Proyecto final_CRS Alejandro Sarabia Arango
Anuncio
Proyecto Final Recomendaciones para presentar la Actividad: Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que llamarás Proyecto Final. Procura marcar siempre tus trabajos con un encabezado como el siguiente: Nombre Fecha Actividad Tema ALEJANDRO SARABIA ARANGO SEPTIEMBRE 06 DE 2012 PROYECTO FINAL MANUAL DE PROCEDIMIENTOS Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta magna” de la seguridad de la red: El manual de procedimientos. Proyecto Final 1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, así como las herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinámico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario. Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentación para cualquier empleo en el que se le exija experiencia. 1 Redes y seguridad Proyecto Final INTRODUCCIÓN En la actualidad, las organizaciones son cada vez más dependientes de sus redes informáticas y un problema que las afecte, por mínimo que sea, puede llegar a comprometer la continuidad de las operaciones. La falta de medidas de seguridad en las redes es un problema que está en crecimiento. Cada vez es mayor el número de atacantes y cada vez están más organizados, por lo que van adquiriendo día a día habilidades más especializadas que les permiten obtener mayores beneficios. Tampoco deben subestimarse las fallas de seguridad provenientes del interior mismo de la organización. El proponer o identificar una política de seguridad requiere un alto compromiso con la organización, agudeza técnica para establecer fallas y debilidades, y constancia para renovar y actualizar dicha política en función del dinámico ambiente que rodea las organizaciones modernas. este manual de procedimientos encontraran de forma clara y precisa en la cual será administrada los sistemas de información de esta empresa para brindar una mayor seguridad de su información y la manera de cómo controlar sus activos tecnológicos tanto a nivel de hardware como de software. 2 Redes y seguridad Proyecto Final CONCEPTO DE SEGURIDAD En la actualidad, la seguridad informática ha adquirido gran auge, dadas las Cambiantes condiciones y las nuevas plataformas de computación disponibles. La Posibilidad de interconectarse a través de redes, ha abierto nuevos horizontes que Permiten explorar más allá de las fronteras de la organización. Esta situación ha llevado a la aparición de nuevas amenazas en los sistemas computarizados. Consecuentemente, muchas organizaciones gubernamentales y no Gubernamentales internacionales [1,2] han desarrollado documentos y directrices que Orientan en el uso adecuado de estas destrezas tecnológicas y recomendaciones con el Objeto de obtener el mayor provecho de estas ventajas, y evitar el uso indebido de la Mismas. Esto puede ocasionar serios problemas en los bienes y servicios de las Empresas en el mundo. En este sentido, las políticas de seguridad informática (PSI) surgen como una Herramienta organizacional para concientizar a cada uno de los miembros de una Organización sobre la importancia y la sensibilidad de la información y servicios críticos Que favorecen el desarrollo de la organización y su buen funcionamiento. 1. Propósito Establecer los pasos que se deben seguir para garantizar la seguridad en la red. 2. Alcance Este procedimiento aplica al Jefe de Seguridad en Redes, bajo de la supervisión del Director de teleinformática. 3 Redes y seguridad Proyecto Final 3. Referencia Para la elaboración de este procedimiento, se tomó como referencia el manual de procedimientos. 4. Responsabilidades Secretario Administrativo: Responsable de autorizar este procedimiento. Director de Teleinformática: Responsable de revisar y supervisar la aplicación de este Procedimiento Jefe Seguridad en Redes: Responsable de elaborar y aplicar este procedimiento. 5. CLIENTES Y PROVEEDORES PROVEEDORES Externos ENTREGABLES Equipo, Software y Licenciamiento. Jefe de telefonía y Videoconferencia Formato de Solicitudes Clientes Unidad Administrativa 4 Redes y seguridad Proyecto Final ENTREGABLES Especificaciones técnicas Hardware y Software. Equipos con Políticas de Seguridad Implementados o Servicios de redes Configurados. 6. DIRECTORIO ACTIVO El directorio activo permite al administrador de red establecer políticas de seguridad, esta almacena información de una organización en una base de datos central, organizada y accesible. Nos permite una serie de objetivos relacionados como agregar usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. NOMBRE RIESGO (R) IMPORTANCIA RIESGO (W) EVALUADO DETALLE (RXW) Base de Datos 10 10 100 Esta es la razón de ser de la empresa porque allí están almacenados los detalles de los clientes y los productos de la empresa. Servidor Web 8 10 80 Es un Equipo costoso por el tema de servicios los que están montados. Swith 3 5 15 El swith es un equipo activo que se puede cambiar, resetear y volver a configurar. PC 7 3 21 Son los equipos lo 5 Redes y seguridad Proyecto Final cual los empleados procesan información se puede modificar y cambiar piezas fácilmente. Impresora 2 1 2 Recurso la para elaboración de trabajos lo cual si se daña se cambia con facilidad. NOMBRE GRUPO USUARIOS Base de Datos