecargas.

Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida)

para garantizar el suministro elctrico en caso de cada del sistema
elctrico general.

Realizacin peridica de copias de Backup localizadas en servidores

externos a la empresa. Aunque antes se ha comentado que para tratar los
desastres naturales slo se pueden establecer medidas preventivas, la
realizacin de copias de Backup se puede incluir tambin dentro de
medidas correctoras.

3.2 MEDIDAS APLICADAS A PROBLEMAS ESTRUCTURALES

Los posibles daos estructurales que se den en la empresa, an siendo ajenos a

la propia empresa s pueden ser controlados mediante revisiones peridicas o
mediante la contratacin de servicios alternativos.

Medidas preventivas a adoptar dentro de la empresa:

Revisin peridica de la instalacin elctrica.

Instalacin de dispositivos automticos de extincin de incendios.

 Distribucin de extintores a lo largo de toda la dependencia de la empresa,
en especial cerca de elementos informticos crticos.

Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida)

para garantizar el suministro elctrico en caso de cada del sistema
elctrico general.

Contratacin de dos lneas exteriores con suministradores de internet para

garantizar siempre una conexin mnima a la red.

Medidas correctoras a adoptar dentro de la empresa:

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

Riesgos asumibles en la empresa:

Prdida de las comunicaciones durante un periodo inferior a 24 horas.

3.3 MEDIDAS APLICADAS A PROBLEMAS DE HARDWARE

En el anlisis realizado dentro de la empresa se han detectado varios fallos en el

correcto mantenimiento y seguridad del equipamiento Hardware disponible, sobre
todo debido a la ausencia de un sistema de almacenamiento centralizado, lo que
pone en grave riesgo la integridad de la informacin almacenada dentro de dicho
Hardware. Algunas medidas aplicables para evitar prdidas:

Medidas preventivas a adoptar dentro de la empresa:-

Instalacin de un servidor de almacenamiento centralizado donde se

almacene toda la informacin generada dentro de la empresa y que
garantice un acceso adecuado, y seguro, a la misma cuando sea necesario.

Disponer de copias de respaldo almacenadas en servidores exteriores a la

empresa para prevenir posibles fallos de Hardware.

Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar

posibles fallos de los equipos debidos a cortes de energa repentinos.

Tener contratado un buen servicio tcnico que asegure una rpida

reparacin y puesta en marcha de los equipos si se produce un fallo.
Medidas correctoras a adoptar dentro de la empresa:

Tener contratado un buen servicio tcnico que asegure una rpida

reparacin y puesta en marcha de los equipos si se produce un fallo.

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

Riesgos asumibles en la empresa:

Fallo en alguna estacin PC o porttil durante un periodo inferior a 24horas.

3.4 MEDIDAS APLICADAS A PROBLEMAS DE SOFTWARE

El Software es el elemento ms crtico de la empresa, pues debido a la falta de

concienciacin de seguridad de los responsables de la misma; los elementos
Software que componen los activos de la empresa no estn siempre
correctamente actualizados y preparados para evitar posibles prdidas de
informacin no deseadas.

Medidas preventivas a adoptar dentro de la empresa:

Realizar peridicamente, o cuando sea requerido por el distribuidor del

Software, las actualizaciones oportunas para mantener al da los distintos
programas y Sistemas Operativos.

Instalacin de bases de datos centralizadas donde se almacenen todos los

datos importantes generados por la empresa para facilitar el
almacenamiento, accesibilidad y seguridad de los datos.

Disponer de Software de calidad y debidamente revisado.

Establecer una poltica de contraseas para acceder a los diferentes

equipos de la empresa.

Medidas correctoras a adoptar dentro de la empresa:

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

3.5 MEDIDAS APLICADAS A PROBLEMAS DE RED

La red es uno de los elementos ms sensibles de la empresa, puesto que dentro
de la misma no son conscientes de lo perjudicial que puede llegar a ser un ataque
exterior y tampoco saben aprovechar las oportunidades que sta puede
proporcionar.

Medidas preventivas a adoptar dentro de la empresa:

Montaje de una red interna en la empresa para garantizar que todas las
comunicaciones internas y de carcter confidencial no salen de la
estructura de la propia empresa.

