Manual de normas y procedimientos de seguridad

Instituto Tecnológico de Ciudad Cuauhtémoc

MANUAL DE NORMAS Y PROCEDIMIENTOS DE SEGURIDAD Alumno: Carlos A. Ramón Hdez. Mercedes González Yuliana Rojo Karen Pedroza Juan Carlos Gutiérrez Titular de la materia: Ing. Jesús Antonio Rincón Ibarra

Asignatura: ADMON. SALUD Y SEG. IND. Carrera: Ing. en Gestión Empresarial 6-S (Distancia) Fecha: 09/Junio/2012

MANUAL DE NORMAS Y PROCEDIMIENTOS DE SEGURIDAD

VERSION 1.0

FECHA 09/06/2012

Departamento de Soporte Técnico

ELABORADO POR: REVISADO POR PAGINA

Mercedes González Yuliana Rojo Karen Pedroza Juan Carlos Gutierrez Carlos A. Ramón Hdez

Ing. Jesús Antonio Rincón Ibarra 1 de 18

TABLA DE CONTENIDO

Introducción 2

Historia del Documento 3

Objetivo General 4

Objetivos Específicos 4

Alcance 6

Justificación 6

Políticas de Seguridad de la Información 7

Políticas de Seguridad Física 8

Políticas de Seguridad Lógica 10

Definiciones Básicas 14


VERSION 1.0

FECHA 09/06/2012





INTRODUCCION

Cada día se está presente la preocupación por los temas relativos a la seguridad en

la red y sus equipos, así como también la necesidad de esta seguridad.

Internet, denominada también la red o red de redes, se ha convertido en la última

década en un fenómeno que ha revolucionado la sociedad. Desde la aparición de la

televisión no se ha observado ningún otro fenómeno social de tal envergadura o que

evolucione tan rápido. De igual forma que en cualquier otro servicio utilizado por gran

cantidad de personas (como el metro o las carreteras), la seguridad es un factor básico

que siempre debe ser tenido en cuenta.

La falta de algunas medidas de seguridad en las redes puede ser un problema cada

vez es mayor, debido a el número de atacantes que están cada vez más organizados,

valiéndose de sus habilidades especializadas en telecomunicaciones y redes que les

permiten acceder a información privada para su propio beneficio. Tampoco no deben

subestimarse las fallas de seguridad provenientes del interior mismo de la organización

Mediante el siguiente Manual de Normas y Procedimientos de Seguridad se pretende

instruir al personal que administra la red del Instituto Tecnológico de Cd Cuauhtémoc

mediante una visión de solución de eventualidades en la indebida utilización de la

plataforma tecnológica, describiendo la implementación de seguridad de la red que allí

se encuentra.


VERSION 1.0

FECHA 09/06/2012





HISTORIA DEL DOCUMENTO

Controles de Cambios

Fecha de Elaboración

Fecha de Autorización

Versión Elaboro Naturaleza del

Cambio

09/06/2012 1.0 Mercedes González Yuliana Rojo Karen Pedroza Juan Carlos Gutiérrez Carlos A. Ramón Hdez

Creación

Revisado Por

Área / Dirección Persona

Copia Para

Área / Dirección Persona

Estudiantes de I.G.E Equipos de Trabajo


VERSION 1.0

FECHA 09/06/2012





OBJETIVO GENERAL

Establecer y desarrollar cada una de las políticas de seguridad que serán aplicadas

en las instalaciones de la Instituto Tecnológico de Cd Cuauhtémoc así como sus

departamentos, con el fin de velar por el cumplimiento de las normas y procedimientos

que regirán las actividades realizadas en esta institución, dando fiel cumplimiento a los

estatutos descritos en la Constitución Mexicana en cuanto al manejo de la información.