Empleados y Administración Clientes, Producto y Presupuesto Usuario Técnicos de Mantenimiento Administradores de red Técnicos de Sistemas Base de Datos Acceso a Internet Servidor Pagina Web Acceso a Servidor, Router y Swith Acceso a Equipos DE TIPO ACCESO DE PRIVILEGIOS Local Solo Lectura Local Solo Lectura Local Local Solo Lectura Lectura y Escritura. Local y Remoto Lectura y Escritura Local Todos 7. CREACIÓN DE LOS USUARIOS Cada usuario de la compañía se le agrega un usuario corporativo con su respectivo modo de acceso y sus limitaciones. •Procedimiento de alta cuenta de usuarios: se lleva a cabo cuando se crea una cuenta de usuario teniendo en cuenta datos personales, cargo y funciones a realizar. El administrador del directorio activo deberá solicitar los siguientes datos: 6 Redes y seguridad Proyecto Final Nombres y Apellidos Área de desempeño Cargo Extensión del área de trabajo Tipo de contrato Correo electrónico Con estos datos el LOGIN del usuario seria Letra inicial del nombre Apellido completa Letra inicial del apellido NOMBRE 1 APELLIDO Juan Zapata Carlos Alejandro Sarabia 2 APELLIDO Ruiz LOGIN JZAPATAR Arango ASARABIAA • Procedimiento de buenas contraseñas: Determinar buenas contraseñas de usuario que deben contener letras, números y caracteres para que sea más difícil de descifrar para que sea más tedioso para el software que descifran las claves. 8. CREACIÓN DE LA CUENTA CORPORATIVA La cuenta corporativa es importante por los datos confidenciales de la empresa el administrador solicita los siguientes datos: Nombres y Apellidos Área de desempeño Cargo 7 Redes y seguridad Proyecto Final Extensión del área de trabajo Tipo de contrato Correo electrónico Con estos datos el administrador crea el ID de la siguiente forma: Letra inicial del nombre Apellido completa Letra inicial del apellido Nombre 1 apellido Juan Carlos Zapata Alejandro Sarabia 2 apellido Ruiz Arango ID CORREO [email protected] [email protected] 9. PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS Cuando ingresa nuevo personal a la empresa el jefe de dicha área o departamento será el encargado de enviar una solicitud por correo electrónico al área de informática, este correo debe llegar tanto al encargado de los bienes tecnológicos como al jefe de dicha área (Informática). Inmediatamente el agente de soporte técnico empezará a preparar la máquina con los programas solicitados, incluyendo el correo, corporativo, impresora y el S.O con todas sus actualizaciones (parches de seguridad). Además antes de entregar el equipo de cómputo el usuario deberá firmar un acta en la cual se describe las partes esenciales con sus respectivos seriales. El formato utilizado aplica también para cuando una persona realiza un reintegro al área de sistemas. 8 Redes y seguridad Proyecto Final 10. PROCEDIMIENTO PARA SOPORTE TÉCNICO Se implementará una mesa de ayuda de 3 niveles de los cuales se dividen así: Primer nivel Por medio de la línea telefónica que se habilitará los usuarios que llamen recibirán asistencia remota hasta donde lo permita la situación, en este caso el incidente que se presenta, si no se resuelve de forma oportuna el servicio que el usuario necesita se deberá tomar los datos del usuario y registrarlo en el software de incidentes para que el segundo nivel se haga cargo. Segundo nivel Interviene el Agente de soporte en sitio, el cuál brindará atención de una forma amable y educada y resolver el incidente que se presente. El agente de soporte en sitio se encargará fuera de resolver el incidente, el de verificar que el sistema local esté sin problemas, es decir, mirar que el equipo no presente demás fallas para así evitar el llamado concurrente del usuario. Si el segundo nivel no puede dar solución al incidente se escalará el servicio al tercer nivel. Tercer nivel En este nivel encontramos a los administradores de servidores. 11. HERRAMIENTAS PARA CONTROL Las herramientas para uso de administración de redes, será única y exclusivamente para el personal administrativo del área de redes y sobre ellos caerá toda responsabilidad por el uso de la misma. 9 Redes y seguridad Proyecto Final ARANDA SOFTWARE Se utilizarán los módulos de Aranda para llevar un control preciso tanto en software como en hardware, hay que tener en cuenta que se deberá instalar en cada máquina (computador) un agente el cual recogerá toda la información a nivel de software y hardware. Módulo Metrix Recoge información del software que tenga instalado cada equipo, esto nos ayudará a tener control sobre los programas que se instalen ya que la idea aquí es evitar que la empresa se vea sancionada por no tener un óptimo control sobre este tema. Módulo Network Permite conocer los dispositivos de red en un diagrama topológico que permite las vistas de routers, switches, servidores, estaciones de trabajo y servicios. Este software permite encontrar fallas en la red rápidamente, además son éste se puede administrar dispositivos conectados a la red de una entidad, como routers, switchs, estaciones de trabajo, impresoras, entre otros. Permite obtener reportes con los siguientes datos: Identificador Nombre del dispositivo Ubicación Descripción Fabricante Tipo de dispositivo IP MAC, entre otros. NETLOG 10 Redes y