Mantener correctamente instalados y actualizados los sistemas de

seguridad Software de los que dispone la empresa.

Instalacin en la totalidad de equipos de la empresa igual Software de

seguridad que garantice la seguridad de los equipos.

Establecimiento de polticas de seguridad de acceso a la red medianteel

empleo de contraseas.

Instalacin de un Router de acceso gestionable, ms adecuado para la

empresa que el proporcionado por la empresa suministradora del servicio.

Establecer una correcta configuracin de seguridad para la red inalmbrica

que evite accesos indeseados.

Medidas correctoras a adoptar dentro de la empresa:

Disponer de un correcto servicio de mantenimiento por parte de la empresa

suministradora de servicios de comunicaciones que aseguren una rpida
reparacin y restablecimiento del servicio en caso de problemas con la
lnea.

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

Riesgos asumibles en la empresa:

Fallo en los sistemas de comunicacin de red durante un periodo no

superior a 24 horas.

3.6 MEDIDAS APLICADAS A PROBLEMAS DE LAS COPIAS DE SEGURIDAD

La poltica de copias de seguridad es sin duda el taln de Aquiles de la empresa,
pues dentro de la misma no se dispone de ningn sistema que garantice que se
realicen copias de los datos crticos, ni que estas copias estn a salvo y replicadas
en algn sistema de almacenamiento exterior a la empresa. En este punto,
tambin se detecta una falta de concienciacin de los responsables de la empresa
de lo importante que resulta tener la informacin replicada. Como nota de la
importancia de este punto cabe resear que durante la elaboracin del presente
proyecto se perdieron en la empresa los datos fiscales que se encontraban
informatizados del ltimo ao.

Medidas preventivas a adoptar dentro de la empresa:-

Instalacin de un servidor centralizado de copias de seguridad en el cual se

almacenen peridicamente copias de los datos actualizados.

Realizacin peridica de copias de seguridad de los datos, en especial de

los datos crticos, generados en la empresa.

Realizacin peridica de copias de Backup localizadas en servidores

externos a la empresa para garantizar la disponibilidad de los datos ante
cualquier contratiempo en la empresa.

Medidas correctoras a adoptar dentro de la empresa:-

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

3.7 MEDIDAS APLICADAS A PROBLEMAS CON LA INFORMACIN

La informacin es uno de los activos ms importantes con los que cuenta la

empresa y por tanto uno de los ms crticos y que ms habra que proteger.

Medidas preventivas a adoptar dentro de la empresa:

Disponibilidad de copias de seguridad de los ficheros ms importantes en

diferentes soportes.

Instalacin de bases de datos centralizadas donde se almacenen todos los

datos importantes generados por la empresa para facilitar el
almacenamiento, accesibilidad y seguridad de los datos.

Establecimiento de procedimientos de seguridad que establezcan las

acciones a realizar en caso de prdidas de informacin.-
 Establecimiento de planes de contingencia para salvaguardar la informacin
y evitar daos o prdidas de la misma.

Medidas correctoras a adoptar dentro de la empresa:

Seguimiento de los procedimientos de seguridad establecidos para cada

caso.

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

Seguimiento del plan de contingencia especificado para cada caso.

3.8 MEDIDAS APLICADAS A PROBLEMAS CON EL PERSONAL

En cualquier organizacin el personal es un punto crtico pues un empleado

descontento puede provocar graves daos desde dentro de la organizacin. Cabe
recordar que el 80% de los ataques informticos que sufren las empresas
proceden de dentro de la misma. En este caso un ataque desde dentro no es
aplicable pues el personal que trabaja en la empresa es a la vez dueo de la
misma y no realizar acciones conscientes que daen a su propia empresa; an
as, como se ha comentado ya con anterioridad, el personal est muy poco
concienciado con disponer de una adecuada seguridad y poltica de respaldo
dentro de la empresa para garantizar la salvaguarda de su informacin.

