2. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 1 DE 5
Índice
RA: APLICAR MEDIDAS DE SEGURIDAD PASIVA EN SISTEMAS INFORMÁTICOS DESCRIBIENDO
CARACTERÍSTICAS DE ENTORNOS Y RELACIONÁNDOLAS CON SUS NECESIDADES ....................... 2
1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea
conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o
podría mejorar. Durante la entrevista tomas las siguientes..................................................... 2
• El edificio tiene un servicio de vigilancia a través de una empresa externa. Por
reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del
otro lado de la calle............................................................................................................... 2
RA: ASEGURAR LA PRIVACIDAD DE LA INFORMACIÓN TRANSMITIDA EN REDES INFORMÁTICAS
DESCRIBIENDO VULNERABILIDADES E INSTALANDO SOFTWARE ESPECÍFICO................................. 3
2. Al día siguiente continúa la entrevista. Tus nuevas notas son:......................................... 3
3. Vas a completar tu informe con una demo en la que le harás ver al cliente cómo se
pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la práctica
de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de
sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos
máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 2
(máquina vulnerable)................................................................................................................ 4
Realiza una memoria con los pasos que has realizado, incluyendo capturas........................ 4
5. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y
último día de auditoría. Tus notas son las siguientes: .............................................................. 4
La empresa recoge datos de las personas que solicitan información acerca de las
promociones que tiene actualmente. El objetivo es poder enviarles información sobre
futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico.
Una secretaria introduce los datos en una hoja Excel en su ordenador................................... 4
o ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la
creación del fichero que contiene los datos? ....................................................................... 4
o ¿Qué nivel de seguridad requerirá el fichero?.............................................................. 4
o ¿Qué medidas de seguridad requiere este nivel?......................................................... 4
3. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 2 DE 5
RA: Aplicar medidas de seguridad pasiva en sistemas informáticos
describiendo características de entornos y relacionándolas con sus
necesidades
1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea
conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable
o podría mejorar. Durante la entrevista tomas las siguientes
• El edificio tiene un servicio de vigilancia a través de una empresa externa. Por
reducción del presupuesto, ahora solo hay un vigilante que también atiende
el edificio del otro lado de la calle.
• El CPD tiene otro vigilante, de otra compañía, que también atiende el
teléfono de la centralita a partir de las 3, cuando termina el turno del
recepcionista.
• Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay
una en el cajón de la mesa del vigilante para el personal de limpieza o por si
ocurre una emergencia.
• Una vez a la semana se hace la copia de seguridad. Como solo disponen de
un dispositivo de cinta, los cuatro servidores se reparten cada semana del
mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de
la sala, cada una encima de su servidor (cada servidor tiene una cinta en
exclusiva).
• El edificio pertenece al patrimonio histórico y no admite reformas en la
fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado
en el CPD. Para combatir el calor que desprenden los ordenadores, las
ventanas están siempre abiertas.
• Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
• Los servidores tienen doble fuente de alimentación, por si se estropea
alguna.
• El presidente y el contable tienen cada uno un portátil de la empresa. El disco
duro de estas máquinas no está cifrado porque no se arriesgan al desastre
que supondría olvidar la contraseña.
• Los ordenadores tienen dos usuarios: uno para las tareas normales y otro
cuando necesitan realizar alguna instalación o modificar un parámetro del
sistema operativo. Los empleados saben cuándo deben usar cada uno.
Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has
redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes
proponer?
• Se podría mejorar contratando un servicio de vigilancia por edificio, en el
caso de que sea una empresa con gran valor, deberían tener más guardias.
• En el CPD tendría un vigilante de la misma compañía o especializado, debido
a que hay mucha información privada e importante. En el caso de las
llamadas, contrataría a otro recepcionista que trabaje el siguiente turno para
que los vigilantes sigan con sus funciones.
4. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 3 DE 5
• Lo primero sería comprar una o más cintas que contengan el espacio
suficiente para almacenar las copias de seguridad del servidor. Dichas copias
se guardarían en un lugar que esté restringido a toda persona ajena de la
empresa.
