PLAN DE SEGURIDAD DE INFORMACION

UNIARIES

Grupo de Trabajo

Vanessa Gómez Deossa

Cristian Camilo Sepúlveda

Alexander Javier Henao

Juan Camilo Muñoz

Juan Camilo Restrepo

Marvin Santiago Álvarez

Profesor

Fernando Quintero

Administración de Redes de Computadores

Sena – Regional Antioquia

Centro de Servicios Y Gestión Empresarial

2010
 UNIARIES

TABLA DE CONTENIDO

Introducción 3
Objetivos 4
Elaboración, aprobación y revisión plan de seguridad 5
1. Alcance. 6
2. Caracterización del Sistema Informático. 6
3. Resultados del Análisis de Riesgos. 10
4. Políticas de Seguridad Informática. 12
5. Sistema de Seguridad Informática. 24
5.1. Medios humanos. 24
5.2. Medios técnicos. 26
5.3. Medidas y Procedimientos de Seguridad Informática. 27
5.3.1. De protección física. 28
5.3.1.1. A las áreas con tecnologías instaladas. 28
5.3.1.2. A las tecnologías de información. 28
5.3.1.3. A los soportes de información. 28
5.3.2. Técnicas o lógicas. 29
5.3.2.1. Identificación de usuarios. 30
5.3.2.2. Autenticación de usuarios. 31
5.3.2.3. Control de acceso a los activos y recursos. 31
5.3.2.4. Integridad de los ficheros y datos. 32
5.3.2.5. Auditoria y alarmas. 32
5.3.3. De seguridad de operaciones. 32
5.3.4. De recuperación ante contingencias. 34
6. Anexos. 34
6.1. Programa de Seguridad Informática 34
6.2. Listado nominal de usuarios con acceso a redes de alcance 35
global.
6.3. Registros. 36
Conclusiones 37

2 de 37
 UNIARIES

INTRODUCCION

Este plan de seguridad fue realizado como parte de nuestro proceso de

formación, se presenta como una evidencia de conocimientos adquiridos en el
área de seguridad en la red.

Este trabajo consta de los pasos necesarios para una correcta elaboración de
un plan de seguridad informático donde se llevaran a cabo puntos específicos y
concretos para dicha implementación.
.

3 de 37
 UNIARIES

OBJETIVOS

El propósito de este trabajo es aprender a elaborar un plan de seguridad

informático de una entidad, mediante la implementación de controles de
seguridad para la debida interpretación de políticas de seguridad informática.

Mediante este documento queremos mostrar y dar a entender las diferentes

políticas de seguridad que se pueden implementar en una entidad.

4 de 37
 UNIARIES

REV ELABORADO REVISADO APROBADO

NOMBRE Grupo Aries Grupo Aries Alonso Cabrales
CARGO Administradores Administradores Presidente
FIRMA

Camilo restretrepo Camilo restretrepo

Cristian Sepúlveda Cristian Sepúlveda

Alonso cabrales
Camilo muñoz Camilo muñoz
Alexander Henao Alexander Henao

Marvin alvarez Marvin alvarez

FECHA 12 de Septiembre de 13 de Septiembre 14 de Septiembre
2010 de 2010 de 2010

5 de 37
 UNIARIES

1. Alcance
El alcance del diagnostico actual de UNIARIES comprende el correcto
funcionamiento de la administración del área de TI.

 La estructura de toda la organización como lo son la implementación de

las políticas para administrar correctamente los riesgos.

 Se tendrá que tener en cuenta el mantenimiento de todos los activos

informáticos de nuestra entidad UNIARIES.

 Seguridad de la información
Asegurar correctamente la seguridad la información basándonos en la
seguridad tanto lógica, física y ambiental

 Operaciones monitorizadas o controladas

Como lo es realizar procedimientos de respaldo, planeado para la
continuidad de nuestra entidad.

 Cumplimiento periódico: Como lo son las normas y la privacidad.

Nota: El alcance se ha de definir en todo el entorno de nuestra entidad hasta

llegar a los límites de la auditoría. Este alcance estará figurado en el informe
final y será valorado en este toda nuestra organización

2. Caracterización del sistema informático

UNIARIES es una entidad prestadora de servicios educativos esta cuenta con
dos sucursales una sede está localizada en la ciudad de Medellín y la otra se
encuentra localizada en la ciudad de Bogotá. Los servicios que tenemos en
nuestra organización son básicos y a continuación vamos a dar detalladamente
donde y que dispositivos están en la organización.

En nuestros activos informáticos que tenemos en nuestra entidad son:

4 switch cisco Catalyst 500-24LC

El cual tiene como funcionamiento de estar interconectado continuamente con

el AP, el servidor y el modem ADSL. A demás nos brindara la conectividad
gracias a su conexión con el modem anteriormente mencionado.

6 de 37
 UNIARIES

AP cisco Linksys 610n v2

Este es un dispositivo que interconecta dispositivos de comunicación

inalámbrica para formar una red inalámbrica como también redes cableadas
estos dispositivos es de diseño ligero y discreto para el entorno.

Servidor DELL PowerEdge 11G R210

Este servidor nos brindara la disponibilidad de cada uno de los servicios que
aquí estarán alojados.

Este es un servidor de gama alta con una gran capacidad y además un

excelente funcionamiento

Servidor IBM BladeCenter HS22V

Este servidor nos brindara la disponibilidad de cada uno de los servicios que
aquí estarán alojados. Este es un servidor de gama alta con una gran
capacidad y además un excelente funcionamiento

Todo nuestro cableado de los dispositivos según su conexión estará bajo RJ45
categoría 5-e

Bases de datos

En esta será en la que se almacenara toda la información referente a nuestra

empresa y además tendrá unas especificaciones especiales; Independencia
lógica y física de los datos, redundancia mínima, acceso concurrente por parte
de múltiples usuarios, distribución espacial de los datos, integridad de los
datos, consultas complejas optimizadas, seguridad de acceso y auditorías de
respaldo y recuperación además acceso a través de lenguajes de
programación estándar.

Tendremos servicios de red como:

Correo electrónico, WEB, DNS, FTP y DHCP el funcionamiento de esta entidad

sin duda depende del correcto funcionamiento.

Para observar más detalladamente nuestra entidad podemos ver el siguiente

diagrama de UNIARIES

7 de 37
 UNIARIES

Como medida de seguridad esta implementado varios mecanismos que serán

utilizados para la protección de nuestra entidad estos son:

 Firewall que son conocidos como cortafuegos pueden ser dispositivos

físicos o software que cumple funciones de filtrado de paquetes en un
computador.

 Proxy: Un proxy es un punto intermedio entre un ordenador conectado

a Internet y el servidor que está accediendo.

 VPN: de una forma segura podemos extender el perímetro de nuestra

red logrando así que los usuarios que se encuentran en sitios remotos
puedan trabajar como si se tratara de usuarios locales.

8 de 37
 UNIARIES

 Sistema IDS (sistema de detección de intrusos) Este detectara que

posibles intrusos intentan acceder a nuestra red.

9 de 37
 UNIARIES

3. Resultados del Análisis de Riesgos.

Sin ninguna duda el activo más importante para una organización es la
información y en nuestro caso es igual la entidad UNIARIES tiene un valor muy
importare en todos los datos alojados en ella por esta razón es porque le
brindamos una atención especial para proteger su confidencialidad, integridad
y disponibilidad.

Otros activos que tenemos muy en cuenta en nuestra compañía son:

Información servidores, switches principales y administradores.

