Ing. De Sistemas

Proyecto Final

________________________________________

Recomendaciones para presentar la Actividad:

• Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Proyecto Final.

• Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre Orlando Miranda Hernández

Fecha 18/09/2013

Actividad Proyecto final

Tema Manual de Procedimientos

Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta magna” de la seguridad de la red: El manual de procedimientos.

Proyecto Final

________________________________________

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentación para cualquier empleo en el que se le exija experiencia.

INTRODUCCIÓN

La actualidad de las organizaciones son cada vez más dependientes de sus redes informáticas por tal motivo hay que evitar posibles problemas que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las operaciones.

La falta de acciones para brindar seguridad en las redes es un problema que cada día está en crecimiento. Cada vez se multiplica el número de atacantes y de forma más organizados, por lo que van adquiriendo mayores habilidades que día a día las especializa y les permite obtener mayores beneficios. Por tal motivo es importante prepararse y evitar las posibles fallas de seguridad provenientes del interior mismo de la organización.

Por tal motivo al implementar una política de seguridad requiere un mayor compromiso de los altos mando de la organización, con el objetico específico establecer técnica para encontrar posibles fallas y debilidades en la organización, de esta forma el organizar un excelente equipo de trabajo para renovar y actualizar las política en función del dinamismo y el buen ambiente que rodea las organizaciones modernas de hoy en día. Este manual de procedimientos nos mostrara de forma clara y precisa la administración de los sistemas de información de la organización para brindar una mayor seguridad de su información y cómo controlar sus activos tecnológicos tanto a nivel de hardware como de software.

CONCEPTO DE SEGURIDAD

En la actualidad, la seguridad informática ha adquirido una gran importancia, dadas por los constantes avances tecnológicos y las nuevas plataformas de hardware y software disponibles en los mercados. La Posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que Permiten explorar más allá de las fronteras de la organización. Esta situación conlleva a que aparezcan nuevas amenazas en los sistemas que se utilizan en las organizaciones.

Debido a todo el bum que se presenta actualmente ha conllevado a muchas organizaciones gubernamentales, privadas nacionales e internacionales a implementar y desarrollar documentos y directrices que permita orientan en un uso adecuado y optimo las destrezas tecnológicas, con el Objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la Mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las organizaciones en el mundo.

De tal forma que la implementación de las políticas de seguridad informática (PSI) surgen como una Herramienta que ayuda a robustecer y concientizar a cada uno de los miembros de una Organización sobre la importancia y la sensibilidad de la información y servicios críticos Que favorecen el desarrollo continuo y eficaz de las organizaciones y su excelente funcionamiento.

1. Propósito: Establecer los pasos que se deben seguir para garantizar la seguridad en la red.

2. Alcance: Este procedimiento aplica al Administrador de Seguridad en Redes, bajo de la supervisión del Director de teleinformática.

3. Referencia: Para elaborar este procedimiento, se tomó como referencia el manual de procedimientos.

4. Responsabilidades: Director General de la Compañía: Responsable de autorizar este procedimiento.

5. Director de Teleinformática: Responsable de revisar y supervisar la aplicación de este Procedimiento

6. Administrador de Seguridad en Redes: Responsable de elaborar y aplicar este procedimiento.

7. CLIENTES Y PROVEEDORES

PROVEEDORES ENTREGABLES

Externos Equipo, Software y Licenciamiento.

Jefe de telefonía y Videoconferencia Formato de Solicitudes

Clientes ENTREGABLES

Unidad Administrativa Especificaciones técnicas Hardware y Software.

Equipos con Políticas de Seguridad Implementados o Servicios de redes Configurados.

8. DIRECTORIO ACTIVO

El directorio activo permite al administrador de red establecer políticas de seguridad, esta almacena información de una organización en una base de datos central, organizada y accesible.

Nos permite una serie de objetivos relacionados como agregar usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso.

NOMBRE RIESGO (R) IMPORTANCIA (W) RIESGO EVALUADO (RXW) DETALLE

Base de Datos 10 10 100 Esta es la razón de ser de la empresa porque allí están almacenados los detalles de los clientes y los productos de la empresa.

Servidor Web 8 10 80 Es un Equipo costoso por el tema de los servicios que están montados.

Swith 3 5 15 El swith es un equipo activo que se puede cambiar, resetear y volver a configurar.

PC 7 3 21 Son los equipos lo cual los empleados procesan información se puede modificar y cambiar piezas fácilmente.

Impresora 2 1 2 Recurso para la elaboración de trabajos lo cual si se daña se cambia con facilidad.

NOMBRE GRUPO DE USUARIOS TIPO DE ACCESO PRIVILEGIOS

Base de Datos Empleados y Administración Local Solo Lectura

Base de Datos Clientes, Producto y Presupuesto Local Solo Lectura

Acceso a Internet Usuario Local Solo Lectura

Servidor Pagina Web Técnicos de Mantenimiento Local Lectura y Escritura.

Acceso a Servidor, Router y Swith Administradores de red Local y Remoto Lectura y Escritura

Acceso a Equipos Técnicos de Sistemas Local Todos

9. CREACIÓN DE LOS USUARIOS

Cada usuario de la compañía se le agrega un usuario corporativo con su respectivo modo de acceso y sus limitaciones.

Procedimiento de alta cuenta de usuarios: se lleva a cabo cuando se crea una cuenta de usuario teniendo en cuenta datos personales, cargo y funciones a realizar.

El administrador del directorio activo deberá solicitar los siguientes datos:

 Nombres y Apellidos

 Área de desempeño

 Cargo

 Extensión del área de trabajo

 Tipo de contrato

 Correo electrónico

Con estos datos el LOGIN del usuario seria

 Letra inicial del nombre

 Apellido completa

NOMBRE 1 APELLIDO 2 APELLIDO LOGIN

Mercedes Hernández Molina mhernandez

Breidys Yissell Miranda Hernández bmiranda

Deivys Styven Miranda Hernández dmiranda

• Procedimiento de buenas contraseñas: Determinar buenas contraseñas de usuario que deben convinar letras, números y caracteres para que sea más difícil de descifrar para que sea más tedioso para el software que descifran las claves.

10. CREACIÓN DE LA CUENTA CORPORATIVA

La cuenta corporativa es importante por los datos confidenciales de la empresa el administrador solicita los siguientes datos:

 Nombres y Apellidos

 Área de desempeño

 Cargo

 Extensión del área de trabajo

 Tipo de contrato

 Correo electrónico

Con estos datos el administrador crea el ID de la siguiente forma:

 Letra inicial del nombre

 Apellido completa

Nombre 1 apellido 2 apellido ID CORREO

Mercedes Hernández Molina mhernandez@campa.com

Breidys Yissell Miranda Hernández bmiranda@cempa.com

Deivys Styven Miranda Hernández dmiranda@cempa.com

11. PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS

Cuando ingresa nuevo personal a la empresa el jefe o asistente de personal de la organización o sucursal si se tienen sucursales en diferentes departamentos será el encargado de enviar una solicitud por correo electrónico al área de informática,

...