El documento presenta un proyecto para implementar medidas de seguridad en la empresa Hispatech. Actualmente la empresa carece de medidas de seguridad adecuadas y existe un alto riesgo de vulnerabilidades. El proyecto propone un análisis detallado de las vulnerabilidades, una lista exhaustiva de medidas de seguridad tanto físicas como lógicas para implementar, y varios presupuestos posibles en función del nivel de seguridad que la empresa desee alcanzar.
Buscadores, SEM SEO: el desafío de ser visto en la web
Análisis de Seguridad Hispatech
1. PROYECTO FINAL
ALTERNATIVA 1: ANÁLISIS DE SEGURIDAD
Vas a presentar un proyecto para la empresa Hispatech, para que te contraten como
responsable del desarrollo, implantación, gestión y revisión de la política de seguridad de la
empresa.
La compañía cuenta con unos 200 empleados distribuidos entre las sedes de Madrid
(aproximadamente 120 empleados), Sevilla (40) y Barcelona (40). Todos los empleados
cuentan con un ordenador de sobremesa en su respectiva oficina. Aparte, los directivos y jefes
de producto y de proyecto, tienen portátil y smartphone (para poder acceder a su correo y
trabajar desde cualquier sitio). Todos los ordenadores utilizan Windows 7 (por desgracia no
son originales) y los smartphones, Android.
Los edificios donde se encuentran las sedes son muy distintos. En Madrid es un edificio
completo en el centro, en un área de oficinas. El de Sevilla es un edificio compartido que está
en un polígono alejado de la ciudad. El de Barcelona también es compartido (incluso la planta
donde está la sede es compartida con otras empresas) y está ubicado en una zona residencial.
Cada sede cuenta con una red local de 1 Gbps. Están conectadas entre sí a través de
Internet.
En la sede de Madrid tienen un CPD con los servidores web y de correo de la empresa,
así como las bases de datos de usuarios y clientes.
Ahora mismo la empresa no cuenta con más medidas de seguridad que un programa
antivirus instalado en cada uno de los ordenadores de sobremesa. Se sabe que algunos
empleados se descargan sus propios programas de seguridad, así como actualizaciones del
sistema operativo.
2.
3. Crea un dossier con el proyecto que vas a presentar a la empresa para obtener el puesto. En él
debes incluir:
Un análisis de las vulnerabilidades y riesgos que tiene la empresa.
Edificio en el centro de Madrid (calles estrechas, mucha gente…)
Edificio de Sevilla, en un polígono (Puede haber almacenes de pirotecnia).
Barcelona en zona residencial(No dentro de habitación de hormigón podría haber
interferencias) .
Windows 7 Pirata ( Al no ser original tendremos problemas a que pueda ser vulnerable a poder
recibir ataques.
Ordenadores o smartphone de directivas o empleados (Sin saber la seguridad que contienen
pudiendo contener malware pudiendo infectar la red de la empresa).
En el CPD parece ser que carece de sistemas de seguridad básicos.
No se nombra sistema antincendios
Carece de sistema de emergencia que proporcione electricidad (Por si hay un corte en la
electricidad)
Distintos software antivirus en cada ordenador
Los ordenadores carecen de copia de seguridad
No hay restrincciones en lo que cada empleado instala en su ordenador
Carecen de limitaciones en el disco, dado que no tienen límite para descargar archivos o lo que
quisiera el empleado.
Servicio de correo antispam por seguridad
No indica si los cables del CPD se encuentran etiquetados y ubicados en falso techo y suelo
No sabemos el sistema de refrigeración del que disponen
Los ordenadores no disponen de candados antirrobos
Una lista completa, detallada, adaptada a las necesidades y razonada de todas las
medidas de seguridad que debería contemplar la empresa para que se pueda
considerar segura frente a amenazas tanto internas como externas. Se distinguirán
medidas de seguridad activas y pasivas, físicas y lógicas.