Las amenazas que actúan sobre ellos, para la información de nuestra entidad
es un atacante anónimo externo ajeno a la entidad o interno empleado de la
entidad; y el riesgo de que se materialice es:

 por criminalidad político que puede ser por parte de otra persona ajena a
nuestra entidad tiene un riesgo del 3,5

 naturaleza por un suceso físico solo es de 1,9.

 negligencia institucional que puede ser realizado por personas de
nuestra propia organización lo que puede provocar el robo de la
información su riesgo es de un 3,8.

Hay que tener en cuenta que el personal es otro activo importante para el
desempeño de nuestra organización por esta razón es una de las más
vulnerables. El riesgo de que sea víctima de una ingeniería social es de un 5,1
quizás es muy alto pero es la verdad las personas es por así decirlo el punto
que puede ser más débil en nuestra organización. A estas personas es muy
poco probable de que le pase o se afecte por un suceso de origen físico por
eso su probabilidad es de 0,8.

Los activos, recursos y áreas con un mayor peso de riesgo son:

Datos e información las amenazas que lo motivan son:

 Sabotaje (ataque físico y electrónico)

 Robo / Hurto de información electrónica
 Intrusión a Red interna
 Perdida de datos
 Manejo inadecuado de datos críticos (codificar, borrar, etc.)
 Fallas en permisos de usuarios (acceso a archivos)

10 de 37
 UNIARIES

 Falta de normas y reglas claras (no institucionalizar el estudio de los

riesgos)
 Ausencia de documentación.

Todas estas amenazas son tanto para correo electrónico, bases de datos y
páginas web.

En los equipos como lo es el cortafuegos (firewall)

 Sabotaje (ataque físico y electrónico)

 robo y hurto de información
 intrusión red interna
 virus, ejecución no autorizada de programas
 polvo
 perdida de datos
 infección de sistema a través de unidades o escaneo
 manejo inadecuado de datos críticos.

Equipos de red cableada y equipos cableados

Manejo inadecuado de contraseñas

Personal interno y externo

 intrusión interna y externa

 infección de sistema a través de unidades sin escanear

Soporte técnico extremo

 Daños por vandalismos

 fraude estafa
 robo hurto de información
 intrusión a red interna
 virus, ejecución no autorizada de programas
 falta de inducción capacitación y sensibilización
 mal manejo de sistemas y herramientas
 perdida de datos
 manejo inadecuado de datos críticos.
 Transmisión no cifrada datos críticos
 manejo inadecuado de contraseñas
 compartir contraseñas o permisos a terceros no autorizados
 transmisión de contraseñas por teléfono
 fallas en permisos de usuarios (acceso a archivos)
 acceso electrónico no autorizado

11 de 37
 UNIARIES

 ausencia de documentación

4. Políticas de Seguridad Informática

Organización de la seguridad informática

Gerencia:

Autoridad de nivel superior que integra el comité de seguridad. Bajo su

administración están la aceptación y seguimiento de las políticas y normativa
de seguridad.

Gestor de Seguridad:
Persona dotada de conciencia técnica, encargada de velar por la seguridad de
la información, realizar auditorías de seguridad, elaborar documentos de
seguridad como, políticas, normas; y de llevar un estricto control.

Unidad Informática:
Entidad o Departamento dentro de la institución, que vela por todo lo
relacionado con la utilización de computadoras, sistemas de información, redes
informáticas, procesamiento de datos e información y la comunicación en sí, a
través de medios electrónicos.

Responsable de Activos:
Personal dentro de los diferentes departamentos administrativos de la
institución, que velará por la seguridad y correcto funcionamiento de los activos
informáticos, así como de la información procesada en éstos, dentro de sus
respectivas áreas o niveles de mando.

Base Legal:

La elaboración del manual de normas y políticas de seguridad informática, está

fundamentado bajo la norma ISO/IEC 27001, unificada al manual interno de
trabajo y el manual de normas y políticas de recurso humano de la Universidad
UNIARIES.
Vigencia:
La documentación presentada como normativa de seguridad entrará en
vigencia desde el momento en que éste sea aprobado como documento
técnico de seguridad informática por las autoridades correspondientes de la
Universidad UNIARIES. Esta normativa deberá ser revisada y actualizada
conforme a las exigencias de la universidad, o en el momento en que haya la
necesidad de realizar cambios sustanciales en la infraestructura tecnológica de

12 de 37
 UNIARIES

la Red Institucional

Visión:
Constituir un nivel de seguridad, altamente aceptable, mediante el empleo y
correcto funcionamiento de la normativa y políticas de seguridad informática,
basado en el sistema de gestión de seguridad de la información.

Misión:
Establecer las normativas necesarias para el correcto funcionamiento de un
sistema de gestión para la seguridad de la información, enmarcando su
aplicabilidad en un proceso de desarrollo continuo y actualizable.

Alcances del Área de Aplicación:

El ámbito de aplicación del manual de normas y políticas de seguridad

informática, es la infraestructura tecnológica y entorno informático de la red
institucional de la Universidad UNIARIES.
El ente que garantizará la ejecución y puesta en marcha de la normativa y
políticas de seguridad, estará bajo el cargo de la Unidad de Informática.

Glosario de Términos:

Activo: Es el conjunto de los bienes y derechos tangibles e intangibles de

propiedad de una entidad en el ambiente informático, llámese activo a los
bienes de información y procesamiento, que posee la institución. Recurso del
sistema de información o relacionado con éste, necesario para que la
organización funcione correctamente y alcance los objetivos propuestos.

Administración Remota: Forma de administrar los equipos informáticos o

servicios de la Universidad UNIARIES, a través de terminales o equipos
remotos, físicamente separados de la institución.

Amenaza: Es un evento que puede desencadenar un incidente en la entidad,

produciendo daños materiales o pérdidas inmateriales en sus activos.

Archivo Log: Ficheros de registro del sistemas, en los que se anota los pasos
que dan (lo que hace un usuario, como transcurre una conexión, horarios de
conexión, terminales o IP´s involucradas en el proceso, etc.)
Ataque: Evento, exitoso o no, que atenta sobre el buen funcionamiento del
sistema.

Confidencialidad: Proteger la información de su revelación no autorizada. Esto

significa que la información debe estar protegida de ser copiada por cualquiera

13 de 37
 UNIARIES

que no esté explícitamente autorizado por la entidad.

Cuenta: Mecanismo de identificación de un usuario.

Desastre o Contingencia: interrupción de la capacidad de acceso a información

y procesamiento de la misma a través de computadoras necesarias para la
operación normal de la entidad.

Disponibilidad: Los recursos de información sean accesibles, cuando estos

sean necesitados.
Encriptación: Es el proceso mediante el cual cierta información o "texto plano"
es cifrado de forma que el resultado sea ilegible a menos que se conozcan los
datos necesarios para su interpretación.

Integridad: Proteger la información de alteraciones no autorizadas por la

organización.

Impacto: consecuencia de la materialización de una amenaza

ISO: (Organización Internacional de Estándares) Institución mundialmente

reconocida y acreditada para normar en temas de estándares en una
diversidad de áreas, aceptadas y legalmente reconocidas.

IEC: (Comisión Electrotécnica Internacional) Junto a la ISO, desarrolla

estándares que son aceptados a nivel internacional. Normativa de Seguridad
ISO/IEC 27001: (Código de buenas prácticas, para el manejo de seguridad de
la información).

Responsabilidad: En términos de seguridad, significa determinar que individuo

en la institución, es responsable directo de mantener seguros los activos de
cómputo e información.