OBJETIVOS ESPECIFICOS

Presentar una descripción técnica de las diferentes políticas de seguridad que

se establecen en la organización, con el fin de consentir el uso óptimo de las

herramientas de trabajo existentes en Instituto Tecnológico de Cd

Cuauhtémoc. Aportar al personal del Departamento de Administración de Red

del Instituto Tecnológico de Cd Cuauhtémoc un material de referencia que

puede ser de utilidad para el resto de las áreas de la institución que requieran

información de este tipo.

Reconocer la problemática de seguridad que posiblemente pueda afectar a

esta organización, ya que en cualquier institución que maneje sistemas

informáticos, conectados a redes públicas como Internet, pueden presentar

ciertas vulnerabilidades.


VERSION 1.0

FECHA 09/06/2012





Implantar soluciones que permitan resguardar la confidencialidad y la

integridad de la información, garantizar la autenticidad de los datos y de los

mensajes y proteger a los sistemas de ataque internos o externos.

Implantar las medidas de seguridad para defenderse de las amenazas

internas y externas a través de controles apropiados.

Definir los objetivos y los niveles de seguridad aplicables en la red de datos,

para que el personal responsable pueda realizar toma de decisiones de

manera correcta al presentarse una eventualidad, Definiendo así un plan de

acción para la aplicación de las herramientas de administración y seguridad

Permitir que el personal a cargo de la seguridad de las red logre identificar las

violaciones de seguridad en las redes y tomar medidas correctivas


VERSION 1.0

FECHA 09/06/2012





ALCANCE

Este documento está dirigido al personal del Instituto Tecnológico de Cd

Cuauhtémoc y sus departamentos, los cuales son los encargados de velar por el

cumplimientos de las normas y procedimientos que en este manual se describen, con el

fin de preservar la información que se maneja en la organización, resguardando la

confidencialidad, disponibilidad y estabilidad de la información de los sistemas y

herramientas utilizadas

JUSTIFICACION

En el Instituto Tecnológico de Cd Cuauhtémoc, específicamente en el

departamento de Soporte Técnico quien es el que controla el acceso a la información,

así como la administración de la red ubicada en esta entidad, requiere plasmar en un

documento las diferentes normas y procedimientos que regulan el acceso del personal y

a la red de la institución siguiendo las directrices de la directiva. Es por esto que este

manual representa un aporte significativo para la institución, debido a que describe las

medidas de seguridad que se aplican, fomentando a la utilización efectiva y eficaz de la

red, haciéndola más convergente y altamente funcional.


VERSION 1.0

FECHA 09/06/2012





POLITICAS DE SEGURIDAD DE LA INFORMACION

Las políticas de seguridad descritas en estos documentos se desarrollan con el fin de

evitar y/o mitigar según sea el caso, los eventos o delitos contemplados como acceso

indebido, sabotaje, fraude, espionaje entre otros, que se describen en la Ley Especial

Contra Delitos Informáticos.

En la Instituto Tecnológico de Cd Cuauhtémoc se implementa un protocolo de

seguridad derivado de la red Macro perteneciente al SISTEMA NACIONAL DE LOS INSTITUTOS

TECNOLOGICOS, adicionalmente se implementan políticas de seguridad propias del ITCC

la cual complementa en cierta forma algunas políticas y normas emitidas por el ITCC y

que a consideración del personal de administración de la red que poseén autorización

las características de confidencialidad suficientes para algunas herramientas allí

utilizadas.


VERSION 1.0

FECHA 09/06/2012





POLÍTICAS DE SEGURIDAD FÍSICA

Para la implementación de la seguridad física en el Instituto Tecnológico de Cd

Cuauhtémoc se toma en cuenta la seguridad de los lugares donde se encuentran

instalados los equipos de resguardo de la información, ya sean ubicaciones

permanentes o temporales, se evaluaron las condiciones naturales de estos sitios, el

uso que se le dará y las personas autorizadas a ingresar a los mismos.

