1. Proyecto 1
RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades
Trabajas en una auditoría de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:
● El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
Tendrían que tener una vigilante por cada edificio para que sea más seguro.
• El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
Tendría que tener un vigilante para estar vigilando y otro que esté atendiendo el teléfono para que no se distraigan.
• Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
Estaría mal porque cada uno tiene que tener su tarjeta encima porque si no la puede coger cualquiera y entrar y estropear el CPD.
• Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
Esta mal porque tienen que estar funcionando todas las cintas a la vez. Y tendrían que tener más vigilantes para que no estén las cintas encima de su servidor y que estén ordenadas.
2. • El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
Estaría mal porque no tendría que tener ventanas y si están tienen que estar cerradas porque puede entrar cualquiera y robarlo, estropearlo, etc.
• Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
Tendría que tener otro disco duro con todo lo que tiene el otro porque algún día se puede estropear.
• Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
Estaría mal porque desprendía mucho calor y se estropearía.
• El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
Tendría que estar cifrados y todos los discos tienen que estar con contraseña.
• Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesita realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.
Estaría bien porque así no se meterían virus.
Terminamos por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?
Tendrían que tener más vigilantes, tener aires acondicionados para el calor, tener más discos duros, poder hacer reformas en los edificios.
RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
3. Al día siguiente continúa la entrevista. Tus nuevas notas son:
• Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.
Estaría mal porque se puede conectarse cualquiera. Lo que habría que hacer es poner una contraseña en el wifi que no sea cosas que te relacione para que sea más segura y cambiarla cada cierto tiempo.
• La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
Estaría mal porque es más inseguro y todos los sistemas tienen que ser originales para que no tenga vulneraciones.
• En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.
Estaría mal porque alguno dispositivo USB puede que tenga algún virus o el antivirus puede que sea pirata o no protege lo tendría que proteger.
• Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.
Tendrían que hacer actualizaciones porque tienen que estar siempre todos protegidos.
• La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
Todos los sitios tienen que tener mejoras.
• Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.
Puede que no sea seguro
• El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.
Estaría bien porque así no tendría virus.
RA: Reconocer la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento
4. Como te encuentras un poco pez sobre la LOPD, decides buscar información sobre distintos conceptos que te suena que están relacionados y sobre cuestiones que te surgen sobre el tema.
Elige uno de los siguientes temas, prepara una presentación y exponla al resto de tus compañeros.
1. Qué regula la LOPD (Ley Orgánica de Protección de Datos).
2. Niveles que establece según la sensibilidad de los datos y medidas a tomar en cada nivel.
3. Según la actual LOPD, en qué nivel se sitúa el tratamiento de los siguientes datos:
a) Información sobre las multas de tráfico de una persona
b) Historial médico de una persona
c) Orientación sexual de una persona
d) Dirección personal o social de un titular o empresa
e) Afiliación política
f) Información tributaria básica
4. Sanciones por no cumplir la LOPD.
5. Funciones de la AGPD/APD (Agencia de Protección de Datos).
6. Ejemplo de documento en papel u on-line donde se informe de nuestros derechos sobre los datos recabados.
7. Qué regula la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
8. Qué regula la LPI (Ley de Propiedad Intelectual).
9. El canon digital.
10. La SGAE.
11. Administración electrónica.
12. Firma electrónica.
13. Ley sobre normas reguladoras de firma electrónica.
14. El DNI electrónico.
15. Ley sobre el DNI electrónico.
Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.
5. o ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?
Sí. Porque tiene que proteger el tratamiento de los datos de carácter personal de las personas físicas.
o ¿Qué nivel de seguridad requerirá el fichero?
Nivel básico.
o ¿Qué medidas de seguridad requiere este nivel?
Identificar y autenticar a los usuarios.
Llevar un registro de incidencias acontecidas en el fichero.
Realizar copia de seguridad como mínimo semanalmente.
o Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.
Leve
Grave
Muy grave
No atender la solicitud del interesado de rectificación o cancelación de los datos personales La recogida de datos personales con finalidad distinta a las que constituye el objeto legítimo de la empresa La recogida de datos personales en forma engañosa y fraudulenta.
No proporcionar la información que solicite la agencia de protección de datos La recogida de datos personales sin el consentimiento expreso del afectado, cunado exigible. La comunicación o cesión de los datos fuera de los casos en que están permitidos.