Proyecto Final Redes Seguridad

Proyecto Final

________________________________________

Recomendaciones para presentar la Actividad:

• Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Proyecto Final.

• Procura marcar siempre tus trabajos con un encabezado como el siguiente:

Nombre

Fecha

Actividad

Tema

Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta magna” de la seguridad de la red: El manual de procedimientos.

Proyecto Final

________________________________________

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentación para cualquier empleo en el que se le exija experiencia.

MANUAL DE REDES Y SEGURIDAD:

POLÍTICAS DE SEGURIDAD INFORMÁTICA

CONTENIDO

- Estudio previo

- Justificación

- Definición

- Programa de seguridad

1. Cuentas de Usuarios

2. Internet

3. Correo Electrónico

4. Red Interna

5. Políticas de uso de computadores, impresoras y periféricos

6. Otras Políticas

- Plan de acción

- Tabla de grupos de acceso

- Valoración de los elementos de la red

- Herramientas

- Glosario

Estudio Previo

Evaluación de riesgos en EL SERVIDOR:

* La falla continua por no tener las normas eléctricas bien aplicadas; cortes continuos del sistema.

* La información en ellos es alterada continuamente por los operarios.

* La información la pueden mirar todos sin restricción alguna.

Evaluación de riesgos en la RED:

* La información en la red se puede modificar y observar.

* Se suplanta con facilidad la identidad de la estación cliente i/o servidor

* Se puede suplantar con facilidad la identidad del usuario.

Evaluación de riesgos en ESTACIONES CLIENTE:

* Las estaciones clientes son el punto más débil en la seguridad.

* En las estaciones clientes la información está completamente abierta.

* No tienen Programas de Seguridad

Justificación

La seguridad, en lo que se refiere a una infraestructura de información, es un concepto relacionado con los componentes del sistema (el hardware), las aplicaciones utilizadas en la institución (software) y el manejo que se dé del conjunto (el conocimiento del usuario); por esta razón es un paso primordial el establecer normativas y estándares que permitan obtener una base de manejo seguro de todo lo relacionado con la infraestructura de comunicación de la empresa.

En consecuencia, la información, y por consiguiente los recursos mencionados anteriormente, se han convertido en un activo de altísimo valor, de tal forma que, la empresa no puede ser indiferente y por lo tanto, se hace necesario proteger, asegurar y administrar la información para garantizar su integridad, confidencialidad y disponibilidad, de conformidad con lo establecido por la ley

El sentar bases y normas de uso y seguridad informáticas dentro de la empresa respecto a la manipulación y uso de aplicaciones y equipos computacionales permitirá optimizar los procesos informáticos y elevará el nivel de seguridad de los mismos.

Definición

La seguridad informática aplica las técnicas fundamentales para preservar la información y los diferentes recursos informáticos con que cuenta la Empresa. La política de seguridad informática es el conjunto de normas, reglas, procedimientos y prácticas que regulan la protección de la información contra la pérdida de confidencialidad, integridad o disponibilidad, tanto de forma accidental como intencionada, al igual que garantizan la conservación y buen uso de los recursos informáticos con que cuenta la Empresa.

Políticas Adoptadas

Estamos en el proceso de implementación de las Políticas de Seguridad Informática, se propone Administrar, desarrollar y mantener en buen estado los Las tecnologías de la información y la comunicación (TICs) se adoptan las siguientes políticas de seguridad informáticas en la empresa:

1. Cuentas de Usuarios

2. Internet

3. Correo Electrónico

4. Red Interna

5. Políticas de uso de computadores, impresoras y periféricos

6. Otras Políticas

He realizado un listado de pautas que se deben tener en cuenta para dar un uso adecuado a los recursos informáticos (correo electrónico, red interna, internet. El área de sistemas auditará de manera periódica los equipos de cómputo y periféricos así como el software instalado.

El propósito de estas políticas es asegurar que los funcionarios utilicen correctamente los recursos tecnológicos que la empresa pone a su disposición para el desarrollo de las funciones institucionales. Dichas políticas son de obligatorio cumplimiento. El funcionario que incumpla las políticas de seguridad informática, responderá por sus acciones o por los daños causados a la infraestructura tecnológica de la empresa, de conformidad con las leyes penales, fiscales y disciplinarias.

1. Cuentas de Usuarios

* Es la cuenta que constituye la principal vía de acceso a los sistemas de información que posee la empresa; estas cuentas aíslan al usuario del entorno, impidiendo que pueda dañar al sistema o a otros usuarios, y permitiendo a su vez que pueda personalizar su entorno sin que esto afecte a otros.

* Cada persona que acceda al sistema debe tener una sola cuenta de usuario. Esto permite realizar seguimiento y control, evita que interfieran las configuraciones de distintos usuarios o acceder al buzón de correo de otro usuario.

* Una cuenta de usuario asigna permisos o privilegios al usuario para acceder a los sistemas de información y desarrollará actividades dentro de ellas.

* Los privilegios asignados delimitan las actividades que el usuario puede desarrollar sobre los sistemas de información y la red de datos.

* Procedimiento para la creación de cuentas nuevas: La solicitud de una nueva cuenta o el cambio de privilegios, deberá hacerse por escrito y ser debidamente autorizada por la Oficina de Sistemas.

* Cuando un usuario recibe una cuenta, debe firmar un documento donde declara conocer las políticas y procedimientos de seguridad informática y acepta sus responsabilidades con relación al uso de esa cuenta.

* No debe concederse una cuenta a personas que no sean funcionarios de la empresa, a menos que estén debidamente autorizados.

* Los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad. Esto también incluye a los administradores del sistema.

* La Oficina de Personal debe reportar a la Oficina de Sistemas, a los funcionarios que cesan sus actividades y solicitar la desactivación de su cuenta.

* Los Privilegios especiales de borrar o depurar los archivos de otros usuarios, sólo se otorgan a los encargados de la administración en la oficina de Sistemas

* No se otorgará cuentas a técnicos de mantenimiento externos, ni permitir su acceso remoto, a menos que la Oficina de Sistemas determine que es necesario. En todo caso, esta facilidad solo debe habilitarse por el lapso requerido para efectuar el trabajo (como por ejemplo, el mantenimiento remoto).

* No se crearán cuentas anónimas o de invitado.

2. Internet

* Internet es una herramienta cuyo uso autoriza la empresa en forma extraordinaria, puesto que contiene ciertos peligros. Los hackers están constantemente intentando hallar nuevas vulnerabilidades que puedan ser explotadas. Se debe aplicar una política que procure la seguridad y realizar monitoreo constante, por lo que se debe tener en cuenta lo siguiente: A continuación se describen las políticas adoptadas para el uso adecuado de este importante servicio:

* El acceso a internet en horas laborales de (8:00 a 12:00 y de 2:00 a 6:00) es de uso solo laboral no personal, con el fin de no saturar el ancho de banda y así poder hacer buen uso del servicio.

* No acceder a páginas de entretenimiento, pornografía, de contenido ilícito que atenten contra la dignidad e integridad humana: aquellas que incitan al terrorismo, páginas con contenido hostil, racista etc. o que estén fuera del contexto laboral.

* En ningún caso recibir ni compartir información en archivos adjuntos de dudosa procedencia, esto para evitar el ingreso

...