ACTIVIDAD 4

PROYECTO FINAL

Presentado por:

MARY YOHANNA DIAZ GELVIS

C.C 60387206

Tutor:

SILVIA MARGARITA MARIN

CENTRO SERVIVIOS Y GESTIÓN EMPRESARIAL

REGIONAL ANTIOQUIA

Curso Virtual

Ficha: 1739847 - REDES Y SEGURIDAD

Servicio Nacional de Aprendizaje - SENA

Agosto 29 2018
 INTRODUCCIÓN

Las redes informática en el mundo han mostrado un gran progreso, la posibilidad

de comunicarse a través de redes ha abierto mucho horizontes a las empresas
para mejorar su productividad y poder expandirse a muchos países, debido a esto
hay que garantizar la seguridad de la información que se trabaja día a día, estos
riesgos nos han llevado a implementar nuevos procedimientos que nos van a
ayudar en el adecuado uso de los sistemas tecnológicos y de las redes en
general, la cual consisten en compartir recursos, y que todos los programas, datos
y equipo estén disponibles para cualquiera de la red que así lo solicite, sin
importar la localización del recurso y del usuario.

También consiste en proporcionar una alta fiabilidad, al contar con fuentes

alternativas de suministro. Además, la presencia de múltiples CPU significa que si
una de ellas deja de funcionar, las otras pueden ser capaces de encargarse de su
trabajo, aunque se tenga un rendimiento menor. Este manual fue elaborado con
nociones Básicas de Seguridad en redes informáticas, recogiendo los principales
conceptos y recomendaciones de los problemas que se pueden presentar en una
red, con el fin de informar a los trabajadores sobre los riesgos más comunes y sus
medidas preventivas.
ESTUDIO DEL SISTEMA DE SEGURIDAD.

En esta empresa un mecanismo para evitar que la seguridad sea un factor de

riesgo hay que facilitar la formalización de los empleados para que ellos
materialicen las Políticas de Seguridad Informática, por otra parte hay una gran
cantidad de inconvenientes porque las personas no se acoplan al cambio y no les
gusta regirse a los avances; Si realmente quiere que las PSI sean aceptadas,
debemos realizar una integración en la empresa con la misión, visión y objetivos
estratégicos. Por lo anterior es muy importante saber las clases de riesgo tiene la
empresa como lo descritos a continuación:

Mucha información confidencial puede ser observada y alterada continuamente

por otros usuarios.

 Se puede suplantar con facilidad la identidad de los usuarios o

administradores.
 No hay restricción a personas ajenas a la empresa.
 Los equipos de cómputo son el punto más débil en la seguridad porque se
maneja personal variado.
 No hay niveles de jerarquía entre jefes, administradores y usuarios.
 En los sistemas de cómputo la información está completamente abierta. No
hay responsabilidades en los cargos de las distintas dependencias y se
delegaran a sus subordinados sin autorización.
 No se cuenta con un programa de mantenimiento preventivo y correctivo de
los sistemas de cómputo.
 La falla continúa por no tener las normas eléctricas bien aplicadas; dan pie
a cortes de electricidad sin previo aviso.

PROGRAMA DE SEGURIDAD.

La seguridad en la información, es un concepto relacionado con los componentes

del sistema (hardware), las aplicaciones utilizadas en este (software) y la
capacitación del personal que se encargara del manejo de los equipos. Por esta
razón un paso primordial es establecer normas y estándares que permitan obtener
un manejo seguro de toda la infraestructura de comunicación, la información, y por
consiguiente los recursos de la empresa. Se han convertido en un activo de
altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto,
se hace necesario proteger, asegurar y administrar la información necesaria para
garantizar su integridad, confidencialidad y disponibilidad.

El presentar bases, normas de uso y seguridad informáticas dentro de la empresa

respecto a la manipulación, uso de aplicaciones y equipos computacionales
permitirá el buen desarrollo de los procesos informáticos y elevará el nivel de
seguridad de los mismos y así preservar la información y los diferentes recursos
informáticos con que cuenta la Empresa.

PLAN DE ACCIÓN.

