• Author / Uploaded
• El Jebús

Citation preview

Universidad tecnológica de León

Redes y telecomunicaciones Alumnos: Jesús Eduardo Camargo Ramírez Edoardo Moreno López Profesor Mario Alberto Álvarez Carpio Grupo RT61D Actividad colaborativa 4 Desarrollo de políticas de seguridad Fecha: 06/07/14

1

Declaración de autoridad y alcance Las siguientes políticas de seguridad están realizadas por el personal de TI de la empresa “Practical Solutions”, en la cual se abarcan todas las normas que deben de seguir todos los empleados de la empresa que utilizan algún equipo como equipos de cómputo, impresoras, teléfonos, servidores, routers, switchs, access point etcétera, así como algún otro recurso dentro de la infraestructura de red, todo esto con el fin de hacer buen uso de los equipos de los que se dispone y crear medidas de seguridad para prevenir cualquier incidente. Además de delimitar entre las diferentes áreas que componen esta empresa sobre los recursos que tiene disponible cada una de estas.

Política de uso aceptable (AUP) Cada usuario dispone de un equipo personal (ya sea equipos de escritorio o equipos portátiles) y esta deber utilizada solamente por ellos, no se debe permitir el uso compartido de los equipos entre empleados para evitar que se filtre información de la empresa. De igual manera las contraseñas a los equipos a los que se tenga acceso debe tratarse con confidencialidad y no deben ser proporcionadas a otros usuarios que no tengan autorización para usar el equipo bajo ninguna circunstancia y esta no debe estar anotada en algún lugar en el cual sea muy fácil de obtener por otro usuario.

Política de identificación y autenticación Para liminar el acceso a la información con la que cuenta cada área de la empresa, así como la información con la que cuenta cada usuario, se utilizan los siguientes recursos: 1: El sistema instalado en el Servidor con el que opera la infraestructura de la red es Windows Server 2012, cada usuario está dentro de un dominio en active directory, con el cual se tiene un control del inicio de sesión, los permisos, grupos de trabajo entro otras reglas para tener un control del uso del sistema y de los recursos con los que cuenta cada usuario. Solo personal autorizado tiene permisos para poder operar el servidor y modificar los permisos de cada uno de los usuarios, así como la información y los sistemas con la que cuenta cada uno de ellos 2: La red de trabajo esta segmentada en redes Vlan mediante equipos switchs, con el fin de evitar que exista tráfico entre las diferentes áreas que componen la empresa y así evitar que alguien de forma interna pueda acceder a información importante para la empresa, solo personal autorizado tiene permiso para modificar la configuración de estos equipos 3: Para evitar que alguien de manera externa pueda acceder a los recursos de la red 2

de la empresa, se utiliza un firewall el cual bloquea cualquier acceso no autorizado a la red y obtenga información de la empresa, de igual manera el equipo evita que los usuarios que tienen completo acceso a internet den entrada a algún software que de entrada a alguna persona ajena para poder obtener información de la empresa. Solo personal autorizado tiene acceso a la configuración del equipo firewall

Política de acceso a Internet Todos los usuarios que componen la empresa tienen acceso a internet pero está limitado de la siguiente manera: 1: El área de RH y el área de administrativa y de proyectos tienen acceso limitado a este recurso 2: Todas las áreas de soporte y el personal de TI cuentan con total acceso a internet pero solo como uso dentro de sus labores dentro de la empresa, no para uso personal 3: Existe una red para invitados pero solo con acceso a una limitada cantidad de páginas para evitar cualquier problema de seguridad Si alguien es sorprendido haciendo mal uso dentro de la red de trabajo se aplicara una sanción al empleado dependiendo del mal uso que se le diera al acceso a internet

Política de acceso al campus Todos los equipos de la empresa deben utilizarse únicamente con fines laborales y nunca para fines personales, de ser así se puede sancionar el empleado por este tipo de acciones. Los invitados pueden utilizar la red de invitados, la cual está limitada para poder acceder a ciertas páginas, no se puede utilizar algún software que dañe la integridad de la red, de ser así el invitado puede ser sancionado por el mal uso del recurso el cual se está poniendo a su disposición.

Política de acceso remoto Solo el personal de TI tendrá acceso remoto a cada uno de los dispositivos dentro de la infraestructura de la empresa para poder dar soporte técnico de manera remota a cualquier dispositivo. Las conexiones podrán realizarse de manera interna o de manera externa mediante un software que permita realizar este tipo de conexiones.

3

Procedimiento para el manejo de incidentes Toda la infraestructura de la red tiene el objetivo de evitar cualquier problema de seguridad dentro de la empresa, si existiera algún problema, debe notificarse inmediatamente al persona de TI para que este será tratado inmediatamente por el personal de TI, quienes buscaran el origen del problema para evitar que exista mayor daño y buscara la solución al problema. Teniendo en cuenta el daño sucedido, se buscaran las medidas necesarias para evitar que este tipo de daños ocurran nuevamente. El personal de TI debe llevar una bitácora de todos los problemas que se presenten para tenerlos como referencia para futuros incidentes.