Medidas preventivas a adoptar dentro de la empresa:

Conseguir una adecuada concienciacin del personal de la empresa sobre

lo importante que es mantener un cierto nivel de seguridad en los procesos
que se realizan dentro de la empresa. As como establecer una adecuada
poltica de respaldo de informacin.

Disponibilidad de copias de seguridad de los ficheros ms importantes en

diferentes soportes.

Establecer una poltica de contraseas para el acceso a los recursos del

sistema.

Medidas correctoras a adoptar dentro de la empresa:

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.
 Realizacin de cursos de concienciacin sobre la importancia de la
seguridad de los datos para el personal de la empresa.

3.9 MEDIDAS APLICADAS A PROBLEMAS CON EL PATRIMONIO

En cualquier momento se puede estar sujeto a un robo o a una prdida no

intencionada de activos que provoque un problema de disponibilidad de datos
importantes o una prdida irrecuperable de los mismos.

Medidas preventivas a adoptar dentro de la empresa:

Disponibilidad de copias de seguridad de los ficheros ms importantes en

diferentes soportes.

Disponer de un completo inventario de todos los activos de la empresa.

Tener la alarma conectada cuando no hay personal dentro de las

instalaciones de la empresa.

Medidas correctoras a adoptar dentro de la empresa:

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.

3.10 MEDIDAS APLICADAS A PROBLEMAS PROVOCADOS POR OTROS

RIESGOS

Otros factores que pueden afectar a la seguridad de los activos de la empresa

pueden ser problemas de terrorismo, problemas con la imagen de la empresa,
problemas de solvencia de los servicios externos, etc.

Medidas preventivas a adoptar dentro de la empresa:-

Disponer de copias de respaldo almacenadas en servidores exteriores ala

empresa.

Uso de Software comercial que asegure actualizaciones y mantenimiento

con periodicidad.

Medidas correctoras a adoptar dentro de la empresa:

Restauracin de copias de Backup en el caso de haberse producido una

prdida de datos.
 Trabajar nicamente con proveedores de probada solvencia y que
garanticen una rpida reparacin y restitucin del servicio en caso de fallos.

4. LAS TABLAS DE GRUPOS DE ACCESO

Para generar la vigilancia del plan de accin y del programa de seguridad, se

disearon grupos de usuarios para acceder a determinados recursos de la
organizacin. En la siguiente tabla para se explican los grupos de usuarios
definidos y sus privilegios.

NUMERO NOMBRE IDENTIFICACION TIPO DE PERMISOS

DEL USUARIO ACCESO OTORGADOS
1 Base de Empleados Local Solo lectura
datos administrativos
Servidores Tcnicos Lectura y
2 internos y mantenimiento de Local escritura
externos comunicaciones

5. LA VALORACIN DE LOS ELEMENTOS DE LA RED

De acuerdo a la topologa de red definida anteriormente, estableceremos los

riesgos de los recursos de la empresa.

IMPORTANCIA RIESGO
NUMERO NOMBRE RIESGO (Ri) (Wi) EVALUADO
(Ri*Wi)
1 Computadoras 4 6 24
2 Switch 5 5 25
3 Router 6 7 42
4 Bridge 6 3 18
5 Servidor 10 10 100

6. PROCEDIMIENTOS ESCOGIDOS PARA LA RED

Nuestra meta es mantener la seguridad de la organizacin, y mantener estable el

algoritmo P-C, debemos contar con una serie de procedimientos que nos permitan
responder de manera apropiada a las situaciones ms comunes.
A continuacin enunciaremos los procedimientos que consideramos para nuestra
empresa:

7.1 PROCEDIMIENTO DE ALTA DE CUENTA DE USUARIO

Este procedimiento se lleva a cabo para cuando se requiere una cuenta de

operacin para cualquier usuario. Se debe llenar entonces un formulario en el que
existan datos como:

Nombre y apellido
Puesto de trabajo
Jefe que avala el pedido
Trabajos a realizar en el sistema
Tipo de cuenta
Fecha de caducidad
Permisos de trabajo
Etc.

