PROYECTO 1 - CONCEPTOS

 Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas

·         El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.

•       El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.

•       Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.

•       Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).

•       El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.

•       Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.

•       Los servidores tienen doble fuente de alimentación, por si se estropea alguna.

•       El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.

•       Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.

Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?

· Se podría buscar  otra empresa de vigilancia más barata que permita contratar 2 vigilantes, uno para cada edificio.

• Seguramente que contratando a 3 vigilantes por la misma empresa, (uno para cada edificio, y otro para el CPD) sería mas barato que contratar a unos de una empresa y otros de otra. Habría que tener 2 recepcionistas, ya que si el vigilante del CPD se está ocupando de otra cosa, pone en peligro el CPD.

• Eliminaría las tarjetas del cajón de la mesa del vigilante, y daría tarjetas únicas a cada empleado que necesitara entrar, ya sean informáticos, vigilantes, o personal de limpieza, así se podría registrar cualquier entrada al CPD, y evitar que no entren personas no autorizadas.

• Las copias de seguridad habría que guardarlas en otra sala distinta que la del CPD, incluso otro edificio en otra localización.

• Instalaría sistemas de refrigeración líquida en los CPD, y algún sistema de extracción de aire que no modifique la fachada. Las ventanas tendrían que estar siempre cerradas y también protegidas físicamente, como por ejemplo con rejas o cristales blindados.

• Todos los servidores tienen que tener usar algún sistema RAID, que permita la redundancia.

•  Aunque los servidores tengan doble fuente, que es una buena medida, también usaría medidas en cuanto a cortes de energía o subidas de tensión, como SAI o grupos electrógenos.

• Todos los ordenadores de la empresa ya sean del presidente o contable, o cualquier usuario, deben estar cifrados, ya que sino sería un peligro para la empresa.

• Ningún usuario excepto el administrador tendría que tener acceso a instalar o modificar algo, sin permiso de la empresa, con lo cual solo tendrían acceso a su usuario en un principio.

Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico

Al día siguiente continúa la entrevista. Tus nuevas notas son:

•    Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.

•    La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.

•    En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.

•    Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.

•    La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.

•    Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.

•    El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.

Termina la entrevista del segundo día porque tiene otro compromiso.
De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?

 • El wifi tiene que tener contraseña, pero no solo es, la contraseña debe ser WPA-2, el punto de acceso tiene que estar oculto, y se deben habilitar listas blancas, en la que solo tengan acceso los usuarios con permiso.

• Nunca se debería usar software pirata ya que puede estar infectado por virus o cualquier malware, si no se puede comprar licencias, habría que pensar en alternativas como usar SO de licencia gratuita como puede ser Linux.

• Todos los ordenadores deberían usar  antivirus elegidos por la empresa, ya que minimizaría los problemas, en el caso de cualquier fallo y evitaría insertar software externo, que no sabes de donde a salido o que malware puede llevar. Por supuesto debe estar prohibido instalar software no permitido mediante USB o Internet.

• Se puede poner un servidor que guarde las actualizaciones para que los demás usuarios descarguen desde el servidor sin necesidad de salir a Internet, actuando como una caché pero de actualizaciones.

• Evitaría usar Hubs ya que pueden provocar tormentas de difusión y `pueden saturar la red. Habría que sustituirlos por Swith o incluso Routers.

• Si no se tiene dinero para pagar licencias, es mejor usar un software gratuito que usar software pirata.

• La versión 9.04 es una buena versión para servidores, pero se podría usar versiones mas modernas ya que seguramente sean mas estables y seguras.

La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.

 ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?

Si, ya que va a utilizar datos de nivel básico, protegido por LOPD

 ¿Qué nivel de seguridad requerirá el fichero?

Básico

  ¿Qué medidas de seguridad requiere este nivel?

Identificar y autenticar a los usuarios que trabajen sobre los datos

Llevar a cabo un registro de incidencias sobre los ficheros

Realizar una copia de seguridad semanalmente

Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.

Multas de 900 a 40.000€

No incumplir las instrucciones de la AEPD

No tener documento de seguridad

No atender los derechos de un afectado

Multas de 40.00 a 300.000 €

Crear ficheros con finalidades distintas a la actividad de la empresa

No aplicar las medidas de seguridad

Obstrucción de la labor inspectora

Muy graves de 300.000 a 600.000€

Recogida de datos de forma engañosa

Cesión de los datos de permitida

Tratar datos de nivel alto sin consentimiento