Política de solicitud de acceso a las cuentas Para dar de alta una nueva cuenta de usuario para el uso de la red, para el uso de una VPN o la creación de una nueva cuenta de correo electrónico, el usuario debe crear una solicitud con el formato correspondiente para que el personal de TI evalué su solicitud. La respuesta por parte del personal de TI será de 24 horas después su entrega y de ser aceptado se entregara dentro de esta los datos requeridos por el usuario para su uso ya con su alta dentro de la red para que pueda operar dentro de esta misma

Política de evaluación de adquisiciones Para solicitar cualquier equipo en la empresa, primeramente debe crearse una solicitud requerimiento el cual se entregara al personal administrativo para evaluar si es factible la compra. Cuando se autoriza por el personal administrativo, la solicitud es evaluada por el personal de TI para analizar si el equipo que se pretender adquirir cumple con los requerimientos necesarios para poder operar sin ningún problema con todo el equipo que se encuentra dentro de la infraestructura de la empresa. Si este puede funcionar sin problemas, se manda una respuesta al personal administrativo para que autoricen completamente la adquisición.

Política de auditoría El personal de TI realiza una revisión de la infraestructura de la red mensualmente con el fin de recabar información sobre los equipos e información de los usuarios para determinar el estado de los equipos con los que se cuenta, además de revisar 4

con el fin de detectar oportunamente la existencia de algún problema para solucionarlo antes de que este se convierta en un peligro para la integridad tanto de la información, como de los recursos de la empresa. También se hace un análisis del uso que le dan los usuarios a los equipos para determinar si efectivamente están cumpliendo con las políticas de seguridad de la empresa.

Política de confidencialidad de la información Todos los equipos que se encuentren dentro de la empresa como routers, switchs, servidores tendrán que estar bajo llave dentro del site y solo pueden ser manipulados por el personal autorizado para su configuración. En el caso de los equipos de cómputo que estén al alcance del personal para su uso diario, los puertos USB deberán estarán bloqueados a menos de pedir autorización. Política de contraseñas: la creación de contraseñas se realizara por el personal autorizado para cada persona de la empresa para el uso de su equipo de cómputo, caso de que el personal olvide su contraseña deberá reportarlo con el personal indicado para recuperarla o tener otra.

Política de evaluación de riesgos Toda aquella información que se maneje dentro de la empresa que trate sobre la integridad de la misma se deberá quedar dentro de la misma y no realizar mal uso de la información o extraerla. En cuanto al uso los equipos de cómputo, no se deberá instalar ningún programa o aplicación sin autorización del departamento de TI, si se necesita algún software adicional, deberá crearse una solicitud para que se evalué la posibilidad de realizar esta acción.

Política global de servidores Web La configuración del servidor web de la empresa solamente está autorizada por el personal de TI, quienes pueden realizar cualquier cambio que sea necesario, si algún usuario o personal externo nota algún problema sobre el servicio, puede notificar ya sea, mediante un número telefónico o vía correo electrónico. Además, todo el personal de la empresa debe contar con una cuenta de correo electrónico interna, para comunicarse con todas las áreas.

Política de correos electrónicos enviados automáticamente

5

El correo electrónico de la empresa se maneja internamente para comunicase con los diferentes departamentos y compartir información con fines laborales.

Para hacer uso del correo electrónico externo ya sea Hotmail, Gmail, o algún otro servicio se tendrá que pedir autorización al personal de TI mediante una solicitud, al fin de evaluar si se puede permitir al usuario contar con el correo externo.

Política de correo electrónico Al enviar o recibir algún correo externo sin autorización de usar este recurso, se deberá sancionar a la persona que lo realice ya que el correo pueda contener información acerca de la empresa o algún software que pueda dañar la integridad de la misma.

Política de spam Para evitar el spam entre los usuarios de la empresa, existe una serie de configuraciones por parte del equipo de TI para evitar este tipo de inconvenientes. Si un usuario tiene problemas con esto debe notificar al personal de TI para realizar un análisis y verificar si el problema es por algún usuario o es problema en la infraestructura del sistema.

Política de acceso telefónico Todo el personal cuenta con una línea telefónica, así como un número de extensión. La entrada y salida de llamadas está limitada por el personal de TI, dependiendo del área en la que laboren, está estrictamente prohibido realizar llamadas ajenas a la empresa.

Política de acceso remoto Para la conexión remota desde algún equipo fuera de la empresa y tener acceso a cierta información de la misma se tendrá que tener autorización del Personal de TI. Si el usuario necesita este servicio debe solicitarlo al personal de TI, quien delimitara si se puede autorizar su acceso.

Política de seguridad de las VPN Solo el personal del área administrativa y proyectos contaran con acceso a una VPN,

para poder conectarse a la red de la empresa desde cualquier ubicación desde 6

cualquier otro equipo de cómputo, para esto deben pedir la autorización al personal de TI para que habiliten la VPN en su equipo de cómputo. El personal de TI tendrá una relación de los equipos que utiliza cada usuario, el uso de la VPN solo debe usarse por el usuario en cuestión y de no ser así se tomaran las medidas correspondientes.

7