universidad pontificia comillas

PROYECTO FIN DE CARRERA
PLAN DE SEGURIDAD PARA UNA
PEQUEÑA EMPRESA
AUTOR: JORGE COLINAS RAMÍREZ
MADRID, Septiembre del 2008
UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)
INGENIERO EN INFORMÁTICA

II
Porque el ayer es sólo un sueño
y el mañana una visión:
Pero el presente bien vivido
hace del ayer un sueño de felicidad
y del mañana una visión de esperanza.
Aprovecha bien, pues, el día de hoy.
Proverbio sánscrito
Jorge.

III
AGRADECIMIENTOS
En primer lugar, quiero dar las gracias por su afecto y amistad a todos los
compañeros con los que he compartido el viaje que han supuesto estos años
en la Universidad.
De la misma manera, quiero reconocer a todos mis profesores la labor, en
ocasiones no demasiado fácil, de transmitir sus conocimientos que suponen y
supondrán la inspiración necesaria para los futuros grandes retos que llegue a
plantear la vida.
Por último, pero no menos importante, agradecer a mis padres el apoyo y
confianza depositada en mí en todo momento.
Gracias a todos.
Merece una mención especial Ana, cuyo apoyo, ayuda e inspiración me
sirven para conseguir superar día a día los retos que me plantea la vida.
Muchas gracias mi vida.
Jorge.

IV
RESUMEN
El presente proyecto es el resultado de la realización de un completo análisis
de la empresa Arroyo-Fuensaldaña, ubicada en Valladolid, para evaluar el
nivel de seguridad de sus datos y sus procesos informáticos.
Primeramente se ha estudiado la empresa para evaluar cuál es su situación
respecto a estos términos, enumerando las amenazas que la afectarían, así
como el impacto que producirían éstas en la empresa en el caso de que
llegaran a producirse.
De esta manera se determinan cuáles son las vulnerabilidades de la empresa
y qué medidas sería necesario adoptar para conseguir dotar a la misma de un
nivel de seguridad adecuado para proteger su información en función del tipo
de empresa, elementos informáticos usados y activos en peligro.
Para la elaboración del proyecto se han seguido las siguientes fases:
- Análisis de la empresa.
- Realización de un inventario de todos los elementos Hardware y
Software con que cuenta la empresa.
- Análisis de riesgos, determinando cuáles pueden afectar a la empresa y
el posible impacto que pueden tener.
- Identificación de las vulnerabilidades de la empresa en función de los
riesgos que pueden afectarla y sus agujeros de seguridad.
- Recomendaciones para eliminar las vulnerabilidades existentes y
conseguir un adecuado nivel de seguridad informática.
Para determinar los riesgos que pueden afectar a la empresa se tienen en
cuenta factores ambientales, fallos de las instalaciones, fallos humanos, robos,
problemas con el Software o Hardware, empleados descontentos, etc.
Para proponer soluciones a adoptar dentro de la empresa se ha tenido en
cuenta la situación de la empresa en el mercado, las vulnerabilidades que
podrían afectarle y las medidas de seguridad con las que ya cuenta la
empresa.

V
ABSTRACT
This project is a result of a complex analysis production made by Arroyo-
Fuensaldaña Company, located in Valladolid (Spain), to evaluate the security
level of their data bank and informatic processes.
First of all the company has been scrutinized to evaluate its situation on this
matter, listing the threats that may affect it, as well as their impact they may
produce in case that they occur.
This way determines which are company's vulnerabilities and the measures it
should be neccesary to adapt to achieve equip it of a suitable security level to
protect its information according to the kind of company, infomratic elements
used and actives in risk.

VI
ÍNDICE
INTRODUCCIÓN............................................................................................................................. 1
1. ANÁLISIS DE LA EMPRESA ......................................................................................................... 3
1.1 Historia................................................................................................................................ 3
1.2 Actividades.......................................................................................................................... 3
1.3 Sede de la empresa............................................................................................................. 4
1.4 Balance económico 2007 .................................................................................................... 4
1.5 Personal............................................................................................................................... 4
1.6 Arquitectura ........................................................................................................................ 5
1.7 Estrategia a seguir............................................................................................................... 6
2. INVENTARIO HARDWARE.......................................................................................................... 7
2.1 Introducción........................................................................................................................ 7
2.2 Hardware instalado............................................................................................................. 7
2.3 Comunicaciones ................................................................................................................ 10
2.4 Seguridad física ................................................................................................................. 12
2.5 Conclusiones...................................................................................................................... 13
3. INVENTARIO SOFTWARE ......................................................................................................... 14
3.1 Introducción...................................................................................................................... 14
3.2 Software instalado ............................................................................................................ 14
3.3 Seguridad software ........................................................................................................... 17
3.4 Conclusiones...................................................................................................................... 19
4. PLAN DE RECUPERACIÓN EXISTENTE ...................................................................................... 20
4.1 Introducción...................................................................................................................... 20
4.2 Hardware de recuperación................................................................................................ 20
4.3 Software de recuperación................................................................................................. 20

