domingo, 6 de octubre de 2013

TRABAJO DE SEGURIDAD INFORMÁTICA

PROYECTO 1







PROYECTO 1 - CONCEPTOS


RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
     Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:

·         El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
·         El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
·         Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
·         Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
·         El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
·         Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
·         Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
·         El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
·         Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.


Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?

Como alternativa, se podría contratar dos vigilantes  internos de nuestra empresa, tendrían dedicación exclusiva para nuestra empresa.

Cada persona tiene que desarrollar su función, pondría en conocimiento a la directiva de la empresa que un vigilante  tiene que dedicar a vigilar y no a coger el teléfono, lo de la recepcionista no seria de mi incumbencia, ya que yo soy técnico en seguridad.

En el CPD, solo y exclusivamente deberían de tener acceso el administrador y el servicio de mantenimiento informático de la empresa, ni el vigilante, ni limpieza. De eso se encargaría el personal autorizado, el CPD cuantas menos personas tengan acceso mejor.

Las copias de seguridad se deberían de hacer al final de la jornada, las cintas de copias de seguridad se deberían de dejar en un lugar adecuado ignifugo y bajo llave, dado que los datos son parte importantísima de la empresa y por el mal uso o la poca seguridad de los mismo, pueden llevar sanciones millonarias.

Los sistemas de aire acondicionado ya que no pueden estar en la fachada, aconsejaría que se buscase una solución por ejemplo en el tejado sin que se vean en la fachada. Las ventanas deben de estar cerradas por seguridad y el CPD debe de estar debidamente refrigerado.

Aconsejaría que cada servidor tuviera mas de un disco duro, para poder hacer redundancia para si un día falla alguno no se pierdan los datos.

También debería de haber algún dispositivo de generación de energía, como un compresor o una habitación de baterías, por si algún día se quedan los servidores sin suministro eléctrico.

Todo portátil o equipo informático de la empresa debe tener sus contraseñas, con un nivel de seguridad aceptable y cada cierto tiempo ir cambiando de contraseña.

Los ordenadores de la empresa deben de tener solo cuentas de usuario y una cuenta de administrador, para instalar o cambiar parámetros solo será un trabajo exclusivo del administrador, quedara terminantemente prohibido a los usuarios.

RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
 Al día siguiente continúa la entrevista. Tus nuevas notas son:

•    Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.

•    La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.

•    En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.

•    Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.

•    La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.

•    Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.

•    El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.

Termina la entrevista del segundo día porque tiene otro compromiso.
De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?

Sobre la wifi, ocultaría el SSID, pondría clave con un generador de claves, si hay acceso a Internet pondría un firewall. Y aplicaría los filtros que fuesen necesarios para tener una red LAN segura.

Respecto lo de los software pirata es inaceptable ya que los software deben de tener su licencia y estar totalmente actualizados.

La instalación de antivirus, se debe de instalar el mismo en todos los equipos, misión del administrador, siguiendo los criterios adecuados y manteniéndolos actualizados en todo momento, quedara prohibido a los usuarios la instalación de cualquier programa, los USB serán pasados por el antivirus cada vez que se conecten en los equipos, estos equipos se podrán configurar para que no se puedan ejecutar ningún .exe.

Los equipos deben de tener activados las actualizaciones, buscar y preguntar antes de instalar, será misión del administrador actualizarlos.
Aconsejaría tener un firewall que garantizase la seguridad de la red, en seguridad no se deben escatimar gastos, pues las sanciones pueden ser millonarias y puede ser peor el remedio que la enfermedad.

RA: Reconocer la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento
     Como te encuentras un poco pez sobre la LOPD, decides buscar información sobre distintos conceptos que te suena que están relacionados y sobre cuestiones que te surgen sobre el tema.

     Elige uno de los siguientes temas, prepara una presentación y exponla al resto de tus compañeros.