Las áreas que fueron seleccionadas para la ubicación de los equipos de

cómputos están libres de humedad, las temperaturas no son superiores a los

30 grados centígrados, poseen un buen sistema de Iluminación, cuentan con

restricciones de acceso, y no existen equipos en las adyacencias, los cuales

puedan emitir señales o ruidos que influyan en el mal funcionamiento de los

mismos.

Los accesos a los centros de cómputos actualmente son de tipos mecánicos,

con puertas de seguridad.

Las llaves de estas puertas de seguridad, estarán en manos de personal

autorizado del departamento de Administración de red. No permitiendo el

acceso a personas no autorizadas hacia los centros de datos, y si fuere el

caso deben ir acompañado de personal autorizado el cual se hará

responsable de cualquier eventualidad que pueda ocurrir.

La utilización de medios extraíbles (Pen Drive (USB), Memorias SD entre

otros) deberá ser utilizados con un grado de protección de la data, los mismos

no serán limitados a su utilización, debido a que es una herramienta de trabajo


VERSION 1.0

FECHA 09/06/2012





por el personal del Instituto Tecnológico de Cd Cuauhtémoc. El uso

indebido de los mismos será sancionado.

Existe algunas ubicaciones temporales para alguno de los equipos de

comunicaciones (estaciones de Trabajo, Switches y/o Routers en Salas de

Conferencias, Cableado provisional para un servidor o estación de trabajo,

entre otros), lo que hace posible que estos equipos ameriten ser reubicados

en ciertos momentos a otra área de la Institución. Estas tareas solo pueden

ser realizadas por el personal autorizado para las mismas.


VERSION 1.0

FECHA 09/06/2012





POLITICAS DE SEGURIDAD LÓGICA

La seguridad lógica implementada para salvaguardar la información de esta

organización incluye las siguientes características:

Autorización de Usuarios.

Por medio de un Servidor Controlador de Domino que es administrado por el

Personal de Soporte Técnico de la Institución, se configura un Directorio

Activo (Active Directory) creando así una infraestructura lógica de grupos de

usuarios de manera jerárquica para establecer permisos en la red, los perfiles

de cada uno de los usuarios son privados y personalizados, y se clasifican

dentro de los distintos grupos de usuarios creados.

Los grupos y jerarquías configuradas se especifican de la siguiente manera:

o Administradores

o Usuarios Avanzados

o Usuarios Intermedios

o Usuarios Estándar

o Cuentas Limitadas

Para controlar el Acceso a los recursos se establecen contraseñas no

menores de cuatro (4) dígitos para cada uno de estos usuarios, la cual debe

poseer al menos un carácter en alfabético en mayúscula y un carácter

alfanumérico, estas medidas aseguran que solo usuarios autorizados pueden

acceder a la información que se encuentra almacenada en la organización.


VERSION 1.0

FECHA 09/06/2012





Las contraseñas son creadas por un administrador de sistema, pero luego se

debe forzar a los usuarios a cambiarla por uno de su elección.

La identificación de usuario también conocido como nombre de usuario o

“login”, está a cargo del Administrador de Base de Datos y es un identificador

único de la persona y es utilizado para acceder tanto a equipos locales como a

repositorios de datos en red, están basados en cadenas de caracteres

alfanuméricos especificando la inicial del primer nombre y el primer apellido,

proseguido de un numero de dos dígitos el cual diferencia a un usuario de otro

que tenga la misma cadena de caracteres iniciales del mismo tipo. se

especifica definiendo responsabilidades de acceso y manipulación de

información dentro de la institución.

Los usuarios de la organización son los responsables de los usos de sus

respectivos perfiles, ya que estos son únicos e intransferibles.


VERSION 1.0

FECHA 09/06/2012





Controles de Acceso

Dentro de los Derechos que se le otorga a los usuarios para poder crear, modificar,

borrar o ver datos en el computador local o la red se especifican en cada uno de los

grupos de usuarios Creados, Estos derechos varían entre los usuarios y se utiliza como

mecanismo para el tratamiento de los usuarios y la agrupación de los mismos de

acuerdo a ciertas características. El súper-usuario o administrador de la red es el

encargado de determinar y asignar los privilegios a los otros usuarios.

