SEMINARIO TALLER CON OPCION DE GRADO EN SEGURIDAD DE REDES Y SISTEMAS DE INFORMACION
INFORME FINAL
JULIO RAFAEL CONTRERAS DÍAZ
MORIS MAURICIO JARAMILLO GALARCIO
Es importante que toda organización sea de cualquier naturaleza, debe de contar con una herramienta que garantice la correcta evaluación de los riesgos, a los cuales están sometidos sus procesos y actividades que participan en el área de informática.
la evaluación de los riesgos inherentes a los procesos informáticos.
La evaluación de las amenazas ó causas de los riesgos.
Los controles utilizados para minimizar las amenazas a riesgos. La asignación de responsables a los procesos informáticos
La evaluación de los elementos del análisis de riesgos.
Premisas
El sector educativo colombiano, más específicamente el Colegio Liceo Montería S.A.S, maneja una gran volumen de información a diario dentro de sus bases de datos como lo es el registro de notas y control académico en línea, el control de pagos de matriculas, la página Web, archivos generados, procesados y guardados de manera electrónica
PLANTEAMIENTO DEL PROBLEMA
bases de datos desprotegidas, sistema de red inseguro y desorganizado físicamente, incrementado por el rápido crecimiento de la planta física de la institución.
Las falencias encontradas
la institución no presenta estudios de seguridad que contemplen lo anteriormente descrito, eso conlleva a la carencia de un estándar para la red lo cual crea una necesidad de disponibilidad para crear políticas de seguridad que salvaguarden la información tanto lógica como física
¿El diseño e implementación de un plan de mejoramiento del sistema de seguridad estandarizado en norma ISO 27001, permitirán mejorar la calidad y oportunidad de los procesos que se generan dentro de la institución?
la Necesidad
El Colegio Liceo Montería es una empresa con razón social llamada Liceo Montería S.A.S, ubicada en Montería, Departamento de Córdoba y su dirección de operación es CL 34 14 A 55, Montería, Córdoba.
Datos Generales De La Organización
Liceo Montería S.A.S pertenece al sector económico Educación, el cual tiene establecimientos que combinan diferentes niveles de educación y servicios: como son Begginers, Pre- escolar, Básica primario y segundaria, Media académica, Proyectos pedagógicos y Convenios institucionales (Liceomonteria, 2010)
Activos De Ti De La Organización
| Activos de información (datos y manuales de usuarios) | |
|---|---|
| Activos de papel (contratos) | |
| Activos de software (aplicaciones de software) | |
| • | Activos físicos (computadores, impresoras, videoBeam, servidores, medios magnéticos, enrutadores, sistemas de audio) |
|---|---|
| • | Activos de personal (estudiantes-clientes-empleados) |
| • | Activos de imagen de la compañía y reputación |
| • | Activos de servicios (comunicación ) |
OBJETIVO GENERAL
Diseñar un plan de mejoramiento del sistema físico y lógico conforme a modelos de gestión de infraestructura de redes aplicables a la Institución educativa Liceo Montería.
Hacer un levantamiento de información referente al estado de los equipos y software utilizados en las dependencias de la institución.
Generar un diagnóstico de los estándares y normas que se aplican en la actualidad para el servicio de seguridad dentro una institución educativa
Realizar una propuesta de los equipos necesarios y plantear un presupuesto aproximado para su implementación en la institución
Realizar el diseño de red y las políticas de seguridad basados en el estándar ISO27001 que garanticen la funcionalidad y evite la vulnerabilidad de la red
OBJETIVOS ESPECIFICOS
se presenta la necesidad de diseñar un modelo de red activa y pasiva y con ello al diseño del cableado estructurado con sus respectivas rutas AS-BUILD, el diseño de nuevos servicios y de políticas de seguridad lógicas y físicas, para que de esta forma se garantice que la información llega al destino deseado, respetando los pilares de seguridad
JUSTIFICACIÓN
El presente proyecto busca mejorar el sistema de seguridad físico y lógico del colegio Liceo Montería S.A.S, implementando un estándar para su futura certificación en redes, mediante la utilización e implantación de nuevos equipos, con el fin de garantizar la inversión, el rendimiento, la fiabilidad de la estructura informática para generar beneficios en calidad y fortalecer los procesos internos.