Servicio: Conjunto de aplicativos o programas informáticos, que apoyan la labor

educativa, académica y administrativa, sobre los procesos diarios que
demanden información o comunicación de la institución.

SGSI: Sistema de Gestión de Seguridad de la Información

Soporte Técnico: Personal designado o encargado de velar por el correcto

funcionamiento de las estaciones de trabajo, servidores, o equipo de oficina
dentro de la entidad.

Riesgo: posibilidad de que se produzca un Impacto determinado en un Activo,

en un Dominio o en toda la Organización.

Terceros: Investigadores/Profesores, instituciones educativas o de

investigación, proveedores de software, que tengan convenios educativos o
profesionales con la institución.

14 de 37
 UNIARIES

Usuario: Defínase a cualquier persona , que utilice los servicios informáticos de

la red institucional y tenga una especie de vinculación académica o laboral con
esta.

Vulnerabilidad: posibilidad de ocurrencia de la materialización de una amenaza

sobre un Activo.

Políticas de Seguridad

1. Los servicios de la red institucional son de exclusivo uso académico, de

investigación, técnicos y para gestiones administrativas, cualquier cambio en la
normativa de uso de los mismos, será expresa y adecuada como política de
seguridad en este documento.
2. La Universidad UNIARIES nombrará un comité de seguridad, que de
seguimiento al cumplimiento de la normativa y cree el entorno necesario para
crear un SGSI, el cual tendrá entre sus funciones:
a) Velar por la seguridad de los activos informáticos
b) Gestión y procesamiento de información.
c) Cumplimiento de políticas.
d) Aplicación de sanciones.
e) Elaboración de planes de seguridad.
f) Capacitación de usuarios en temas de seguridad.
g) Gestionar y coordinar esfuerzos, por crear un plan de contingencia, que dé
sustento o solución, a problemas de seguridad dentro de la institución. El
mismo orientará y guiará a los empleados, la forma o métodos necesarios para
salir avante ante cualquier eventualidad que se presente.
h) Informar sobre problemas de seguridad a la alta administración universitaria.
i) Poner especial atención a los usuarios de la red institucional sobre
sugerencias o quejas con respecto al funcionamiento de los activos de
información.
El comité de seguridad estará integrado por los siguientes miembros:

Gerencia, Gestor de Seguridad, Administrador red Administrativa y

Administrador Red Educativa

3. El administrador de cada unidad organizativa dentro de la red institucional

es el único responsable de las actividades procedentes de sus acciones.
4. El administrador de sistemas es el encargado de mantener en buen estado
los servidores dentro de la red institucional.

5. Todo usuario de la red institucional de la Universidad UNIARIES, gozará de

absoluta privacidad sobre su información, o la información que provenga de sus
acciones, salvo en casos, en que se vea involucrado en actos ilícitos o
contraproducentes para la seguridad de la red institucional, sus servicios o
cualquier otra red ajena a la institución.

15 de 37
 UNIARIES

6. Los usuarios tendrán el acceso a Internet, siempre y cuando se cumplan los

requisitos mínimos de seguridad para acceder a este servicio y acepten las
disposiciones de conectividad de la unidad de informática.
7. Las actividades académicas (clases, exámenes, prácticas, tareas, etc.) en
los centros de cómputo, tienen la primera prioridad, por lo que a cualquier
usuario utilizando otro servicio (por ejemplo Internet o "Chat") sin estos fines,
se le podrá solicitar dejar libre la estación de trabajo, si así, fuera necesario.

Excepciones de responsabilidad

1. Los usuarios que por disposición de sus superiores realicen acciones que
perjudiquen a otros usuarios o la información que estos procesan, y si estos no
cuentan con un contrato de confidencialidad y protección de la información de
la institución o sus allegados.
2. Algunos usuarios pueden estar exentos de responsabilidad, o de seguir
algunas de las políticas enumeradas en este documento, debido a la
responsabilidad de su cargo, o a situaciones no programadas. Estas
excepciones deberán ser solicitadas formalmente y aprobadas por el comité de
seguridad, con la documentación necesaria para el caso, siendo la gerencia
quien dé por sentada su aprobación final.

Clasificación y control de activos

Responsabilidad por los activos
1. Cada departamento o facultad, tendrá un responsable por los activos criticos
de mayor importancia para la facultad, departamento y/o la universidad.

2. La persona o entidad responsable de los activos de cada unidad organizativa

o área de trabajo, velará por la salvaguarda de los activos físicos (hardware y
medios magnéticos, aires acondicionados, mobiliario.), activos de información
(Bases de Datos, Archivos, Documentación de sistemas, Procedimientos, OS ,
configuraciones), activos de software (aplicaciones, software de sistemas,
herramientas y programas de desarrollo)
3. Los administradores de los sistemas son los responsables de la seguridad
de la información almacenada en esos recursos.

Clasificación de la información
1. De forma individual, los departamentos de la Universidad UNIARIES, son
responsables, de clasificar de acuerdo al nivel de importancia, la información
que en ella se procese.
2. Se tomarán como base, los siguientes criterios, como niveles de
importancia, para clasificar la información:
a) Pública
b) Interna
c) Confidencia

16 de 37
 UNIARIES

3. Los activos de información de mayor importancia para la institución deberán

clasificarse por su nivel de exposición o vulnerabilidad.

Seguridad ligada al personal

Referente a contratos:

1. Se entregará al contratado, toda la documentación necesaria para ejercer

sus labores dentro de la institución, en el momento en que se de por
establecido su contrato laboral.
El empleado:
1. La información procesada, manipulada o almacenada por el empleado es
propiedad exclusiva de la Universidad UNIARIES.

2. La Universidad UNIARIES no se hace responsable por daños causados

provenientes de sus empleados a la información o activos de procesamiento,
propiedad de la institución, daños efectuados desde sus instalaciones de red a
equipos informáticos externos.

Capacitación de usuarios
1. Los usuarios de la red institucional, serán capacitados en cuestiones de
seguridad de la información, según sea el área operativa y en función de las
actividades que se desarrollan.

2. Se deben tomar todas las medidas de seguridad necesarias, antes de

realizar una capacitación a personal ajeno o propio de la institución, siempre y
cuando se vea implicada la utilización de los servicios de red o se exponga
material de importancia considerable para la entidad.

Respuestas a incidentes y anomalías de seguridad

1. Se realizarán respaldos de la información, diariamente, para los activos de

mayor importancia o críticos, un respaldo semanal que se utilizará en caso de
fallas y un tercer respaldo efectuado mensualmente, el cuál deberá ser
guardado y evitar su utilización a menos que sea estrictamente necesaria
2. Las solicitudes de asistencia, efectuados por dos o más empleados o áreas
de proceso, con problemas en las estaciones de trabajo, deberá dárseles
solución en el menor tiempo posible.

3. El gestor de seguridad deberá elaborar un documento donde deba explicar

los pasos que se deberán seguir en situaciones contraproducentes a la
seguridad y explicarlo detalladamente en una reunión ante el personal de

17 de 37
 UNIARIES

respuesta a incidentes.
4. Cualquier situación o contrariedad en la seguridad deberá ser documentada,
posterior revisión de los registros o Log de sistemas con el objetivo de verificar
la situación y dar una respuesta concreta y acorde al problema.

Seguridad lógica

Control de accesos:

1. El Gestor de Seguridad proporcionará toda la documentación necesaria para

agilizar la utilización de los sistemas, referente a formularios, guías, controles,
etc.