Si por alguna razón se deben instalar servicios en equipos que ya tienen sistema

operativo instalado se debe verificar que no estén corriendo servicios innecesarios.

Para controlar el acceso a la Red desde la parte externa e la misma se utiliza un

firewall en cada una de las sedes, el cual se encuentra óptimamente configurado en la

red, para evitar que los atacantes puedan utilizar tráfico que aparenta ser legítimo para

atacar máquinas en específico o la red entera.

El firewall puede filtrar los ataques que provengan de las redes externas, así como

también Proteger a los usuarios internos. Manteniendo a personas no autorizadas

alejadas de la red, Para llevar a cabo la autenticación de los usuarios se utiliza un

Servidor controlador de dominio, y un Proxy los cuales confirman la identidad de un

usuario.


VERSION 1.0

FECHA 09/06/2012





Normativas de Acceso

La Topología de red del Instituto Tecnológico de Cd Cuauhtémoc se encuentra

segmentada y de acuerdo a las ubicaciones y a las comunidades de usuarios

existentes,

Su identificación de varios grupos de usuarios y su influencia en el rendimiento de la

red. La forma en que se agrupan los usuarios afecta los aspectos relacionados con la

densidad de puerto y con el flujo de tráfico, que a su vez influye en la selección de los

switches de la red.

Los usuarios finales se agrupan de acuerdo con la función que cumplen en su trabajo

porque necesitan un acceso similar a los recursos y aplicaciones. El Departamento de

Control Escolar (CE) se encuentre en un piso mientras que el Departamento de

Logística está en otro. Cada departamento tiene un número diferente de usuarios y de

necesidades de aplicación y requiere de acceso a los diferentes recursos de datos

disponibles a través de la red.

Este segmentado de la red el cual se realiza por la técnica de Subneteo también

permite establecer políticas y normativas de acceso a los recursos que son de interés

para cada departamento.


VERSION 1.0

FECHA 09/06/2012





DEFINICIONES BÁSICAS

Access Point: Dispositivo que permite a las computadoras y otros dispositivos

equipados con tecnología inalámbrica comunicarse entre ellos y con una red

cableada.

Acceso: Permiso que se tiene para interactuar con una persona u objeto en un

lugar determinado.

Aplicación: Es un tipo de programa informático diseñado como herramienta para

permitir a un usuario realizar uno o diversos tipos de trabajo.

Antivirus: Programa que tiene como objetivo detectar y eliminar virus

informáticos, así como su propagación y contagio. Nacieron durante la década de

1980.

Backbone: La parte de la red que conecta la mayoría de los sistemas y redes

entre si y maneja la mayoría de los datos.

Bridge: Dispositivo que conecta dos redes diferentes, por ejemplo una red

inalámbrica a una red Ethernet cableada.

Byte: Unidad de datos de ocho bits de longitud.

DDNS (Dynamic Domain Name System): Un servicio que permite asignar el

nombre de un dominio estático a una dirección IP dinámica.

Firmware: El software integrado que correo en un dispositivo de red.

Full Dúplex: Capacidad de un dispositivo de red recibir y transmitir datos de

manera simultánea.


VERSION 1.0

FECHA 09/06/2012





Bandeja de cables (cable tray): Las bandejas de cable (también conocidas

como escalera) son estructuras rígidas prefabricadas, diseñadas para el

transporte abierto de cables

Bastidor (rack): Estructura metálica auto soportada, utilizada para montar

equipo electrónico y paneles de parcheo. Estructura de soporte de paneles

horizontal o vertical abierta afianzada a la pared o el piso. Usualmente de

aluminio (o acero) y de 48 cms. (19") de ancho por 2.10 mts. (7') de alto.

