Proyecto Final
Recomendaciones para presentar la Actividad:
Envía el desarrollo de esta actividad a tu tutor@ en un documento de Word, que
llamarásProyecto Final.
Procura marcar siempre tus trabajos con un encabezado como el siguiente:
Nombre
Fecha
Actividad
Tema
Milton Leonel Ibarra Barreto
26/10/13
Proyecto Final
Construir un manual de procedimientos para una organización
Luego de haber estudiado los tipos de vulnerabilidades más comunes, las herramientas usadas
para proteger los datos, y haber generado sus procedimientos, está listo para generar la “carta
magna” de la seguridad de la red: El manual de procedimientos.
Proyecto Final
1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el
estudio previo que se hizo para establecer la base del sistema de seguridad, el programa
de seguridad, el plan de acción, las tablas de grupos de acceso, la valoración de los
elementos de la red, los formatos de informes presentados a la gerencia para establecer
el sistema de seguridad, los procedimientos escogidos para la red, así como las
herramientas, y el desarrollo de cada procedimiento en forma algorítmica (agregue todo
lo que considere necesario). Recuerde que el manual de procedimientos es un proceso
dinámico, por lo que debe modular todos los contenidos en unidades distintas, para
poder modificarlas en caso de que sea necesario.
Nota: Este trabajo final, más que una nota para aprobar el curso, muestra la capacidad que
tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su
carta de presentación para cualquier empleo en el que se le exija experiencia.
1
Redes y seguridad
Proyecto Final

INTRODUCCIÓN
En este manual de procedimientos encontraran de forma clara y precisa en la cual será
administrada los sistemas de información de esta empresa para brindar una mayor
seguridad de su información y la manera de cómo controlar sus activos tecnológicos
tanto a nivel de hardware como de software.
Se debe tener en cuenta que hoy día las leyes que vigilan la autoría de software cada
vez son más rígidas y es por eso que se crearan unas buenas maneras de proceder y
evitar que su empresa sea penalizada con altas sumas de dinero; usted podrá tener
control de su información, del software que se instala, entre otros.
DIRECTORIO ACTIVO
DOMINIO
Su estructura jerárquica permite mantener una serie de objetos relacionados con
componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de
recursos y políticas de acceso.
Active Directory permite a los administradores establecer políticas a nivel de empresa,
desplegar programas en muchos ordenadores y aplicar actualizaciones críticas a una
organización entera. Un Active Directory almacena información de una organización en
una base de datos central, organizada y accesible.
El dominio es un conjunto de ordenadores conectados en una red que confían a uno
de los equipos de dicha red la administración de los usuarios y los privilegios que cada
uno de los usuarios tiene en dicha red.
Muy importante crear grupos de usuarios para acceder a determinados recursos de la
organización.
2
Redes y seguridad
Proyecto Final

RECURSO DEL SISTEMA
RIESGO (R,)
TIPO DE
ACCESO
PERMISOS OTORGADOS
NÚMERO
NOMBRE
1
Libre navegación en la web
Grupo de personal Administrativo
Web
Libre navegación, Grupo de Avanzados
2
Servidores
Grupo de Administradores de Informática
Local y remoto
Lectura y escritura
3
Switches, routers
Grupo de Administradores del área de
Telecomunicaciones
Local y Remoto
Lectura y escritura
4
Oracle
Grupo de administradores
Local y remoto
Lectura y escritura
5
Bases de datos que funcionan con
Oracle
Personal que ingresa datos
Local
Lectura y escritura
6
Bases de datos que funcionan con
Oracle
Personal de atención al usuario
Local
Lectura
7
Servidor de Aplicaciones
Grupo de HelpDesk
local Y remoto
Lectura y escritura
8
Página web corporativa
Grupo Web Master
Local y remoto
Lectura y escritura
9
Inventario de Activos (hardware)
Grupo de Inventarios
local Y remoto
Lectura y escritura
10
Navegación Web
Personal de atención al usuario
Web
Sólo a la página corporativa
3
Redes y seguridad
Proyecto Final