El propósito de este plan de acción es asegurar que los funcionarios utilicen

correctamente los recursos tecnológicos que la empresa pone a su disposición,
este será de obligatorio cumplimiento y el usuario que incumpla deberá
responderá por los daños causados a el sistema informático de la empresa, y
tendrá acciones disciplinarias y penales ante la ley. En el plan de acción a seguir
de la empresa adoptaremos los siguientes pasos:

 Crear una cuenta para cada usuario la cual, impedirá que pueda dañar al
sistema o a otros usuarios, y le dará solo los recursos necesarios para la
labor asignada.
 En esta cuenta de usuario se asignaran permisos o privilegios al usuario
para acceder a los sistemas de información y desarrollará actividades
dentro de ellas de forma personalizada. Implementar una base de datos
de usuario, esto permite realizar seguimiento y control.
 Para la creación de cuentas se deberá enviar una solicitud a la oficina de
Sistemas, con el visto bueno del jefe de cada área, donde se bebe resaltar
los privilegios que va a tener el usuario.
 Cuando un usuario reciba una cuenta, deberá acercarse a la oficina de
sistema para informarle las responsabilidades y el uso de esta.
 Por ningún motivo se concederá una cuenta a personas ajenas a la
empresa.
 El departamento de Recursos Humanos debe informar al departamento de
Sistemas los funcionarios que dejan de laborar, para desactivarle la cuenta.
 El acceso a internet se permitirá al personal que lo necesite este será de
uso laboral y no personal, con el fin de no saturar el ancho de banda.
 No acceder a páginas de entretenimiento, pornografía, o que estén fuera
del contexto laboral.
 No se descargara información en archivos adjuntos de dudosa procedencia,
esto para evitar el ingreso de virus al equipo.
 Ningún usuario está autorizado para instalar software en su ordenador. El
usuario que necesite algún programa específico para desarrollar su
actividad laboral, deberá comunicarlo al Departamento de Sistemas.
 Los empleados de la Empresa solo tendrán acceso a la información
necesaria para el desarrollo de sus actividades.
 Ningún empleado debe instalar ningún programa para ver vídeos, música o
juegos vía Internet.
 Se debe utilizar el correo electrónico como una herramienta de trabajo, y no
para recibir mensajes de amigos y familiares, para eso está el correo
personal.
 No enviar archivos de gran tamaño a compañeros de oficina, esto ocupa
mucho espacio en la banda. No participar en la propagación de mensajes
encadenados o de esquemas de pirámides.
 No enviar grandes cadenas de chistes en forma interna.
 No se debe abrir o ejecutar archivos adjuntos a correos dudosos, ya que
podrían contener códigos maliciosos.
 El acceso a las cuentas personales no debe hacerse en jornadas laborales
ni en los equipo de la empresa.
 Cuando el usuario deje de usar su estación de trabajo deberá cerrar y
verificar el cierre del correo, para evitar que otra persona use su cuenta.
 Se debe mantener los mensajes que se desea conservar, agrupándolos por
temas en carpetas personales.
 El departamento de Sistemas determinará el tamaño máximo que deben
tener los mensajes del correo electrónico.
 Los mensajes tendrán una vigencia de 30 días desde la fecha de entrega o
recepción. Terminada la fecha, los mensajes deberán ser eliminados del
servidor de correo.
 Se creara una carpeta compartida para todos los empleados esta es de uso
laboral para compartir tareas y no para almacenar cosas personales o
innecesarias.
 También se crearan unas subcarpetas compartidas de cada departamento,
jefes, supervisores y administradores pero se crearan privilegio para el uso
de estas.
 A la información vital se le realizara una copia de seguridad todos los fines
de semana, con el fin de proteger, tener respaldo de los datos y el buen
manejo de la red.
 La información que se guarde en la red y no sea utilizada, debe eliminarse y
guardarla ya sea en el equipo o en memorias USB, para no mantener la red
llena.
 No modificar ni manipular archivos que se encuentren en la red que no
sean de su propiedad.
 Los usuarios no pueden instalar, suprimir o modificar el software entregado
en su computador.
 No se puede instalar ni conectar dispositivos o partes diferentes a las
entregadas en los equipos.
  No es permitido abrir la tapa de los equipos, y retirar parte de estos por
personal diferente al departamento de sistemas.
 Los equipos, escáner, impresoras, lectoras y equipos de comunicación no
podrán ser trasladados del sitio que se les asignó inicialmente, sin previa
autorización del departamento de sistemas o seguridad.
 Se debe garantizar la estabilidad y buen funcionamiento de las
instalaciones eléctricas, asegurando que los equipos estén conectados a
una corriente regulada, o Ups.
 Los equipos deben estar ubicados en sitios adecuados, evitando la
exposición al agua, polvo o calor excesivo.
 Ningún usuario, podrá formatear los discos duros de los computadores.
 Ningún usuario podrá retirar partes o usar los equipos de comunicación
para uso personal sin la autorización del departamento de sistemas.
 A los equipos personales no se les brindará soporte de ninguna índole: ni
de hardware ni de software, porque son responsabilidad del dueño.
 La dirección IP asignada a cada equipo debe ser conservada y no se debe
cambiar sin la autorización del departamento de Sistemas porque esto
ocasionaría conflictos y esto alteraría el flujo de la red.
 No llenar el espacio de disco del equipo con música ni videos, ni
información personal que no sea necesaria para el desarrollo de sus tareas
con respecto a la entidad.
 Se capacitara al personal para tener un análisis previo y evaluar en qué
parte es necesario mejorar o resolver un problema.
 Dar una capacitación de la actividad a desarrollarse y en la que cada
funcionario se va a desempeñar específicamente.
 Es estrictamente obligatorio, informar oportunamente al departamento de
sistemas las novedades por problemas eléctricos, técnicos, de planta física,
etc. que altere la correcta funcionalidad del sistema.