2. Cualquier petición de información, servicio o acción proveniente de un

determinado usuario o departamento, se deberá efectuar siguiendo los canales
de gestión formalmente establecidos por la institución, para realizar dicha
acción; no dar seguimiento a esta política implica:

Negar por completo la ejecución de la acción o servicio.

Informe completo dirigido a comité de seguridad, mismo será realizado por la
persona o el departamento al cual le es solicitado el servicio.
Sanciones aplicables por autoridades de nivel superior, previamente discutidas
con el comité de seguridad.

Administración del acceso de usuarios

1. Son usuarios de la red institucional los docentes de planta, administrativos,
secretarias, alumnos, y toda aquella persona, que tenga contacto directo como
empleado y utilice los servicios de la red institucional de la Universidad
UNIARIES.
2. Se asignará una cuenta de acceso a los sistemas de la intranet, a todo
usuario de la red institucional, siempre y cuando se identifique previamente el
objetivo de su uso o permisos explícitos a los que este accederá, junto a la
información personal del usuario.
3. Los alumnos, son usuarios limitados, estos tendrán acceso únicamente a los
servicios de Internet y recursos compartidos de la red institucional, cualquier
cambio sobre los servicios a los que estos tengan acceso, será motivo de
revisión y modificación de esta política, adecuándose a las nuevas
especificaciones
4. Se consideran usuarios externos o terceros, cualquier entidad o persona
natural, que tenga una relación con la institución fuera del ámbito de
empleado/estudiante y siempre que tenga una vinculación con los servicios de
la red institucional.
5. El acceso a la red por parte de terceros es estrictamente restrictivo y

18 de 37
 UNIARIES

permisible únicamente mediante firma impresa y documentación de aceptación

de confidencialidad hacia la institución y comprometido con el uso exclusivo del
servicio para el que le fue provisto el acceso.
6. No se proporcionará el servicio solicitado por un usuario, departamento o
facultad, sin antes haberse completado todos los procedimientos de
autorización necesarios para su ejecución.
7. Se creará una cuenta temporal del usuario, en caso de olvido o extravío de
información de la cuenta personal, para brindarse al usuario que lo necesite,
siempre y cuando se muestre un documento de identidad personal.
8. La longitud mínima de caracteres permisibles en una contraseña se
establece en 5 caracteres, los cuales tendrán una combinación alfanumérica.
9. La longitud máxima de caracteres permisibles en una contraseña se
establece en 12 caracteres.

Responsabilidades del usuario

1. El usuario es responsable exclusivo de mantener a salvo su contraseña.

2. El usuario será responsable del uso que haga de su cuenta de acceso a los
sistemas o servicios.
3. Se debe evitar el guardar o escribir las contraseñas en cualquier papel o
superficie o dejar constancia de ellas, a menos que ésta se guardada en un
lugar seguro.
4. El usuario es responsable de eliminar cualquier rastro de documentos
proporcionados por el Gestor de Seguridad, que contenga información que
pueda facilitar a un tercero la obtención de la información de su cuenta de
usuario.
5. El usuario es responsable de evitar la práctica de establecer contraseñas
relacionadas con alguna característica de su persona o relacionado con su vida
o la de parientes, como fechas de cumpleaños o alguna otra fecha importante.
6. El usuario deberá proteger su equipo de trabajo, evitando que personas
ajenas a su cargo puedan acceder a la información almacenada en el,
mediante una herramienta de bloqueo temporal (protector de pantalla),
protegida por una contraseña, el cual deberá activarse en el preciso momento
en que el usuario deba ausentarse.
7. Cualquier usuario que encuentre un hueco o falla de seguridad en los
sistemas informáticos de la institución, está obligado a reportarlo a los
administradores del sistema o gestor de seguridad.

Uso de correo electrónico:

1. El servicio de correo electrónico, es un servicio gratuito, y no garantizable,
se debe hacer uso de el, acatando todas las disposiciones de seguridad
diseñadas para su utilización y evitar el uso o introducción de software
malicioso a la red institucional.

19 de 37
 UNIARIES

2. El correo electrónico es de uso exclusivo, para los empleados de la

Universidad UNIARIES y accionistas de la misma.

3. Todo uso indebido del servicio de correo electrónico, será motivo de

suspensión temporal de su cuenta de correo o según sea necesario la
eliminación total de la cuenta dentro del sistema.
4. El usuario será responsable de la información que sea enviada con su
cuenta.

5. El comité de seguridad, se reservará el derecho de monitorear las cuentas

de usuarios, que presenten un comportamiento sospechoso para la seguridad
de la red institucional.
6. El usuario es responsable de respetar la ley de derechos de autor, no
abusando de este medio para distribuir de forma ilegal licencias de software o
reproducir información sin conocimiento del autor.

Seguridad en acceso de terceros

1. El acceso de terceros será concedido siempre y cuando se cumplan con los
requisitos de seguridad establecidos en el contrato de trabajo o asociación para
el servicio, el cual deberá estar firmado por las entidades involucradas en el
mismo.
2. Todo usuario externo, estará facultado a utilizar única y exclusivamente el
servicio que le fue asignado, y acatar las responsabilidades que devengan de
la utilización del mismo.
3. Los servicios accedidos por terceros acataran las disposiciones generales
de acceso a servicios por el personal interno de la institución, además de los
requisitos expuestos en su contrato con la universidad.

Control de acceso a la red

Unidad de Informática y afines a ella.
1. El acceso a la red interna, se permitirá siempre y cuando se cumpla con los
requisitos de seguridad necesarios, y éste será permitido mediante un
mecanismo de autenticación.
2. Se debe eliminar cualquier acceso a la red sin previa autenticación o
validación del usuario o el equipo implicado en el proceso.

3. Cualquier alteración del tráfico entrante o saliente a través de los

dispositivos de acceso a la red, será motivo de verificación y tendrá como
resultado directo la realización de una auditoria de seguridad.
4. El departamento de informática deberá emplear dispositivos de red para el
bloqueo, enrutamiento, o el filtrado de tráfico evitando el acceso o flujo de
información, no autorizada hacia la red interna o desde la red interna hacia el
exterior.

20 de 37
 UNIARIES

5. Los accesos a la red interna o local desde una red externa de la institución ,
se harán mediante un mecanismo de autenticación seguro y el trafico entre
ambas redes o sistemas será cifrado
6. Se registrara todo acceso a los dispositivos de red, mediante archivos de
registro o Log, de los dispositivos que provean estos accesos.

7. Se efectuara una revisión de Log de los dispositivos de acceso a la red en

un tiempo máximo de 48 horas.

Control de acceso al sistema operativo

1. Se deshabilitarán las cuentas creadas por ciertas aplicaciones con
privilegios de sistema, (cuentas del servidor de aplicaciones, cuentas de
herramientas de auditoría, etc.) evitando que estas corran sus servicios con
privilegios nocivos para la seguridad del sistema.
2. Al terminar una sesión de trabajo en las estaciones, los operadores o
cualquier otro usuario, evitara dejar encendido el equipo, pudiendo
proporcionar un entorno de utilización de la estación de trabajo.
Servidores
3. El acceso a la configuración del sistema operativo de los servidores, es
únicamente permitido al usuario administrador.

4. Los administradores de servicios, tendrán acceso único a los módulos de

configuración de las respectivas aplicaciones que tienen bajo su
responsabilidad

5. Todo servicio instalado en los servidores, correrá o será ejecutado bajo

cuentas restrictivas, en ningún momento se obviaran situaciones de servicios
corriendo con cuentas administrativas, estos privilegios tendrán que ser
eliminados o configurados correctamente.

