PROYECTO 1 [SEGURIDAD INFORMÁTICA]

PROYECTO 1 - CONCEPTOS



RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
     Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:




·         El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
       El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
       Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
       Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
       El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
       Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
       Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
       El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
       Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.
Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?

Mejoras a aplicar después de la primera visita:
  1.         Respecto al tema de vigilancia, contrataría a dos vigilantes de la misma empresa, uno para el edificio y el otro para el CPD.
  2.         Contratar a un telefonista, y que sea exclusivamente para atender las llamadas.
  3.         Cambiar el sistema de acceso al CPD. Poniéndolo por sistema de código o por huella dactilar. De esta forma se evitaría la posible sustracción o extravío de la llave.
  4.         Cambio en la frecuencia de copias de seguridad. Haría copias de seguridad diarias, incrementales o diferenciales, por la noche entre las (24:00 y 00:30). De esta forma la empresa no se arriesga a la pérdida de información.
  5.         Debido a que no se puede poner equipos de refrigeración en la facha por ser un edificio de patrimonio histórico, optaría por ventilación en el “falso suelo” de CPD, y los equipos irían en la azotea del edificio.
  6.         Duplicidad de discos duros en los servidores (raid espejo).
  7.         Los discos duros de los directivos deben ir cifrados. Y todos los equipos deben poner una contraseña de acceso y que cumpla unos parámetros de complejidad, y que se obligue a cambiarla durante un tiempo determinado.
  8.         Los empleados deben tener sólo su usuario y los programas necesarios para desarrollar su tarea diaria. La instalación y configuración queda en manos del personal asignado (Administrador).



RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
 Al día siguiente continúa la entrevista. Tus nuevas notas son:



•    Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.



•    La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.



•    En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.



•    Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.



•    La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.



•    Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.



•    El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. 



Termina la entrevista del segundo día porque tiene otro compromiso.

De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?


Mejoras a aplicar después de la segunda visita:
  1.         Poner una red totalmente separada con WiFi, y que esta lleve instalado el “portal cautivo”, de esta forma no se permitiría entrar a cualquiera. Solo podrán acceder los que disponen de un usuario y contraseña. También llevar un control de personas que accedan a esa red.
  2.         Uso de licencia corporativas, ya que son asequibles y cumplen la Ley vigente.
  3.         La instalación de software quedaría restringida a los usuarios. Todo lo relacionado con la instalación de software adicional se debe comunicar al personal Informático (Administrador), y éste tiene la potestad de actuar.
  4.         Todos los equipos, despachos y todas las áreas deben tener conexión FastEthernet ya que mejora considerablemente la conexión y navegación.
  5.         Cambiaría el sistema de acceso a red desde fuera, ya que Hamachi ha tenido bastante problemas de seguridad, por lo que no es conveniente instalarlo. Optaría por crear y contratar una VPN segura y de pago, y que me ofrezca la seguridad necesaria.



RA: Reconocer la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento
     Como te encuentras un poco pez sobre la LOPD, decides buscar información sobre distintos conceptos que te suena que están relacionados y sobre cuestiones que te surgen sobre el tema.



     Elige uno de los siguientes temas, prepara una presentación y exponla al resto de tus compañeros.

1.    Qué regula la LOPD (Ley Orgánica de Protección de Datos).
2.    Niveles que establece según la sensibilidad de los datos y medidas a tomar en cada nivel.
3.    Según la actual LOPD, en qué nivel se sitúa el tratamiento de los siguientes datos:
a)  Información sobre las multas de tráfico de una persona
b)  Historial médico de una persona
c)  Orientación sexual de una persona
d)  Dirección personal o social de un titular o empresa
e)  Afiliación política
f)   Información tributaria básica



4.    Sanciones por no cumplir la LOPD.
5.    Funciones de la AGPD/APD (Agencia de Protección de Datos).
6.    Ejemplo de documento en papel u on-line donde se informe de nuestros derechos sobre los datos recabados.
7.    Qué regula la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
8.    Qué regula la LPI (Ley de Propiedad Intelectual).
9.    El canon digital.
10.  La SGAE.
11.  Administración electrónica.
12.  Firma electrónica.
13.  Ley sobre normas reguladoras de firma electrónica.
14.  El DNI electrónico.
15.  Ley sobre el DNI electrónico.

     Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes:



     La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.

 o   ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?

Sí, ya que está recogido en la Ley LOPD 15/1999, de 13 de Diciembre.

o   ¿Qué nivel de seguridad requerirá el fichero?

Este tipo de archivo requiere el nivel Básico, ya que recoge los datos personales.

o   ¿Qué medidas de seguridad requiere este nivel?

-        Tener registro de los datos recogidos
-        Acceso restringido a los usuarios
-        Sistemas de identificación y autenticación, o sea, contar con una protección; contraseña de acceso al archivo
-        Copias de respaldo y recuperación de datos
-        Gestión de soportes que contengan datos de carácter personal

o   Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.

             Infracciones leves
o   No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos
o   Incumplir el deber de secreto
         Infracciones graves
o   Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.
o   No colaborar con la Agencia de Protección de Datos.



Comentarios