TABLA DE GRUPOS DE ACCESO.

 Recurso del Sistema

 Riesgo R
 Tipos de Acceso
 Permisos Otorgados
 Numero
 Nombre

1. Router (56): Es uno de los más importantes ya que de la buena

configuración de este depende mucho la seguridad de nuestra red.
 2. Swiche (48): El buen funcionamiento de este hace posible distribuir toda la
información a la red.
3. Impresora (16): En este recurso es posible llevar cualquier información aun
documento físico.
4. Cableado (20): De este depende intercomunican entre terminales y
servidores.
5. Servidor (100): Es el de mayor importancia porque todas las acciones se
realizarán a través de este.
6. Terminal (25): Es importante porque por medio de estos alimentaremos al
servidor.
7. Base de Datos (48): Es de gran importancia ya que almacena toda la
información de la empresa.

PROCEDIMIENTOS.

En la empresa se utilizaran una serie de procedimientos que nos ayudaran a tener

un control sobre los equipos, usuarios y toda la información vital en la red, estos
procedimientos serán una propuesta de políticas de seguridad, como un recurso o
mecanismo para mitigar los riesgos a los que se ve expuesta.

Equipos y Bienes de la empresa:

 Se tiene que crear un medio de escrito para controlar y velar la

seguridad informática de las diferentes áreas de la Empresa.
 Para los efectos de este instrumento se entenderá por: Comité Al equipo
integrado por la Gerencia, los Jefes de área y el personal administrativo
(ocasionalmente) convocado para fines específicos como: Adquisiciones
para la compra de nuevos Hardware y software para la empresa.
 Velar por el buen funcionamiento de las herramientas tecnológicas que
se van a utilizar en las diferentes áreas de la empresa.
 Elaborar y efectuar seguimiento el Plan de acción de la empresa
verificando todas la normatividad vigente de la misma.
 Elaborar el plan correctivo realizando en forma clara cada dependencia
de la empresa para poder corregirlo, y en las futuras revistas poder
tener solucionado las novedades encontradas y levar a un margen de
error de cero.
 La instancia rectora de los sistemas de informática de la empresa es la
Gerencia, y el organismo competente para la aplicación de este
ordenamiento, es el Comité que fue nombrado.
 Compra de recursos informáticos.
  Para toda compra que se haga en tecnología informática se realizara a
través del Comité, que está conformado por el personal de la
Administración de Informática.
 El comité de Informática deberá planear las operaciones para la compra
de los bienes informáticos que se necesitan con prioridad y en su
elección deberá tomar en cuenta: el estudio técnico, precio, calidad,
experiencia, desarrollo tecnológico, estándares y capacidad, costo
inicial, costo de mantenimiento y consumibles por el período estimado
de uso de los equipos.
 Para la compra de Hardware el equipo que se desee adquirir deberá
estar dentro de las listas de ventas vigentes de los fabricantes y/o
distribuidores del mismo y dentro de los estándares de la empresa.
 La marca de los equipos o componentes deberá contar con presencia y
permanencia demostrada en el mercado nacional e internacional, así
como con asistencia técnica.
 Los dispositivos de almacenamiento, así como las interfaces de entrada
y salida, deberán estar acordes con la tecnología de punta vigente, tanto
en velocidad de transferencia de datos.
 Las impresoras deberán apegarse a los estándares de Hardware y