Seguridad Activa:
• Firma y certificado digital comprobando la procedencia autenticidad e integridad del
mensaje, a no repudio.
• Cuotas de disco: para que nadie haga uso indebido de la capacidad del disco
• Actualizaciones automáticas para que nadie lo instale cuando le parezca
4. • Tener una cuenta con permisos de administrador para que configure las
características básicas para que funcion de manera correcta.
• Uso de contraseñas en cada ordenador para prevenir acceso a personas que no
pertenezcan a ese ordenador
• Sala de hormigón para el CPD para poder evitar interferencias
• Uso del Sistema operativo original y no pirata
• Tener capacidad de almacenamiento,
• Poder encriptar el disco para cuando acabe el horario laboral diario y tenga que
marcharme.
• Uso de antivirus
Seguridad Pasiva:
Uso de SAI para seguir teniendo electricidad aunque la corriente se pierda durante un periodo
de tiempo
Realizar copia de seguridad Completa, Incremental o Diferencial yo preferiero la completa de
los equipos para recuperar los datos en caso de pérdida.
Sistema antiincendios
Segunda compañía de suministro eléctrico
Generador de emergencia
Sistema de refrigeración del CPD
Control de acceso a la red mediante switch ya que se han podido estar conectando ,
puediendo haber tenido un malware en los ordenadores o smartphones
Seguridad Física:
Evitar la ubicación de los centros de cálculo próximos a lugares con gran radiación de señales
electromagnéticas
Proteger los centros de mediante puertas con medidas biométricas, cámaras de seguridad,
vigilantes jurados.
Impermeabilizar las paredes y techos del CPD. Sellar las puertas para evitar la entrada de agua
proveniente de las plantas superiores.
Evitar la ubicación de los centros en las plantas bajas de los edificios para protegerse de la
entrada de aguas superficiales.
Evitar la localización del centro de procesamiento de datos cerca de zonas donde se manejen o
almacenen sustancias inflamables o elementos pirotécnicos
5. El mobiliario de los centros debe ser ignífugo, como los armarios
Evitar la ubicación de los centros cerca de lugares con gran cantidad de señales
electromagnéticas, en caso de que se encuentre en ese lugar usar cableado especial como la
fibra óptica dado que no es muy sensible a ese tipo de interferencias
Seguridad Lógica:
Programas de monitorización.
Servidores Proxys
Firewall
Cifrar la información almacenada en los soportes para que en caso de robo no sea legible.
Uso de listas de control de acceso.
Cifrar documentos.
Uso de programas como Sisoft Sandra
Uso de sistemas tolerantes a fallos.
Uso de métodos criptográficos.
Un presupuesto de lo que costaría implementar las medidas de seguridad propuestas.
Puedes establecer distintos niveles de ambición con distintos presupuestos para que la
empresa pueda elegir hasta qué nivel de seguridad quiere llegar.
Soluciones implementadas:
Sistema Antiincendios 2.443€ agua nebulizada 5.100€ Gas inerte | 7.329€ o 15.300€
TOTAL: Mínimo:109.259 Máximo: 896.669
6. Los directivos de la empresa te van a pedir que, además del dossier, realices una presentación
de no más de 15 minutos sobre la solución de seguridad que propones.
Prepara la presentación en profundidad, pues te pueden pedir que aclares algunos puntos o
que defiendas tus argumentos.
Ten en cuenta que vas a competir con al menos 15 aspirantes por el puesto. Solo el que
obtenga mayor puntuación por lo exhaustiva que sea la solución presentada en el dossier y por
lo convincente que sea vendiéndola en la presentación obtendrá el puesto.
Tips:
Buscar información y recursos en las siguientes páginas web:
http://www.osi.es/ (oficina de seguridad del internauta)
http://www.microsoft.com/es-es/security/default.aspx
http://www.microsoft.com/business/es-es/content/paginas/article.aspx?cbcid=227