• Se podría intentar que la sala en la que se encuentran los servidores fuese
fría, en el caso de que sea una sala grande, se harían pasillos tanto fríos como
calientes. Sí fuera al contrario, se cambiaría el servidor a un lugar que sea
adecuado.
• Se debería tener precaución con los discos duros, además de tener otro con
los mismos datos guardados para no interrumpir el servicio y evitar la
pérdida de datos.
• Se instalaría un RAID en el servidor para evitar fallos a la hora de que un disco
duro falle.
• Deberían cifrar cada portátil de tal manera que a ellos no se les olvide la
clave, es decir, que sea fácil a la par que robusta (mayúsculas, minúsculas,
números, caracteres especiales,…)
RA: Asegurar la privacidad de la información transmitida en redes informáticas
describiendo vulnerabilidades e instalando software específico
2. Al día siguiente continúa la entrevista. Tus nuevas notas son:
• Hay una red wifi en la oficina que permite entrar en la red de ordenadores y
salir a Internet. No tiene contraseña para que los clientes puedan utilizarla
con total comodidad.
• La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados
necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la
empresa no puede afrontar la compra de nuevas licencias, están utilizando
software pirata.
• En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan
entre ellos mediante dispositivos USB.
• Los ordenadores que hacen de servidores tienen activadas las actualizaciones
automáticas de todas las aplicaciones y el sistema operativo, pero en los
ordenadores de empleados no se hace porque han visto que se satura la
conexión a Internet.
• La mayoría de los equipos de red son switch y routers, pero algunos
despachos todavía tienen hubs porque son fiables y el ancho de banda es
suficiente.
• Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y
muy sencillo de instalar.
• El servidor web está instalado sobre una máquina con sistema operativo
Linux Ubuntu Server 9.04.
Termina la entrevista del segundo día porque tiene otro compromiso.
De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?
5. LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4
PÁGINA 4 DE 5
• Se debería de proteger la red Wi-Fi ya que hay un agujero de seguridad en la
red debido a que está abierta. Para protegerla hay varias posibilidades: Lista
blanca, lista negra, clave WPA/WPA-2/WPA-2 Enterprise…
• No es recomendable la utilización de software pirata en la empresa, debido a
que puede estar infectado. Para ello recomendaría usar software que tenga
una licencia GPL.
• No es recomendable la instalación de un antivirus mediante un pendrive, ya
que no sabemos sí el equipo en el que ha estado conectado lo ha podido
infectar.
• Teniendo en cuenta que las actualizaciones son vitales para los equipos de
una empresa, lo mejor es que se actualicen, ya que se añaden parches de
seguridad. Para ello, sería recomendable acordar las horas en las que se
puedan actualizar los equipos.
• La utilización de Hamachi no es recomendable como método de conectividad
en la empresa, debido a que puede tener cualquier fallo..
3. Vas a completar tu informe con una demo en la que le harás ver al cliente cómo se
pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la
práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos
del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a
necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con
metasploitable 2 (máquina vulnerable).
Realiza una memoria con los pasos que has realizado, incluyendo capturas.
5. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y
último día de auditoría. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las
promociones que tiene actualmente. El objetivo es poder enviarles información
sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y
correo electrónico. Una secretaria introduce los datos en una hoja Excel en su
ordenador.
• ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos
la creación del fichero que contiene los datos?
Por supuesto, para evitar cualquier mal uso de ellos y sobre todo si pueden
hacer dicho fichero. También es la manera que tiene la empresa de poder
ponerse en contacto con los usuarios que tengan registrados.
• ¿Qué nivel de seguridad requerirá el fichero?
Al ser información muy delicada a la par que privada, se podría decir que el
nivel de seguridad que requiere dicho fichero es un nivel muy alto.
• ¿Qué medidas de seguridad requiere este nivel?
Las medidas de seguridad que requiere podrían ser físicas (almacenarlo en un
portátil, disco duro, pendrive,…) o lógica (copia de seguridad, cifrar el
fichero,…)
• Haz un listado de las infracciones que podrían cometerse con respecto al
fichero y destaca cuáles de ellas supondrían una sanción mayor.