Software vigente en el mercado y en la empresa.
 En lo que se refiere a los servidores, equipos de comunicaciones, deben
de contar con un programa de mantenimiento preventivo y correctivo
que incluya su período de garantía.
 Instalación de equipos.
 Los equipos y las redes para uso de la empresa se instalarán en lugares
adecuados, lejos de polvo y tráfico de personas.
 La Administración de Informática, así como las áreas operativas
deberán contar con un mapa actualizado de las redes, equipos,
instalaciones eléctricas y de comunicaciones de la red.
 Las instalaciones eléctricas y redes, estarán fijas o resguardadas del
paso de personas o máquinas, y libres de cualquier peligro eléctrico o
magnetismo.
 Manejo de la información.
 La información almacenada en medios magnéticos o físicos se deberá
inventariar, anexando la descripción y las especificaciones de la misma,
clasificándola en categorías.
 Los jefes de las dependencias responsables de la información contenida en
la oficina a su cargo, delegaran responsabilidades a sus subordinados y
determinarán quien está autorizado a efectuar operaciones salientes con
 dicha información tomando las medidas de seguridad pertinentes. Se
establecerán tres tipos de prioridad para la información de la dependencia:

Información vital, necesaria y ocasional o eventual.

 La información vital para el funcionamiento de la dependencia, se deberán

tener un buen proceso a la información, así como tener el apoyo diario de
las modificaciones efectuadas y guardando respaldos históricos
semanalmente.
 Funcionamiento de la red.
 Una obligación del comité de la Administración de Informática es vigilar que
las redes y los equipos se usen bajo las condiciones especificadas por el
proveedor.
 El personal ajeno de la empresa al usar la red o un equipo de cómputo,
debe estar su vigilado por un miembro de la empresa y se abstendrán de
consumir alimentos, fumar o realizar actos que perjudiquen el
funcionamiento del mismo o deterioren la información almacenada.
 Mantener claves de acceso que permitan el uso solamente al personal
autorizado para tal fin.
 Verificar la información que provenga de fuentes externas a fin de examinar
que esté libre de cualquier agente contaminante o perjudicial para el
funcionamiento de los equipos.
 En ningún caso se autorizará la utilización de dispositivos ajenos a los
procesos informáticos de la dependencia, por consecutivo, se prohíbe el
ingreso y/o instalación de hardware y software a particulares, es decir que
no sea propiedad de la empresa.

Contraseñas.

 Todos los que laboren en la parte de las dependencias de la empresa

deben tener un usuario con acceso a un sistema de información o a una red
informática, colocando una única autorización de acceso compuesta de
usuario y contraseña.
 Ningún trabajador tendrá acceso a la red, recursos informáticos o
aplicaciones hasta que no acepte formalmente la Política de Seguridad.
 Los usuarios tendrán acceso autorizado solo a los recursos que le asignen
la empresa para el desarrollo de sus funciones.
 La contraseña tendrá una longitud mínima de igual o superior a ocho
caracteres, y estarán constituidas por combinación de caracteres
alfabéticos, numéricos y especiales.
  Los identificadores para usuarios temporales se configurarán para un corto
período de tiempo. Una vez expirado dicho período, se desactivarán de los
sistemas inmediatamente.

Responsabilidades.