Control de acceso a las aplicaciones

1. Las aplicaciones deberán estar correctamente diseñadas, con funciones de
acceso especificas para cada usuario del entorno operativo de la aplicación, las
prestaciones de la aplicación.
2. Se deberá definir y estructurar el nivel de permisos sobre las aplicaciones,
de acuerdo al nivel de ejecución o criticidad de las aplicaciones o archivos, y
haciendo especial énfasis en los derechos de escritura, lectura, modificación,
ejecución o borrado de información.
3. Se deberán efectuar revisiones o pruebas minuciosas sobre las
aplicaciones, de forma aleatoria, sobre distintas fases, antes de ponerlas en un
entorno operativo real, con el objetivo de evitar redundancias en las salidas de
información u otras anomalías.
4. Las salidas de información, de las aplicaciones, en un entorno de red,
deberán ser documentadas, y especificar la terminal por la que deberá

21 de 37
 UNIARIES

ejecutarse exclusivamente la salida de información.

5. Se deberá llevar un registro mediante Log de aplicaciones, sobre las
actividades de los usuarios en cuanto a accesos, errores de conexión, horas de
conexión, intentos fallidos, terminal desde donde conecta, entre otros, de
manera que proporcionen información relevante y revisable posteriormente.

Monitoreo del acceso y uso del sistema

1. Se registrará y archivará toda actividad, procedente del uso de las
aplicaciones, sistemas de información y uso de la red, mediante archivos de
Log.
2. Los archivos de Log, almacenarán nombres de usuarios, nivel de privilegios,
IP de terminal, fecha y hora de acceso o utilización, actividad desarrollada y
aplicación implicada en el proceso,
3. Se efectuará una copia automática de los archivos de Log, y se conducirá o
enviara hacia otra terminal o servidor, evitando se guarde la copia localmente
donde se produce.

Gestión de operaciones y comunicaciones

Responsabilidades y procedimientos operativos

1. El personal administrador de algún servicio, es el responsable absoluto por

mantener en óptimo funcionamiento ese servicio, coordinar esfuerzos con el
gestor de seguridad, para fomentar una cultura de administración segura y
servios óptimos.
2. Las configuraciones y puesta en marcha de servicios, son normaas por el
departamento de informática, y el comité de seguridad.

3. El personal responsable de los servicios, llevará archivos de registro de

fallas de seguridad del sistema, revisara, estos archivos de forma frecuente y
en especial después de ocurrida una falla.

Protección contra software malicioso

1. Se adquirirá y utilizará software únicamente de fuentes confiables.

2. En caso de ser necesaria la adquisición de software de fuentes no

confiables, este se adquirirá en código fuente

3. Los servidores, al igual que las estaciones de trabajo, tendrán instalado y

configurado correctamente software antivirus actualizable y activada la
protección en tiempo real.

22 de 37
 UNIARIES

Mantenimiento
1. El mantenimiento de las aplicaciones y software de sistemas es de exclusiva
responsabilidad del personal de la unidad de informática, o del personal de
soporte técnico.
2. El cambio de archivos de sistema, no es permitido, sin una justificación
aceptable y verificable por el gestor de seguridad.

3. Se llevará un registro global del mantenimiento efectuado sobre los equipos

y cambios realizados desde su instalación.

Manejo y seguridad de medios de almacenamiento

1. Los medios de almacenamiento o copias de seguridad del sistema de

archivos, o información de la entidad, serán etiquetados de acuerdo a la
información que almacenan, detallando o haciendo alusión a su contenido.
2. Los medios de almacenamiento con información crítica o copias de respaldo
deberán ser manipulados única y exclusivamente por el personal encargado de
hacer los respaldos y el personal encargado de su salvaguarda.
3. Todo medio de almacenamiento con información crítica será guardado bajo
llave en una caja especial a la cual tendrá acceso únicamente, el gestor de
seguridad o la gerencia administrativa, esta caja no debería ser removible, una
segunda copia será resguardada por un tercero.

4. Se llevará un control, en el que se especifiquen los medios de

almacenamiento en los que se debe guardar información y su uso

Seguridad física
EGURIDAD FÍSICA
Seguridad física y ambiental

Seguridad de los equipos

1. El cableado de red, se instalará físicamente separado de cualquier otro tipo

de cables, llámese a estos de corriente o energía eléctrica, para evitar
interferencias.

2. Los servidores, sin importar al grupo al que estos pertenezcan, con

problemas de hardware, deberán ser reparados localmente, de no cumplirse lo
anterior, deberán ser retirados sus medios de almacenamiento.
3. Los equipos o activos críticos de información y proceso, deberán ubicarse en
áreas aisladas y seguras, protegidas con un nivel de seguridad verificable y
manejable por el gestor de seguridad y las personas responsables por esos
activos, quienes deberán poseer su debida identificación.

23 de 37
 UNIARIES

Controles generales
1. Las estaciones o terminales de trabajo, con procesamientos críticos no
deben de contar con medios de almacenamientos extraíbles, que puedan
facilitar el robo o manipulación de la información por terceros o personal que no
deba tener acceso a esta información.
2. En ningún momento se deberá dejar información sensible de robo,
manipulación o acceso visual, sin importar el medio en el que esta se
encuentre, de forma que pueda ser alcanzada por terceros o personas que no
deban tener acceso a esta información.
3. Deberá llevarse un control exhaustivo del mantenimiento preventivo y otro
para el mantenimiento correctivo que se les haga a los equipos.

5. Sistema de Seguridad Informática

La entidad Uniaries contara con políticas restringible para los estudiantes,
empleados, usuarios y personal que no correspondan al área de administración
como a páginas web, a sitios no autorizados y permisos no correspondientes
para ellos.

Los administradores de la red y técnicos solo ellos podrán tener acceso al área
de teleinformatica y serán los únicos responsables de los dispositivos activos
tendrán un horario donde el área de teleinformatica estará vigilada,
monitorizada las 24 horas del día.

Se establecerá en la entidad políticas permisivas para estudiantes, empleados,

usuarios y personal administrativo de la entidad para no hacer mal uso de las
diferentes estaciones de trabajo y perder tiempo en cosas no correspondientes
para ellos.

5.1 Medios Humanos

La entidad Uniaries dispone con un personal altamente calificado para el
manejo, control, implementación, especialización en el área de la informática y
la seguridad de la red.

 Juan Camilo Muñoz administrador de red y encargado de algunos

activos informáticos de la entidad

 Alexander Henao administrador de la red y encargado de algunos

dispositivos activos de la entidad

24 de 37
 UNIARIES

 Vanessa Gomez administradora de red

 Cristian camilo Sepulveda administrador de la red

 Juan Camilo Restrepo administrador de red

 Contamos con Alonso Cabrales presidente actual de la entidad.

 Jose Luis Perales gerente de la entidad.

 Carolina Velez es la Jefe de el área de recursos humanos

Alonso cabrales vela por el buen funcionamiento y eficacia de la entidad

disponiendo así de todos los administradores y empleados de la misma para
que cumplan sus respectivas labores.

Juan Camilo Muñoz además de que es el encargado de la red de la entidad

para que no se presente problemas de conectividad también es el encargado
de administrar algunos dispositivos activos tales como AP, swith este verifica a
diario que los servidores estén en correcto funcionamiento para el buen uso de
estos

Alexander Henao cumple con administrar la red para que no presente problema
alguno de conectividad, se encarga también de administrar varios de los
dispositivos de la entidad como lo son AP, swith y esta pendiente de que le
servidor de la entidad este en correcto funcionamiento para los diferentes
administradores de la red.