VII
4.4 Recursos humanos ............................................................................................................ 20
4.5 Estrategias de respaldo..................................................................................................... 20
5. ANÁLISIS DE RIESGOS.............................................................................................................. 21
5.1 Introducción...................................................................................................................... 21
5.2 Identificación de las amenazas.......................................................................................... 22
5.2.1 Desastres naturales.................................................................................................... 23
5.2.1.1 Tormentas y rayos............................................................................................... 23
5.2.1.2 Terremotos.......................................................................................................... 24
5.2.1.3 Inundaciones....................................................................................................... 27
5.2.2 Estructurales............................................................................................................... 29
5.2.2.1 Incendios ............................................................................................................. 29
5.2.2.2 Cortes eléctricos.................................................................................................. 31
5.2.2.3 Agua..................................................................................................................... 32
5.2.2.4 Refrigeración....................................................................................................... 32
5.2.2.5 Comunicaciones .................................................................................................. 33
5.2.3 Hardware.................................................................................................................... 34
5.2.3.1 Fallo de servidores .............................................................................................. 34
5.2.3.2 Fallo de estaciones PC......................................................................................... 34
5.2.3.3 Fallo de portátiles................................................................................................ 35
5.2.4 Software..................................................................................................................... 37
5.2.4.1 Errores en los SSOO............................................................................................. 37
5.2.4.2 Errores en las Bases de Datos ............................................................................. 38
5.2.4.3 Errores en las aplicaciones.................................................................................. 38
5.2.4.4 Errores en los elementos de seguridad............................................................... 40
5.2.5 Red LAN y WAN.......................................................................................................... 42
5.2.5.1 Red interna.......................................................................................................... 42
5.2.5.2 Sistemas de seguridad de las comunicaciones ................................................... 42

VIII
5.2.5.3 Redes públicas ajenas ......................................................................................... 44
5.2.6 Copias de seguridad ................................................................................................... 46
5.2.6.1 Fallos en soportes de copias de seguridad.......................................................... 46
5.2.7 Información................................................................................................................ 47
5.2.7.1 Ficheros ............................................................................................................... 47
5.2.7.2 Procedimientos de seguridad de la información ................................................ 48
5.2.7.3 Planes de contingencia........................................................................................ 48
5.2.8 Personal...................................................................................................................... 49
5.2.8.1 Errores y ataques de personal interno................................................................ 49
5.2.8.2 Errores y ataques de personal externo............................................................... 49
5.2.9 Riesgos contra el patrimonio ..................................................................................... 51
5.2.9.1 Robo .................................................................................................................... 51
5.2.9.2 Pérdida no intencionada de activos.................................................................... 52
5.2.10 Legislación................................................................................................................ 54
5.2.11 Otros riesgos ............................................................................................................ 55
5.2.11.1 Terrorismo......................................................................................................... 55
5.2.11.2 Imagen de empresa........................................................................................... 56
5.2.11.3 Insolvencia de servicios externos...................................................................... 57
6. ANALISIS DE VULNERABILIDADES............................................................................................ 59
6.1 Introducción...................................................................................................................... 59
6.2 Identificación de vulnerabilidades .................................................................................... 59
6.2.1 Vulnerabilidades relacionadas con desastres naturales............................................ 59
6.2.2 Vulnerabilidades relacionadas con amenazas estructurales ..................................... 60
6.2.3 Vulnerabilidades relacionadas con el Hardware........................................................ 60
6.2.4 Vulnerabilidades relacionadas con el Software ......................................................... 61
6.2.5 Vulnerabilidades relacionadas con las redes de comunicación................................. 62
6.2.6 Vulnerabilidades relacionadas con las copias de seguridad ...................................... 62