Alcances del proyecto
Seguridad Lógica
| • | Restringir el acceso a los programas y archivos. |
|---|---|
| • | Certificar que se estén utilizados los datos, archivos y programas correctos. |
| • | Asegurar que la información transmitida sea recibida sólo por el destinatario al cual ha sido enviada y no a otro. |
| • | Que la información recibida sea la misma que ha sido transmitida. |
| • | Que existan sistemas alternativos secundarios de transmisión entre diferentes puntos. |
| • | Que se disponga de pasos alternativos de emergencia para la transmisión de información. |
Perfil de Usuario
Administrador: En este cargo se encuentra el rector de la academia, el cual tiene acceso a todos los procesos de la institución sin dejar de lado sus funciones como verificador del estado de la red.
Asistentes de oficina: Están directamente encargadas con el ingreso y registro de los estudiantes a las bases de datos de la academia, tienen privilegio acceso a toda la red de la academia
Docentes: Tienen asignado un computador especifico dentro de la academia y de acuerdo a la asignatura que dictan, tendrán instalados los programas necesarios para el desarrollo de las clases.
Estudiantes: No Se les aplican las restricciones adecuadas para hacer su proceso académico más ameno.
Limitaciones a los servicios
Estos controles se refieren a las restricciones que dependen de parámetros propios de la utilización de la aplicación o preestablecidos por el administrador del sistema. Por ejemplo, para el Liceo Montería S.A.S. donde se disponen de licencias para la utilización simultánea de un determinado producto de software para cinco personas, la limitación se hace en donde exista un control a nivel sistema que no permita la utilización del producto a un sexto usuario
DISEÑO METODOLÓGICO
Integridad
Disponibilidad
Privacidad
Confidencialidad
SISTEMA PROPUESTO
Principio de la satisfacción y de la seguridad, lo que nos permite resaltar que la elección será la más efectiva haciendo el trabajo más satisfactorio y seguro para los usuarios del sistema (estudiantes, profesores, directivos, administrativos entre otros).
Lograr la mejor utilización de los equipos disponibles.
Adaptarse a gran variedad de servicios educativos (plataformas académicas).
Adaptarse fácilmente a una demanda intermitente
Facilidad de control tanto del uso de las instalaciones, como de la realización de las diferentes actividades
FASES DEL PROYECTO
|
FASE 1 |
|
Levantamiento de información |
|
FASE 2 |
|
Diagnostico de normas y estándares |
|
FASE 3 |
|
Realización del diseño |
|
FASE 4 |
|
Implementación del piloto |
|
FASE 5 |
|
Documentación |
CRONOGRAMA
Servidor web: este servidor provee de contenidos estáticos a los navegadores. Este le envía los archivos que carga por medio de la red al navegador del usuario. Los archivos pueden ser imágenes, escrituras, documentos HTML y cualquier otro material web. (Tipos de servidores, 2007)
SERVICIOS
DHCP es el servicio de configuración automática de red más extendido en las redes basadas en el modelo Cliente/Servidor. La función principal de DHCP es permitir a los equipos de una red obtener sus parámetros de configuración automáticamente, evitando que el administrador tenga que configurar manualmente los parámetros TCP/IP en cada equipo. (Tipos de servidores, 2007)
Servicio de backup: es posible automatizar la labor de hacer copas de seguridad de la información que se considere importante. Esta tarea la desempeña el sistema operativo de red, que efectuara una copia de los archivos o carpetas a resguardar , almacenados en una PC de la red. Se podrá especificar que archivos de cada máquina deberán tener el servicio de backup y la frecuencia con que se realice la tarea
