1. RA: Aplicar medidas de seguridad pasiva en sistemas informáticos
describiendo características de entornos y relacionándolas con sus
necesidades
1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que
desea conocer la situación de su empresa en cuanto a seguridad informática y si
es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:
• El edificio tiene un servicio de vigilancia a través de una empresa externa.
Por reducción del presupuesto, ahora solo hay un vigilante que también
atiende el edificio del otro lado de la calle.
• El CPD tiene otro vigilante, de otra compañía, que también atiende el
teléfono de la centralita a partir de las 3, cuando termina el turno del
recepcionista.
• Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay
una en el cajón de la mesa del vigilante para el personal de limpieza o por
si ocurre una emergencia.
• Una vez a la semana se hace la copia de seguridad. Como solo disponen
de un dispositivo de cinta, los cuatro servidores se reparten cada semana
del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan
dentro de la sala, cada una encima de su servidor (cada servidor tiene una
cinta en exclusiva).
• El edificio pertenece al patrimonio histórico y no admite reformas en la
fachada. Por tanto, no ha sido posible instalar equipos de aire
acondicionado en el CPD. Para combatir el calor que desprenden los
ordenadores, las ventanas están siempre abiertas.
• Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
• Los servidores tienen doble fuente de alimentación, por si se estropea
alguna.
• El presidente y el contable tienen cada uno un portátil de la empresa. El
disco duro de estas máquinas no está cifrado porque no se arriesgan al
desastre que supondría olvidar la contraseña.
• Los ordenadores tienen dos usuarios: uno para las tareas normales y otro
cuando necesitan realizar alguna instalación o modificar un parámetro del
sistema operativo. Los empleados saben cuándo deben usar cada uno.
2. Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no
has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué
alternativa le puedes proponer?
En primer lugar, es necesario que el acceso al recinto esté vigilado
constantemente, no se puede tener un vigilante que atienda a varios edificios en
zonas diferentes, el guarda de seguridad debe estar en un puto fijo, también se
podría invertir en un sistema de acceso de seguridad con tarjetas identificativas.
El CPD es uno de las zonas en las que tiene que haber más seguridad, es
necesario tener una persona que cubra la vigilancia durante todo el tiempo que
tenga que estar, en este caso tiene dos cometidos y uno de ellos hace que
durante cierto tiempo el acceso al CPD no tenga suficiente vigilancia. Se podría
asignar un único cometido a ese personal de seguridad o instalar un sistema de
cámaras de vigilancia que controle el acceso al mismo.
Cada empleado debe tener su tarjeta identificativa, sea del personal de
limpieza, de mantenimiento o de seguridad, que asegure que el registro de
entrada sea óptimo.
Añadir seguridad a esas salas de cintas al igual que al CPD ya que guarda la
misma información y requiere la misma seguridad.
Ya que el edificio no admite reformas, las ventanas deben estar controladas,
valladas y con sistema de cámaras, el recinto debería ser cerrado de tal manera
que nadie que no se identifique pueda acceder a ninguna zona dentro del
mismo.
Aunque el disco duro sea de alta gama, también puede fallar, se debería
adquirir otro idéntico que trabaje a la par asegurando el riesgo de fallo de
disco y que se pierda toda la información trabajando en espejo.
Instalación de sistemas de alimentación ininterrumpida y doble línea de
corriente de manera que si fallara una de ellas sea la otra línea la que sirva el
servicio de electricidad.
Es necesario cifrar los datos, a todo el personal de la empresa se le debe
explicar la manera de hacerlo, si existiera el riesgo de perder la clave utilizar
pendrives a modo de llave de descifrado.
No todos los empleados deberían tener acceso a la cuenta administrador, sería
mejor tener personal que administre los terminales.
3. RA: Asegurar la privacidad de la información transmitida en redes
informáticas describiendo vulnerabilidades e instalando software
específico
2. Al día siguiente continúa la entrevista. Tus nuevas notas son:
• Hay una red wifi en la oficina que permite entrar en la red de ordenadores y
salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con
total comodidad.
• La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados
necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la
empresa no puede afrontar la compra de nuevas licencias, están utilizando
software pirata.
• En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan
entre ellos mediante dispositivos USB.
• Los ordenadores que hacen de servidores tienen activadas las actualizaciones
automáticas de todas las aplicaciones y el sistema operativo, pero en los
ordenadores de empleados no se hace porque han visto que se satura la
conexión a Internet.
• La mayoría de los equipos de red son switch y routers, pero algunos despachos
todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
• Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy
sencillo de instalar.
• El servidor web está instalado sobre una máquina con sistema operativo Linux
Ubuntu Server 9.04.
4. Termina la entrevista del segundo día porque tiene otro compromiso.
De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?
La red inalámbrica debe estar configurada con toda la seguridad posible, la
SSID debe estar oculta, con WPA2 y una lista blanca de direcciones MAC. De
esta manera se puede asegurar lo mejor posible el acceso de equipos externos a
la red.
En una empresa no puede existir software ilegal o sin licencias, está penado por
ley. Se debe tener el sistema operativo más moderno y con las últimas
actualizaciones de seguridad instaladas. En caso de incompatibilidad de
software con SO utilizar máquinas virtuales dedicadas a esas funciones.
El antivirus debe ser lo más completo posible, los antivirus gratuitos, aunque
funcionen bien en el hogar, no tienen la misma seguridad que los de pago. El
administrador del sistema junto con la empresa deberán decidir que software
antivirus instalar asumiendo los gastos de los mismos. Las memorias externas
de los empleados pueden conllevar un riesgo de seguridad ya que pueden tener
almacenados virus que pongan en riesgo la integridad de la seguridad de los
datos o del equipo al que se conecte.
Sería prudente instalar un cortafuegos en la instalación de la red, que controle
la transferencia de información.
Si se necesita acceder a la red interna lo mejor es crear redes de área virtual,
controlando el acceso a la misma con configuraciones como puede ser un
sistema de login con usuario y contraseña, quedando registrado el acceso y
manipulación de los datos.
El servidor es el punto más importante, por lo cual, debe tener el mejor nivel de
seguridad, tener una versión antigua permite intromisiones externas con
facilidad, debe tener el sistema operativo del servidor lo más actualizado
posible.
5. 5. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el
tercer y último día de auditoría. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de
las promociones que tiene actualmente. El objetivo es poder enviarles información
sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y
correo electrónico. Una secretaria introduce los datos en una hoja Excel en su
ordenador.
o ¿Crees que tendría que haber solicitado a la Agencia de Protección de
Datos la creación del fichero que contiene los datos?
Sí. Deben ser inscritos en la agencia general de protección de datos.
o ¿Qué nivel de seguridad requerirá el fichero?
Nivel básico: sólo solicitan datos como el nombre, dirección y correo electrónico.
o ¿Qué medidas de seguridad requiere este nivel?
Tener los datos encriptados, Permisos de modificación/lectura a personal
autorizado, copias redundantes.
o Haz un listado de las infracciones que podrían cometerse con respecto al
fichero y destaca cuáles de ellas supondrían una sanción mayor.
Infracciones leves: Sanciones entre 601,01 € y 60.101,21 €
• Recopilar datos personales sin informar previamente
• No atender a las solicitudes de rectificación o cancelación
Infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 €
• No inscribir los ficheros en la AGPD.
• No seguir los principios y garantías de la LOPD
Infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €
• Recogida de datos de manera engañosa o fraudulenta.
• La comunicación o cesión de datos cuando ésta no esté permitida.
• La transferencia temporal o definitiva de datos de carácter personal con
destino a países sin nivel de protección equiparable o sin autorización