CREACIÓN DE “LOGIN” CUENTAS DE USUARIO
Es importante que cada trabajador que labore en un sistema de cómputo cuente con
una cuenta de usuario corporativo, esto con el fin de controlar el acceso de cada
persona, y evitar suplantaciones de identidad.
Para creación de la cuenta de usuario se procedería de la siguiente manera:
El ingeniero encargado del Directorio Activo deberá solicitar los siguientes datos a cada
individuo:
 Nombres y apellidos completos
 Cargo
 Área o departamento donde ejercerá labores
 Extensión (teléfono)
 Correo electrónico
 Fecha de ingreso y terminación de contrato
 Tipo de contrato
Con estos datos el Administrador del Directorio Activo creará una cuenta de usuario de
la siguiente forma:
 Letra inicial del primer nombre
 Primer apellido completo
 Letra inicial del segundo apellido
En caso tal de que suceda una credencial idéntica se le agregará una letra más del
segundo apellido.
La contraseña que se le brindará será por defecto el nombre de la empresa con la letra
inicial en mayúscula y acompañada del año presente. Cuando el usuario ingrese por
primera vez se le solicitará cambiarla inmediatamente; esto lo hará de forma
automática, además se le dará al usuario con esto de que sólo él tenga conocimiento
de la misma y al mismo tiempo sensibilizarlo de su responsabilidad sobre la
información en la cual trabaje.
Los demás datos le serán de mucha utilidad al Administrador del D.A para tener
conocimiento de cuando esta cuenta caducará y así poder inhabilitarla o eliminarla
evitando que se produzca una suplantación de identidad.
4
Redes y seguridad
Proyecto Final

CREACIÓN DE LA CUENTA DEL CORREO CORPORATIVO:
Es de importancia que la empresa cuente con un correo corporativo ya que los datos
de una empresa son estrictamente confidenciales y por tal deben permanecer en el
dominio de la entidad.
Para creación de la cuenta de correo corporativo se procedería de la siguiente manera:
El Administrador del correo deberá solicitar los siguientes datos a cada individuo:
 Nombres y apellidos completos
 Cargo
 Área o departamento donde ejercerá labores
 Extensión (teléfono)
 Fecha de ingreso y terminación de contrato
 Tipo de contrato
 Con estos datos el Administrador del correo corporativo creará un ID
(identificación) de la siguiente forma:
 Primer nombre completo
 Utilizará un carácter el cual será el (.)
 El primer apellido completo
En caso tal de que suceda un ID idéntico se le agregará una letra más del segundo
apellido y así sucesivamente.
NOMBRE
Luis Gabriel
1°APELLIDO 2°APELLIDO ID CORREO
Santana
Verduga
LUIS_SANTANA@NOMBRE DE LA EMPRESA.COM.EC
Luis Fernando
Vélez
5
Roldan
Redes y seguridad
Proyecto Final
LUIS_VELEZ@NOMBRE DE LA EMPRESA.COM.EC

PROCEDIMIENTO INVENTARIOS BIENES ACTIVOS
Cuando ingresa nuevo personal a la empresa el jefe de dicha área o departamento será
el encargado de enviar una solicitud por correo electrónico al área de informática, este
correo debe llegar tanto al encargado de los bienes tecnológicos como al jefe de dicha
área (Informática).
Inmediatamente el agente de soporte técnico empezará a preparar la máquina con los
programas solicitados, incluyendo el correo, corporativo, impresora y el S.O con todas
sus actualizaciones (parches de seguridad). Además antes de entregar el equipo de
cómputo el usuario deberá firmar un acta en la cual se describe las partes esenciales
con sus respectivos seriales. El formato utilizado aplica también para cuando una
persona realiza un reintegro al área de sistemas.
PROCEDIMIENTO PARA SOPORTE TÉCNICO
Se implementará una mesa de ayuda de 3 niveles de los cuales se dividen así:
PRIMER NIVEL
Por medio de la línea telefónica que se habilitará los usuarios que llamen recibirán
asistencia remota hasta donde lo permita la situación, en este caso el incidente que se
presenta, si no se resuelve de forma oportuna el servicio que el usuario necesita se
deberá tomar los datos del usuario y registrarlo en el software de incidentes para que
el segundo nivel se haga cargo.
SEGUNDO NIVEL
Interviene el Agente de soporte en sitio, el cuál brindará atención de una forma
amable y educada y resolver el incidente que se presente.
El agente de soporte en sitio se encargará fuera de resolver el incidente, el de verificar
que el sistema local esté sin problemas, es decir, mirar que el equipo no presente
demás fallas para así evitar el llamado concurrente del usuario.
Si el segundo nivel no puede dar solución al incidente se escalará el servicio al tercer
nivel.
TERCER NIVEL
En este nivel encontramos a los administradores de servidores.
HERRAMIENTAS PARA CONTROL
Las herramientas para uso de administración de redes, será única y exclusivamente
para el personal administrativo del área de redes y sobre ellos caerá toda
responsabilidad por el uso de la misma.
6
Redes y seguridad
Proyecto Final