Vanessa Gómez además de velar por el buen funcionamiento de la red es la

encargada de administrar el firewall, el servicio de correo electrónico y el DNS
de la entidad. Se mantiene actualizada en el area de seguridad para mantener
el firewall en correcto funcionamiento y con los parches adecuados.

Cristian Camilo Sepulveda administrar la red adecuadamente para mantener en

funcionamiento la conectividad de la entidad además administra servicios tales
como Ftp y DNS y en la parte de seguridad administra el IDS aplicando
parches actualizaciones posibles para que tenga un buen funcionamiento.

Juan Camilo Restrepo vela por que la red se encuentre en un estado de

funcionamiento correcto además de esto administra e implementa el servicio de
proxy y maneja los sistemas operativos de la entidad.

Carolina Vélez persona clave para la entidad ya que cuenta con una alta
experiencia profesional de ella y del personal que la acompaña depende de
que la entidad fracase o sea un éxito. Ella es la encargada de que el personal
de la entidad se sienta en un ambiente motivador, también supervisa que los
cambios para la entidad sean planeados y coordinados para asegurar la

25 de 37
 UNIARIES

productividad de la entidad y conlleva a mantener la integridad y socialización

de la misma.

José Luis Perales es el encargado de velar por la entidad para que tenga un
buen funcionamiento en todos sus aspectos el cuenta con el personal de la
entidad para que cumplan las distintas funciones en las áreas especificas.

5.2 Medios Técnicos

Los sistemas operativos que se implementaran en la entidad son Ubuntu,
centos y Windows XP cada cuenta de usuario cuenta con una contraseña
fuerte mayor a 8 dígitos y con caracteres especiales, las cuentas de los
servidores cuentan con una contraseña mayor a 12 dígitos y con caracteres
especiales al inicio y al final de la cuenta y no se permite la instalación de
software adicional por parte del usuario.

Los tipos de red que se utilizaran son LAN, WLAN, DMZ y WAN donde la LAN
tendrá acceso a la WAN y a la DMZ, la WAN tiene restricción hacia la LAN y
acceso algunos servicios de la DMZ, en la WLAN los usuarios se tendrán que
autenticar en el AP por medio de WPA2 y a la vez contra un servidor RADIUS.
La topología que se implementara será en forma de estrella.

Los servicios utilizados en la red interna de la entidad son el DNS, DHCP y

servidores de acceso público el correo electrónico, WEB y FTP en el cual
tendrá claves de acceso de 12 dígitos con caracteres especiales al inicio y al
final; el servidor de correo cuenta con seguridad TLS, SSL y SASL, el servidor
Web cuenta con seguridad TLS/SSL y nuestro servidor FTP con autenticación
de usuarios

El servidor proxy de la entidad cuenta con filtrar contenidos no deseados para

la misma y la optimización del ancho de banda.

El firewall tendrá el filtrado de paquetes donde se especificara la entrada de

tráfico que pasara a nuestra entidad

Se utilizara sniffers ya que este nos permitirá capturar todo el tráfico que
pasara por nuestra red también se utilizara pfsense que se une con el snort
para la perfecta administración y monitoreo de la red, el trafico de la red se
analizara máximo cada 48 horas por el administrador de red Cristian Camilo
Sepulveda uno de los encargados en el área de seguridad.

Utilizaremos un sistema de detección de intrusos en la red para así evitar

posibles ataques a la entidad.

26 de 37
 UNIARIES

Los sistemas criptográficos empleados en la entidad son TLS/SSL para la

debida protección de los ficheros y datos.

5.3 Medidas y Procedimientos de Seguridad Informática

Solo tendrán acceso al área de teleinformatica las personas con acceso
autorizado como lo son los administradores de red y técnicos de la entidad.

Solo tendrán permisos de descargas de software y aplicaciones, pero no

tendrán permisos de instalación de software a no ser que le administrador se lo
permita. Solo los usuarios de la entidad tendrán los datos y ficheros
correspondientes más no información privada o permisos de administrador del
sistema.

Los usuarios tendrán acceso a sitios web como Facebook, youtube de 12 a 2

de la tarde, no tendrán acceso a sitios web pornográficos en el resto del día
podrán navegar en los diferentes sitios web.

Las áreas de tecnologías de información serán autorizadas y controladas las 24

horas del día

Los usuarios de la entidad como los estudiantes tendrán acceso a los sistemas
como invitado mas no como administrador, los estudiantes tendrán claves de 5
dígitos sin caracteres especiales. Para el personal administrativo de la entidad
la clave contara con más de 12 dígitos con caracteres especiales al inicio y al
final estas claves se actualizaran cada 20 días para una mayor seguridad y
para demás empleados de la entidad la clave contara con 8 dígitos con
caracteres especiales venciendo cada 20 días.

La información privada de la entidad se hace backup mensualmente para

garantizar un respaldo de la información.

La entidad cuenta con personal calificado para el mantenimiento y soporte

técnico de los activos, si los activos fuesen traslados o formateados por
equivocación contaremos con un backup o claves de alta seguridad que solo el
personal de la entidad podrán acceder a ellos para que la información no sea
divulgada, modificada por personal diferente a ella.

Los administradores de red tendrán que tener mucho cuidado con dejar
secciones de administración abiertas que perjudiquen la entidad como en
modificación, pérdida o divulgación de información valiosa para la entidad.

27 de 37
 UNIARIES

5.3.1 De protección Física

5.3.1.1 A las Áreas con tecnologías instaladas

En esta especificaremos la protección que van a tener nuestros dispositivos
como lo son servidores, switchs, etc.

La seguridad que se le brindaran ha estos dispositivos van a ser las siguientes:

Van a estar en un lugar donde solo tendrán ingreso personas con autorización.
Y además solo podrán configurar y tener la autorización para manipular estos
activos de información.

5.3.1.2 Tecnologías de información

Esta consiste en no tener información a la vista para personas que no tengan
nada que ver con la entidad o con personal no autorizado para el área
específica. Además las claves constaran con caracteres especiales y será de
una longitud mínima de12 dígitos.

NOTA: Ninguna clave puede dejarse a la vista de ninguna persona

5.3.1.3 A los soportes de información

Debido a que los soportes de información son de vital importancia para la
organización, ya que permiten alojar Los sistemas operativos y aplicaciones
que son necesarias para la administración y operación del sistema. su Mayor
importancia Reside en que permiten almacenar la información producida y
manipulada por la Organización, la cual es necesaria para su correcto
funcionamiento esta información puede ser las Bases de datos, contactos,
manuales de equipos y aplicaciones entre otros.

Como sabemos el activo más importante para una organización es

precisamente la información y que esta información debe Cumplir con tres
principios fundamentales que son:

Integridad: que la información este completa y sea veraz (evitar corrupción de

datos)

Disponibilidad: que la información esté disponible para quien la necesite y

cuando lo necesite

Privacidad: acceso a la información solo al personal autorizado.

28 de 37
 UNIARIES

Para que lo anteriormente mencionado se cumpla debemos de contar con

soportes de información, en este caso medios de almacenamiento como discos
duros, citas, medios extraíbles entre otros deben estar en óptimas Condiciones
para su correcto funcionamiento.