6.2 PROCEDIMIENTO DE BAJA DE CUENTA DE USUARIO

Si un empleado de la organizacin se debe retirar, sea parcial o totalmente de la

organizacin, debe realizarse un formulario en el que se indiquen, aparte de los
datos del mismo, el tipo de alejamiento del usuario (parcial o total) para saber si se
inhabilita su cuenta totalmente, o de manera temporal.

6.3 PROCEDIMIENTO PARA DETERMINAR LOS BUENOS PASSWORDS

Se debe tener un procedimiento para indicarles a los usuarios cuales son las
caractersticas de los passwords que deben asignar a sus cuentas, como el
nmero de caracteres, las caractersticas de los caracteres usados, etc. Es
conveniente usar un programa crackeador sobre el password del usuario para
evaluar su seguridad.

6.4 PROCEDIMIENTO DE VERIFICACIN DE ACCESOS

Como generamos logsticos de diferentes datos de los usuarios, estos logsticos

deben ser auditados, para detectar anomalas en cuanto al comportamiento de los
mismos y generar reportes de dichas auditoras, todo esto con el fin de verificar los
accesos realizados por los usuarios de la organizacin a la red.
6.5 PROCEDIMIENTO PARA EL CHEQUEO DE GRFICOS DE LA RED

Generar grficos del trfico de la red, para observar anomalas en la transferencia

de informacin, el uso indebido de programas, etc.
6.6 PROCEDIMIENTO PARA EL CHEQUEO DE VOLMENES DE CORREO

Se usa para conocer los volmenes de trfico en los correos electrnicos de los
usuarios. Con esto, se permite conocer el uso de los medios de comunicacin, el
spamming (ataque con correo basura), entre otros datos referentes a la
comunicacin o transferencia de informacin confidencial de la empresa.

6.7 PROCEDIMIENTO PARA EL MONITOREO DE CONEXIONES ACTIVAS

Con este procedimiento se evita que el usuario deje su terminal abierta y que otro
usuario pueda usarla de manera mal intencionada.
Lo que se hace es detectar el tiempo de inactividad de las conexiones, y despus
de un determinado tiempo, se desactiva la conexin, y se genera un logstico con
el acontecimiento.

6.8 PROCEDIMIENTO PARA MODIFICACIN DE ARCHIVOS

Es usado para detectar la modificacin no autorizada de archivos, la integridad de

los mismos, y para generar un rastro de las modificaciones realizadas.

6.9 PROCEDIMIENTO PARA RESGUARDO DE COPIAS DE SEGURIDAD

Usado para establecer de manera clara dnde deben guardarse las copias de
seguridad en caso de cualquier inconveniente.

6.10 PROCEDIMIENTO PARA LA VERIFICACIN DE LAS MQUINAS DE

LOS USUARIOS

Este procedimiento permite el escaneo de las mquinas de los usuarios para la

deteccin de programas no autorizados, sin licencia o como fuente potencial de
virus.

6.11 PROCEDIMIENTO PARA EL MONITOREO DE LOS PUERTOS EN LA RED

Permite saber los puertos habilitados en la red y si funcionan de acuerdo a lo

esperado.

6.12 PROCEDIMIENTO PARA DAR A CONOCER LAS NUEVAS NORMAS DE

SEGURIDAD
Es muy importante que todos los usuarios conozcan las nuevas medidas de
seguridad adoptadas por la empresa, por lo que se requiere un procedimiento que
indique la manera en la que esta ser llevada a cabo. Esto evita la excusa de los
usuarios de no conoca las normas.

6.13 PROCEDIMIENTO PARA LA DETERMINACIN DE IDENTIFICACIN DEL

USUARIO Y PARA LA EL GRUPO DE PERTENENCIA POR DEFECTO

Cuando se crea un usuario en el sistema, se le debe dar una identificacin

personal y al mismo tiempo, hacerlo parte de un grupo para que tenga ciertos
beneficios. Cuando el usuario va a cambiar de perfil o de grupo, se necesita
entonces un procedimiento que le indique a este los pasos para cambiar los
derechos que posee.

6.14 PROCEDIMIENTO PARA RECUPERAR INFORMACIN

Un procedimiento sin duda muy importante, permite reconstruir todo el sistema, o

parte de l, a travs de los backups tomados peridicamente de la informacin.