ARANDA SOFTWARE
Se utilizarán los módulos de Aranda para llevar un control preciso tanto en software
como en hardware, hay que tener en cuenta que se deberá instalar en cada máquina
(computador) un agente el cual recogerá toda la información a nivel de software y
hardware.
MODULO METRIX
Recoge información del software que tenga instalado cada equipo, esto nos ayudará a
tener control sobre los programas que se instalen ya que la idea aquí es evitar que la
empresa se vea sancionada por no tener un óptimo control sobre este tema.
Debemos tener muy claro que no todos los usuarios tendrán los mismos permisos ya
que dependiendo del área donde se encuentren tendrán credenciales con ciertos
privilegios. Es importante que el administrador este pendiente de los programas que
se manejen en la empresa.
Recuerden que no todos los programas que son gratis, son libres de utilizarlos en una
empresa, llevando un buen control se evitaría sanciones penales.
MÓDULO NETWORK
Permite conocer los dispositivos de red en un diagrama topológico que permite las
vistas de routers, Switches, servidores, estaciones de trabajo y servicios.
Este software permite encontrar fallas en la red rápidamente, además son éste se
puede administrar dispositivos conectados a la red de una entidad, como routers,
Switches, estaciones de trabajo, impresoras, entre otros.
Permite obtener reportes críticos sobre la red, además de identificar que puertos
están en funcionamiento o no y errores que estos presentan.
Identifica cualquier máquina que se conecte en un punto de red, enviando información
a los administradores de la misma, esta información es:








Identificador
Nombre del dispositivo
Ubicación
Descripción
Fabricante
Tipo de dispositivo
IP
MAC, entre otros.
7
Redes y seguridad
Proyecto Final

NETLOG
Como hay ataques a la red a gran velocidad haciendo en ocasiones imposible de
detectar, esta herramienta es indispensable pues nos permite ver paquetes que
circulan por la red y determinar si son sospechosos, peligrosos o si es un ataque que se
produjo.
GABRIEL
Como sabemos que el Daemon SATAN es excelente necesitamos una herramienta que
contrarreste a éste identificándolo, pues al instalar este demonio cliente-servidor será
más fácil identificar la máquina que está siendo atacada y evitar que se propague.
CRACK
Esta herramienta es muy útil para implementar la cultura en los usuarios de generar
contraseñas óptimas, pues recordemos y tengamos presentes que los datos son un
valor muy importante de una empresa.
TRINUX
Será muy útil para controlar el tráfico de correos electrónicos entrantes y salientes,
evitar el robo de contraseñas y la intercepción de correos, esta herramienta nos
evitaría un DoS que haría colapsar los sistemas de una empresa.
VALORACIÓN DE LOS ELEMENTOS
RECURSO DEL SISTEMA
NÚMERO NOMBRE
1
Servidor
2
Servidor Espejo
3
Estaciones de Trabajo
4
Routers
5
Impresoras
RIESGO
(R,)
R1= 10
R1= 10
R3= 9
R4= 8
R5= 7
IMPORTANCIA
(W,)
W1= 10
W1= 10
W3= 10
W4=9
W5= 8
RIESGO EVALUADO
(R,*W,)
100
100
90
72
56
 Tanto el servidor como su espejo son activos importantes ya que sin estos
una empresa queda paralizada. Si se presentara alguna falla en el
servidor, su espejo lo remplazaría evitando caídas y/o pérdida de
información.
 Las estaciones de trabajo son necesarios para la producción en una
empresa, pues un usuario sin poder trabajar representa pérdidas
económicas, para cubrir cualquier falla en este sentido es bueno tener
máquinas que sirvan de contingencia.
8
Redes y seguridad
Proyecto Final

 Routers: Creo que hoy día la internet se ha vuelto un factor muy
importante tanto en la vida de una persona como en las grandes
compañías, pues para hacer pagos, transacciones en línea, consultas de
todo tipo este recurso es algo indispensable en el funcionamiento de una
empresa sin olvidar también lo importante de este dispositivo que
permite hacer interconexiones de redes y direccionar los paquetes de
datos.
 Las impresoras son un recurso necesario de toda entidad pues permite
entregar información con ciertos documentos que aún los exige de este
modo, no se puede parar un proyecto por falta del contrato impreso.
PLAN DE ACCIÓN
Factor Humano:
 Cargo y desempeño en el trabajo, para determinar permisos dependiendo de
sus responsabilidades.
 Datos:
 Backus.
Bienes Informáticos:
 Servidores, estaciones de trabajo, dispositivos que permitan la conectividad
como Switches, routers, Bridges, se incluyen los cables, entre otros, esto con
el fin de determinar que bienes informáticos requieren un nivel de protección
contra amenazas.
Plan de contingencia:





9
Que se debe hacer en caso de una falla o un ataque a los sistemas.
Capacitación constante:
Esto incluye tanto a los usuarios como a los administradores de los sistemas.
Monitoreo:
Garantizar un buen funcionamiento de las PSI.
Redes y seguridad
Proyecto Final