Con La finalidad de tener en buenas condiciones dichos medios se deben

tomar las siguientes medidas:

 Tener plenamente identificados los equipos tanto a nivel físico como

lógico
 Identificar el personal encargado de dichos equipos
 Hacer un mantenimiento periódico tanto a nivel de hardware como de
software
 llevar un seguimiento a los dispositivos y documentar los resultados de
los chequeos
 Destruir información sensible al desechar medios de almacenamiento

5.3.2 Técnicas o lógicas

Como sabemos los sistemas de información ofrecen grandes ventajas a las
organizaciones principalmente en el Campo de las telecomunicaciones que es
un proceso vital para cualquier compañía, debido a que gran parte de Procesos
que se dan dentro de la misma depende de las comunicaciones en uno u otro
sentido.

Ahora bien sabemos que las telecomunicaciones ayudan a agilizar los

procesos, y para lograr esto se valen de de Medios físicos (hardware) y Lógicos
(software), que funcionan en conjunto para formar una infraestructura de Red
que hace posible tener al interior de la organización en este caso servicios
como:

Correo electrónico: facilitar la comunicación tanto a nivel interno como externo

de la compañía.

Servidor FTP: que facilita el trabajo al interior de la compañía al compartir

información y recursos de manera Centralizada.

Motores de Bases de datos: usados para gestionar la información de usuarios,

empleados, contactos, y utilizada por algunos programas y utilidades para
almacenar información de control.

Servidor WEB: Con el fin de que la compañía pueda publicar sus productos y
servicios al exterior de una forma fácil y Rápida.

Como podemos ver los servicios anteriormente mencionados añaden

funcionalidad y contribuyen a que la compañía cumpla mejor sus funciones,

29 de 37
 UNIARIES

también trae consigo Riesgos que deben aceptarse y tratarse para evitar que
se vea comprometida la seguridad de la información. Para reducir los Riesgos
se adoptaran medidas tanto físicas como lógicas.

Medidas Físicas

 Los equipos activos de interconexión como switch, routers AP, y demás

deberán estar en un cuarto seguro y con las condiciones necesarias
para su correcto funcionamiento.
 Las puertas de acceso a los cuartos de telecomunicación deberán estar
diseñadas con estándares de seguridad requeridas para dichos cuartos
 se definirá un plan de mantenimiento preventivo para mantener en
correcto funcionamiento los dispositivos
 los cuartos de telecomunicación no deberán estar cerca a tuberías de
aguas y deben contar la ventilación adecuada
 la energía suministrada a los equipos activos deberá ser regulada para
evitar que las infatuaciones en la misma para evitar daños a los activos
 Cualquier cambio de hardware tendrá ser informado y aproado por la
dirección.

Medidas Lógicas

 El acceso a estos dispositivos activos solo lo tendrá personal autorizado

y en función del rol que desempeñe dentro la organización.
 Los activos que brindan conectividad a nivel interno como externo no
deberán contener contraseñas por defecto
 Cualquier cambio en la configuración de los dispositivos deberá ser
justificada y documentada con el fin de corregir errores en caso de
presentarse
 Se contara con un sistema de detección de intrusos ( IDS ) con el fin de
detectar intrusión a la red interna
 Se instalara un Firewall con la finalidad controlar el acceso desde
internet a la red interna y viceversa.
 También se contara con un proxy para filtrar el contenido al que se
accede en internet desde la red local
 No se permitirá la instalación de software en el los equipos por parte del
usuario final

5.3.2.1 Identificación de usuarios

Después de haber definido medidas técnicas lógicas y físicas en cuanto a los
dispositivos y equipos de la entidad

Es de suma importancia que se definan las medidas y políticas para la

identificación de los usuarios ante el sistema para que estos puedan hacer uso
del mismo.

30 de 37
 UNIARIES

A continuación se describen medidas a implementar.

 Las cuentas de los usuarios serán otorgados por los administradores del
sistema
 El usuario deberá cambiar la contraseña cuando se autentique por
primera vez en el sistema
 La nueva contraseña ingresada por el usuario deberá ser mínimo de 8
caracteres y contener números o caracteres especiales.
 Las contraseñas serán cambiadas periódicamente con el fin de evitar
que personas ajenas a la institución y por el descuido el usuario hagan
mal uso de las mismas.
 Finalmente las cuentas de empleados que se retiren de la institución
serán eliminadas del sistema para evitar que el mismo se vea
comprometido por el uso mal intencionado de las mismas

5.3.2.2 Autenticación de usuarios

En la entidad cada empleado tiene una cuenta en su equipo en la que a cada
uno se le asigna por primera vez la contraseña, cuando ingrese el sistema le
pedirá un cambio de contraseña. Esta contraseña será utilizada para tener
acceso a las aplicaciones que el empleado necesita, mas no le servirá para
tener permisos de administrador.
La contraseña no puede tener referencia a datos personales ni referentes a la
entidad, debe ser mayor a 8 dígitos y tener caracteres especiales. No puede
ser divulgada ni hacer un traspaso de ella.
La contraseña se debe cambiar cada veinte días para garantizar de que otras
personas no la intercepten y así no se pondrá en riesgo la integridad,
disponibilidad y confidencialidad de la información.

5.3.2.3 Control de acceso a los activos y recursos

En la entidad se cuenta con unos activos que tienes algunas restricciones
como lo son Switch, AP, los servidores, las bases de datos y servicios como
Correo, DHCP, Web, FTP, DNS, DHCP, Proxy y Firewall, el acceso para estos
son contraseñas de carácter fuerte en las que consiste tener mas de 12 dígitos
con un carácter especial al inicio y final, no tener referencia a la empresa ni
datos personales de el responsable del activo.
Los derechos y privilegios de acceso los otorgan los administradores de la red
y responsables de los activos de la entidad que son Vanessa Gómez, Juan
Camilo Muñoz, Cristian Camilo Sepúlveda, Alexander Henao y Camilo
Restrepo.
Los derechos y privilegios de acceso a los activos se le otorga a los
responsables de cada uno de ellos y en cuanto las bases de datos, el
presidente y gerente de la entidad también cuentan con ellos.

31 de 37
 UNIARIES

Para otorgar derechos y privilegios de acceso solo se le dan a los

responsables de cada activo y para suspenderlo tendrían que haber violado
alguna política de la entidad o cambio de responsable.

5.3.2.4 Integridad de los ficheros y datos

Las medidas de seguridad implementados para los sistemas operativos es una
contraseña de carácter fuerte y evitar que los empleados dejen las cuentas
abiertas para evitar la fuga de la información. En cuanto las bases los usuarios
necesitan autenticación y también se restringe los hosts ya que solo algunos
pueden tener acceso.
Las medidas que se implementaron para asegurar la integridad del software y
la configuración de los medios técnicos evitar la descarga de software y
aplicaciones, no dejar ingresar a personas que no este relacionadas con el
área mencionada y asignar los permisos adecuados para la administración de
los activos de la entidad.
Los medios criptográficos empleados por la entidad son los SSL y TLS para la
protección de ficheros y datos.
Para la protección contra virus se implemento el antivirus Nod 32 y antispam,
para proteger nuestra entidad de posibles explotaciones se cuenta con un IDS
y un Firewall.

5.3.2.5 Auditoría y Alarmas

En la entidad se implemento un IDS para detectar posibles intrusos a la red y
poder tomar medidas para evitar ataques. También se cuenta con un
FIREWALL que restringe el acceso a la LAN y DMZ de la entidad del lado de
la WAN en cuanto las reglas establecidas y que se une con el IDS para que en
el caso que detecte un intruso trabaje conjunto y cierren el puerto o el servicio.
Se cuenta con un Proxy para optimizar el ancho de banda y filtrado de
contenido.
También utilizamos sniffers que nos permite capturar el tráfico de red de la
entidad para visualizar lo que está ocurriendo en ella.