Cable de cruzada (jumper): Cable de un par de alambres, sin conectores,

utilizado para efectuar conexiones cruzadas en telefonía.

Cuarto de entrada de servicios: El cuarto de entrada de servicios es el sitio

donde se encuentran la entrada de los servicios de telecomunicaciones al edificio

o campus, incluyendo el punto de entrada a través de la pared y continuando

hasta el cuarto o espacio de entrada.

Cuarto de equipo: El cuarto de equipo es un espacio centralizado de uso

específico para equipo de telecomunicaciones tal como servidor de archivos,

servidor de base de datos, central telefónica, equipo de cómputo y/o conmutador

de video.

Ethernet: Un protocolo y esquema de cableado muy popular con una razón de

transferencia de datos de 10 megabits por segundo (Mbps). Ethernet utiliza

CSMA/CD (carrier sense multiple access with collision detection) para prevenir

fallas o "colisiones" cuando dos dispositivos tratan de accesar la red

simultáneamente. El IEEE (Institute of Electrical and Electronics Engineers) le ha

asignado el estándar 802.3 al Ethernet.


VERSION 1.0

FECHA 09/06/2012





Equipo activo: los equipos electrónicos. Ejemplos de equipos activos: centrales

telefónicas, concentradores (hubs), conmutadores (switch), ruteadores (routers),

teléfonos.

Equipo pasivo: Elementos no electrónicos de una red. Por ejemplo: cable,

conectores, cordones de parcheo, paneles de parcheo, bastidores.

Interconexión (interconnect): Esquema de conexión en el que el equipo activo

se conecta directamente al panel de parcheo o bloque determinación mediante

cordones de parcheo.

Red de área ancha: interconexión de equipos que se extiende más allá del

campus.

Red de área local (Local area network, LAN): La conexión de dispositivos

(computadores personales, concentradores, otros computadores, etc.) dentro de

un área limitada para que usuarios puedan compartir información, periféricos de

alto costo y los recursos de una unidad secundaria de almacenamiento masivo.

Una red de área local está típicamente controlada por un dueño u organización.

RJ: Del inglés Registered Jack (conector hembra registrado). Se refiere a

aplicaciones de conectores registrados con el FCC (Federal Communications

Commission de los Estados Unidos).

Salida de área de trabajo (work area outlet): Elemento básico de cableado

estructurado. Por estándar un mínimo de dos salidas de telecomunicaciones se

requieren por área de trabajo (por placa o caja).

SC: Conector de fibra óptica reconocido y recomendado bajo TIA/EIA-568-A.

Token Ring: Un protocolo y esquema de cableado con una topología de anillo

que pasa fichas (tokens) de adaptador en adaptador. El IEEE (Institute of


VERSION 1.0

FECHA 09/06/2012





Electrical and Electronics Engineers) le ha asignado el estándar 802.5 al Token

Ring.

Topología (topology): La forma abstracta de la disposición de componentes de

red y de las interconexiones entre sí. La topología define la apariencia física de

una red. El cableado horizontal y el cableado vertebral se deben implementar en

una topología de estrella. Cada salida de área de trabajo de telecomunicaciones

debe estar conectada directamente al cuarto de telecomunicaciones (de su

respectivo piso o área). Por ejemplo: una red puede ser un bus lineal, un anillo

circular, una estrella o árbol, segmentos múltiples de bus, etc.

A continuación se muestran una serie de definiciones utilizadas en la institución

donde se diseñara la red con el fin de estar adaptado los mismos.

Alumno

Directivo

Educación A Distancia.

Sindicato

Personal Confianza

Mantenimiento

Sistemas

Seguridad

Laboratorios

Vinculación


VERSION 1.0

FECHA 09/06/2012





Administrativos

Recursos Humanos

Docentes

Danza

Gimnasio

Manual de normas y procedimientos de seguridad

Documents

Transcript of Manual de normas y procedimientos de seguridad