1.    Qué regula la LOPD (Ley Orgánica de Protección de Datos).
2.    Niveles que establece según la sensibilidad de los datos y medidas a tomar en cada nivel.
3.    Según la actual LOPD, en qué nivel se sitúa el tratamiento de los siguientes datos:
a)  Información sobre las multas de tráfico de una persona
b)  Historial médico de una persona
c)  Orientación sexual de una persona
d)  Dirección personal o social de un titular o empresa
e)  Afiliación política
f)   Información tributaria básica

4.    Sanciones por no cumplir la LOPD.
5.    Funciones de la AGPD/APD (Agencia de Protección de Datos).
6.    Ejemplo de documento en papel u on-line donde se informe de nuestros derechos sobre los datos recabados.
7.    Qué regula la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
8.    Qué regula la LPI (Ley de Propiedad Intelectual).
9.    El canon digital.
10.  La SGAE.
11.  Administración electrónica.
12.  Firma electrónica.
13.  Ley sobre normas reguladoras de firma electrónica.
14.  El DNI electrónico.
15.  Ley sobre el DNI electrónico.

     Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes:


     La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.


o   ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?
Serán objeto de inscripción en el Registro General de Protección de Datos:
  • Los ficheros de las Administraciones Públicas
  • Los ficheros de titularidad privada
  • Las autorizaciones de transferencias internacionales de datos de carácter personal con destino a países que no presten un nivel de protección equiparable al que presta la LOPD a que se refiere el art. 33.1 de la citada Ley.
  • Los códigos tipo , a que se refiere el artículo 32 de la LOPD.
  • Los datos relativos a los ficheros que sean necesarios para el ejercicio de los derechos de información, acceso, rectificación, cancelación y oposición.
Para realizar la inscripción inicial del fichero y, en su caso, la posterior modificación o supresión de la inscripción, se encuentra disponible el formulario electrónico NOTA (titularidad pública y titularidad privada) a través del que deberán efectuarse las solicitudes de inscripción de ficheros en el Registro General de Protección de Datos (aprobado mediante Resolución de la AEPD de 12 de julio de 2006- B.O.E. 181 de 31 de julio).
o   ¿Qué nivel de seguridad requerirá el fichero?
Nivel básico 

o   ¿Qué medidas de seguridad requiere este nivel?
Medidas de seguridad para el nivel básico

  • Documento de seguridad
  • Registro de incidencias
  • Identificación y autenticación
  • Control de acceso
  • Gestion  de soportes
  • Copias de respaldo y recuperación
o   Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.
Infracciones y sanciones 

 1. Leves 
Las infracciones leves serán sancionadas con multas de 601 a 60.101 euros. Las 
siguientes infracciones se consideran leves: 

  • No atender, por motivos formales, la solicitud del interesado de rectificación o cancelación de los datos personales objeto de tratamiento cuando legalmente proceda. 
  • No solicitar la inscripción del fichero de datos de carácter personal en el registro General de Protección de datos (puede llegar a ser infracción grave). 

2. Graves 
Las infracciones graves serán sancionadas con multas de 60.101 a 300.056 euros. 
Las siguientes infracciones se consideran graves: 

  •  Proceder a la creación de ficheros de titularidad privada o iniciar la recogida de datos de carácter personal con finalidades distintas de las que constituyen el objeto legítimo de la empresa o entidad.


  •  Proceder a la recogida de datos de carácter personal sin recabar el consentimiento expreso de las personas afectadas, en los casos en que éste sea exigible. 

3. Muy graves 
Las infracciones muy graves serán sancionadas con multa de 300.506 a 601.012 
euros. Las siguientes infracciones se consideran muy graves: 

  •  La recogida de datos en forma engañosa y fraudulenta. 
  • La comunicación o cesión de los datos de carácter personal, fuera de los casos en que están permitidas. 


  • La transferencia temporal o definitiva de datos de carácter personal que hayan sido objeto de tratamiento o hayan sido recogidos para someterlos a dicho tratamiento, con destino a países que proporcionen un nivel de protección equiparable sin la autorización del Director de la Agencia de Protección de Datos.


Publicado por en
Etiquetas:

1 comentario:

Se puede comentar, no te reprimas

Suscribirse a: Enviar comentarios (Atom)