5.3.3 Seguridad de operaciones

Identificación y control de las tecnologías en explotación, en particular aquellas
donde se procese información clasificada.

Las tecnologías más usadas en nuestra entidad son los servicios de red y
aplicaciones como lo son servicios unos de ellos son DNS y servicios de
correo los cuales estarán a disposición de cada vez que una persona integrante
de nuestra entidad los requiera utilizar.

32 de 37
 UNIARIES

Control sobre la entrada y salida en la entidad de las tecnologías de

información (máquinas portátiles, periféricos, soportes, etc.).

Las medidas que se tomaran frente a este son:

No ingresar dispositivos sin previo registro.

Está prohibido el acceso de cámaras de vídeo o cámaras fotográficas a áreas

confidenciales o de solo personal autorizado

No dejar salir ningún tipo de dispositivos cuyo registro no se haya realizado

Si los dispositivos requieren de su salida y son propios a la entidad deben ser

reportados.

Analizar cada serial de equipos y verificarlos en la base de datos de activos de

la entidad.

Metodología establecida para las salvas de la información, especificando su

periodicidad, responsabilidades, cantidad de versiones, etc.)

Las metodologías implantadas en UNIARIES son el respaldo de backup para

guardar o almacenar la información y que esta misma se encuentre disponible
cuando se solicite su uso la responsabilidad de realizar este respaldo de
información es del sysadmin encargado. Es importante resaltar que estas
copias estén alojadas de forma segura en un lugar especial y cuyo acceso
controlado. Estas se realizaran mensualmente y el tiempo de vida será como
un ciclo lo cual vamos a tener en cuenta las ultimas copias de backup para no
eliminar información que es de un valor importante.

Acciones específicas durante las conexiones externas a la entidad

Durante conexiones a lugares que no son del área de nuestra entidad tenemos
que darle un grado de importancia alto pues es muy probable que haya una
fuga de información

Por esta razón es importante la capacitación al personal interno o advertencias

como:

Prohibido revelar contraseñas

Prohibido revelar datos

Prohibido entablar conversaciones con personas de otra entidad (competencia)

Prohibido subir o transferir información privada de la organización a sitios

públicos

33 de 37
 UNIARIES

Está prohibido ingresar a sitios pornográficos, redes sociales, sitios de

mensajería instantánea como chat.

5.3.4 De recuperación ante contingencia

Como ya se ha visto anteriormente se han mencionado los riesgos que hay con
respecto al hardware, software y aplicaciones que usan los usuarios para
acceder a un sistema, de igual manera se consideraron las medidas necesarias
para reducir dichos riesgos. Pero adicional a estos riesgos hay otros que son
ajenos y no dependen de la intervención del hombre como son los fenómenos
naturales y para los cuales la organización de estar preparada en caso de que
se presentase.

Para afrontar dichos riegos la empresa debe contar con un plan de

recuperación que contemple las siguientes medidas:

 Copias de seguridad de la información (backup) vital para el

funcionamiento de la empresa en servidores externos a la organización
con la debida protección
 En lo posible contar con más de una sucursal para evitar la interrupción
total del servicio prestado por la institución
 Asignar roles específicos al personal encargado de ejecutar el plan de
recuperación
 El personal encargado de elaborar y aprobar el plan de recuperación
debe estar plenamente identificado
 Finalmente el plan de recuperación debe darse a conocer a todo el
personal de la entidad

Las medidas anteriormente mencionadas ayudaran a la organización a llegar a

un punto de equilibrio de forma más rápida en caso de presentarse un desastre
de origen natural o provocado intencionalmente.

6 Anexos

6.1 Programas de seguridad informática

La entidad educativa UNIARIES con el fin de proteger la información o
anteriormente mencionados los activos informáticos decide instalar y modificar
la estructura de su organización con el fin de que esta a un grado mínimo de
exposición hacia posibles eventos que nos podría perjudicar seriamente. El
tiempo para esta modificación es realizado organizadamente con el fin de no
afectar la disponibilidad y el correcto funcionamiento de nuestra organización.

34 de 37
 UNIARIES

No solo se modificara la estructura de esta si no que también se realizaran

capacitaciones. Se estará educando al personal de nuestra empresa en
cuestión de cómo saber manejar diferentes experiencias en el entorno de
trabajo como lo son las relaciones o el contacto con otra personas, se tendrá
en cuenta las medidas preventivas a la hora de relacionarnos con los demás y
de brindar información. Este personal no estará sometido a esta capacitación
simultáneamente si no que será implantada las conferencias y capacitaciones
solo por personal seleccionado para no para la productividad de este para no
suspender nuestros servicios.

La entidad también cuenta con un tiempo dedicado para realizar las distintas
pruebas de auditorías, testeo, inspección realizando tanto las distintas
auditorias como lo son internas o externas.

Estas pruebas serán realizadas por un auditor que será el encargado de

entregar los reportes y los análisis de todo lo que realizo en esta inspección y
lo cual sarán realizadas cada vez que se realice un cambio en nuestra entidad
o que se realice u cambio en nuestro sistema lógico aproximadamente cada 6
meses.

6.2 Listado de nominal de usuarios con acceso de alcance

global
Presidente: No tendrá restricciones a ninguna página de internet

Gerente: No tendrá restricción a ninguna página de internet.

Gestor de seguridad: No tendrá restricciones a ninguna página de internet

Unidad de informática: No tendrá ingreso ha paginas sociales, excepto ha msn.

Responsables de activos: No pueden ingresar ha paginas sociales.

Técnicos: Solo tendrán acceso a las páginas necesarias.

Maestros: No podrán ingresar a paginas sociales (excepto ha twitter).

Alumnado: Solo tendrán acceso a unas páginas sociales en unos horarios

específicos.

NOTA: Las páginas pornográficas van a tener restricciones para todas las
personas aquí mencionadas, las 24 horas.

35 de 37
 UNIARIES

6.3 Registros
Finalmente es importante que todas las medidas y proceso realizados en la
organización en pro del Mejoramiento en cuanto a la seguridad y uso del
sistema estén bien documentados ya que son de gran utilidad Para solucionar
de manera más rápida y eficaz problemas que puedan presentarse
posteriormente.

A continuación se mencionan procesos de los cuales se debe tener

documentación exacta y actualizada constantemente:

 Adquisición nueva de hardware y software

 Cambios realizados en el sistema y procedimiento seguido
 Mantenimiento preventivo u correctivo realizado a los equipos con
fechas y procedimiento seguido
 Traslado de equipos a otra ubicación
 Incidentes de seguridad y medidas aplicadas para corregirlos

36 de 37
 UNIARIES

COCLUSIONES

Con este trabajo los integrantes del grupo Aries lograron obtener conocimientos
necesarios sobre los temas tratados.

También creamos políticas de seguridad para los diferentes activos de nuestra

entidad, tanto tangibles como e intangibles.

Se especificaron los activos importantes de la entidad y además que función

cumplen cada uno de estos y con que seguridad fue implementada.

Además fueron delegados los diferentes roles que cumplen cada persona
dentro de la entidad, cada uno de ellos es encargado del activo
correspondiente dentro de la entidad.

Se especifico las políticas de seguridad que irán hacer implementadas en las

herramientas de seguridad perimetral tales como firewall, proxy, IDS y VPN

37 de 37