 Los usuarios son responsables de toda actividad relacionada con el uso de

su acceso autorizado que la empresa le asigno.
 Los usuarios no deben revelar bajo ningún concepto su contraseña a
ninguna persona ni mantenerla por escrito a la vista, ni al alcance de
terceros.
 Los usuarios no deben utilizar ningún acceso o contraseña de otro usuario,
aunque dispongan de la autorización del propietario.
 En el caso que el sistema no lo solicite automáticamente, el usuario debe
cambiar su contraseña como mínimo una vez cada 30 días. En caso
contrario, se le podrá denegar el acceso y se deberá contactar con el jefe
inmediato para solicitar al administrador de la red una nueva clave.
 Los usuarios deben notificar a su jefe inmediato cualquier incidencia que
detecten que afecte o pueda afectar a la seguridad de los datos de carácter
personal: pérdida de listados y/o información, sospechas de uso indebido
del acceso autorizado por otras personas.
 Los usuarios únicamente introducirán datos identificativos y direcciones o
teléfonos de personas en las agendas de contactos de las herramientas
informáticas.

HERRAMIENTAS.

Las herramientas de control que se pueden utilizar para administrar una red
dependiendo de las fallas descritas en este manual son las siguientes:

 GABRIEL: Detecta ataques SATAN, genera alertas vía e-mail o en el

servidor.
 NETLOG: Registra conexión cada milisegundo, corrige ataques SATAN o
ISS, genera Trazas.
 COURTNEY: Detecta ataques SATAN, genera información procesada por
TCPDump: ve la información de cabecera de paquetes: Maquina de origen,
máquina de destino, protocolos utilizados y chequea los puertos en un
lapso de tiempo corto.
 Y las herramientas que se utilizaran para chequear el sistema son las
siguientes:
 CRACK: Es una herramienta virtual del sistema y permite forzar las
contraseñas de usuario, para medir el grado de complejidad de las
 contraseñas, las contraseñas de nuestro sistema siempre están
encriptados.
 TRIPWIRE: Su función principal es la de detectar cualquier cambio o
modificación en el sistema de archivos, como modificaciones no
autorizadas o alteraciones maliciosas en los software.
 TIGER: Chequea elementos de seguridad del sistema para detectar
problemas y vulnerabilidades ayudando a configurar el sistema en general,
sistemas de archivos, caminos de búsqueda, cuentas de usuarios, y
también configuraciones de usuarios.

Además, el supervisor de Informática, deberá desarrollar una revisión a los demás

distintos medios como (intranet, email, sitio web oficial, etc.), y tomara las medidas
necesarias para el cumplimiento de los Procedimientos de Seguridad.

GLOSARIO.

 Cracker: Un "cracker" es una persona que intenta acceder a un sistema

informático sin autorización. Estas personas tienen a menudo malas
intenciones, en contraste con los "hackers", y suelen disponer de muchos
medios para introducirse en un sistema.
 Hacker: Persona que tiene un conocimiento profundo acerca del
funcionamiento de redes y que puede advertir los errores y fallas de
seguridad del mismo. Al igual que un cracker busca acceder por diversas
vías a los sistemas informáticos pero con fines de protagonismo contratado.
 Local Área Network (LAN): (Red de datos para dar servicio a un área
geográfica pequeña, un edificio por ejemplo, por lo cual mejorar de Área
Local) los protocolos de señal de la red para llegar a velocidades de
transmisión de hasta 100 Mbps (100millones de bits por segundo).
 SATAN (Security Analysis Tool for Auditing Networks): Herramienta de
Análisis de Seguridad para la Auditoria de redes. Conjunto de programas
escritos por Dan Farmer junto con Wietse Venema para la detección de
problemas relacionados con la seguridad.
 TCP/IP (Transmisión Control Protocol/Internet Protocol): Arquitectura de red
desarrollada por la "DefenseAdvanced Research Projects Agency" en USA,
es el conjunto de protocolos básicos de Internet o de una Intranet.
 Trojan Horse (Caballo de Troya): programa informático que lleva en su
interior la lógica necesaria para que el creador del programa pueda acceder
al interior del sistema que lo procesa.
 Intranet: Una red privada dentro de una compañía u organización que utiliza
el mismo software que se encuentra en Internet, pero que es solo para uso
interno.