seguridad Proyecto Final Como hay ataques a la red a gran velocidad haciendo en ocasiones imposible de detectar, esta herramienta es indispensable pues nos permite ver paquetes que circulan por la red y determinar si son sospechosos, peligrosos o si es un ataque que se produjo. GABRIEL Tomaría este demonio, para contrarrestar ataques SATAN, pues el Daemon Security Application Technical Authorization Network es una excelente herramienta, que puede ocasionar grandes daños. GABRIEL es muy útil pues una máquina afectada envía inmediatamente un reporte al servidor, haciendo más fácil solucionar e identificar la máquina. Comprende Cliente-Servidor Identifica el ataque “SATAN” Conexión de inmediata de fallos de cliente CRACK Esta herramienta es muy útil para implementar la cultura en los usuarios de generar contraseñas óptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa. Esta herramienta es muy útil para implementar la cultura en los usuarios de generar contraseñas óptimas, pues recordemos y tengamos presentes que los datos son un valor muy importante de una empresa. Realiza una inspección para detectar passwords débiles y vulnerables Comprueba la complejidad de las contraseñas. TRINUX Será muy útil para controlar el tráfico de correos electrónicos entrantes y salientes, evitar el robo de contraseñas y la intercepción de correos, esta 11 Redes y seguridad Proyecto Final herramienta nos evitaría un DoS que haría colapsar los sistemas de una empresa. 12. PLAN DE EJECUCIÓN Elaborando el plan de ejecución como una lista de chequeo o checklist no enfocamos en una lista de tareas a llevar a cabo para chequear el funcionamiento del sistema. Asegurar el entorno. ¿Qué es necesario proteger? ¿Cuáles son los riesgos? Determinar prioridades para la seguridad y el uso de los recursos. Crear planes avanzados sobre qué hacer en una emergencia. Trabajar para educar a los usuarios del sistema sobre las necesidades y las ventajas de la buena seguridad Estar atentos a los incidentes inusuales y comportamientos extraños. Asegurarse de que cada persona utilice su propia cuenta. ¿Están las copias de seguridad bien resguardadas? No almacenar las copias de seguridad en el mismo sitio donde se las realiza ¿Los permisos básicos son de sólo lectura? Si se realizan copias de seguridad de directorios/archivos críticos, usar chequeo de comparación para detectar modificaciones no autorizadas. Periódicamente rever todo los archivos de “booteo de los sistemas y los archivos de configuración para detectar modificaciones y/o cambios en ellos. Tener sensores de humo y fuego en el cuarto de computadoras. Tener medios de extinción de fuego adecuados en el cuarto de computadoras. Entrenar a los usuarios sobre qué hacer cuando se disparan las alarmas. 12 Redes y seguridad Proyecto Final Instalar y limpiar regularmente filtros de aire en el cuarto de computadoras. Instalar UPS, filtros de línea, protectores gaseosos al menos en el cuarto de computadoras. Tener planes de recuperación de desastres. Considerar usar fibras ópticas como medio de transporte de información en la red. Nunca usar teclas de función programables en una terminal para almacenar información de login o password. Considerar realizar autolog de cuentas de usuario. Concientizar a los usuarios de pulsar la tecla ESCAPE antes de ingresar su login y su password, a fin de prevenir los “Caballos de Troya”. Considerar la generación automática de password. Asegurarse de que cada cuenta tenga un password. No crear cuentas por defecto o “guest” para alguien que está temporariamente en la organización. No permitir que una sola cuenta esté compartida por un grupo de gente. Deshabilitar las cuentas de personas que se encuentren fuera de la organización por largo tiempo. Deshabilitar las cuentas “dormidas” por mucho tiempo. Deshabilitar o resguardar físicamente las bocas de conexión de red no usadas. Limitar el acceso físico a cables de red, routers, bocas, repetidores y terminadores. Los usuarios deben tener diferentes passwords sobre diferentes segmentos de la red. Monitorear regularmente la actividad sobre los Gateway.· Plan de contingencia: Que se debe hacer en caso de una falla o un ataque a los sistemas. Capacitación constante: 13 Redes y seguridad Proyecto Final Esto incluye tanto a los usuarios como a los administradores de los sistemas. Monitoreo: Garantizar un buen funcionamiento de las PSI. Elementos de una PSI Rango de acción de las políticas. Esto se refiere a las personas sobre las cuales se posa la ley, así como los sistemas a los que afecta. Reconocimiento de la información como uno de los principales activos de la empresa. Objetivo principal de la política y objetivos secundarios de la misma. Si se hace referencia a un elemento particular, hacer una descripción de dicho elemento. Responsabilidades generales de los miembros y sistemas de la empresa. Como la política cubre ciertos dispositivos y sistemas, estos deben tener un mínimo nivel de seguridad. Se debe definir este umbral mínimo. Explicación de lo que se considera una violación y sus repercusiones ante el no cumplimiento de las leyes. Responsabilidad que tienen los usuarios frente a la información a la que tienen acceso. 14 Redes y seguridad Proyecto Final