IX
6.2.7 Vulnerabilidades relacionadas con la información .................................................... 63
6.2.8 Vulnerabilidades relacionadas con el personal.......................................................... 63
6.2.9 Vulnerabilidades relacionadas con el patrimonio...................................................... 64
6.2.10 Vulnerabilidades relacionadas con la legislación..................................................... 64
6.2.11 Otras vulnerabilidades ............................................................................................. 64
6.3 Valoración de las vulnerabilidades.................................................................................... 65
7. PLAN DE SEGURIDAD............................................................................................................... 68
7.1 Introducción...................................................................................................................... 68
7.2 Plan de seguridad.............................................................................................................. 68
7.2.1 Medidas aplicadas a desastres naturales................................................................... 69
7.2.2 Medidas aplicadas a problemas estructurales.......................................................... 69
7.2.3 Medidas aplicadas a problemas de Hardware .......................................................... 70
7.2.4 Medidas aplicadas a problemas de Software............................................................ 71
7.2.5 Medidas aplicadas a problemas de red..................................................................... 71
7.2.6 Medidas aplicadas a problemas de las copias de seguridad..................................... 72
7.2.7 Medidas aplicadas a problemas con la información................................................. 73
7.2.8 Medidas aplicadas a problemas con el personal....................................................... 74
7.2.9 Medidas aplicadas a problemas con el patrimonio................................................... 74
7.2.10 Medidas aplicadas a información que debe ser declarada ante la Agencia de
Protección de Datos............................................................................................................ 75
7.2.11 Medidas aplicadas a problemas provocados por otros riesgos............................... 76
7.3 Resumen de medidas de seguridad .................................................................................. 77
8. RECOMENDACIONES FINALES................................................................................................. 80
8.1 Introducción...................................................................................................................... 80
8.2 Recomendaciones ............................................................................................................. 80
9. PLANIFICACION........................................................................................................................ 81
10. PRESUPUESTO ....................................................................................................................... 86

X
11. CONCLUSIONES ..................................................................................................................... 87
BIBLIOGRAFÍA.............................................................................................................................. 89
ANEXOS ....................................................................................................................................... 90
ANEXO 1. WinAudit................................................................................................................. 90
ANEXO 2. ISO 17799................................................................................................................ 93
ANEXO 3. Diagnóstico de la empresa...................................................................................... 94

XI
ÍNDICE DE FIGURAS
Figura 1.1: Planta de la oficina………………………………………………………………………………………………….5
Figura 2.1: Equipo 1………………………………………………………………………………………………………………….7
Figura 2.2: Equipo 2………………………………………………………………………………………………………………….8
Figura 2.3: Equipo 3………………………………………………………………………………………………………………….8
Figura 2.4: Impresora 1…………………………………………………………………………………………………………….9
Figura 2.5: Impresora 2…………………………………………………………………………………………………………….9
Figura 2.6: Escáner……………………………………………………………………………………………………………………9
Figura 2.7: Fotocopiadora…………………………………………………………………………………………………………9
Figura 2.8: Teléfono 1…………………………………………………………………………………………………………….10
Figura 2.9: Teléfono 2…………………………………………………………………………………………………………….11
Figura 2.10: Móvil 1…………………………………………………………………………………………………………..……11
Figura 2.11: Móvil 2…………………………………………………………………………………………………………….….11
Figura 2.12: Móvil 3………………………………………………………………………………………………………….…….11
Figura 2.13: Fax………………………………………………………………………………………………………………………11
Figura 2.14: Router…………………………………………………………………………………………………………………12
Figura 2.15: Destructora…………………………………………………………………………………………………………12
Figura 9.1: Paquetes de trabajo……………………………………………………………………….……………………..81
Figura 9.2: Inventario Hardware……………………………………………………………………………………………..82
Figura 9.3: Inventario Software………………………………………………………………………………………………82
Figura 9.4: Plan de recuperación existente…………………………………………………………………………….83
Figura 9.5: Análisis de riesgos…………………………………………………………………………………………………83
Figura 9.6: Planificación………………………………………………………………………………………………………….84
Figura A.1: Pantalla principal WinAudit…………………………………………………………………………………..90
Figura A.2: Pantalla de análisis WinAudit………………………………………………………………………………..91
Figura A.3: Información recolectada WinAudit……………………………………………………………………….92

XII
ÍNDICE DE TABLAS
Tabla 3.1: Terremotos…………………………………………………………………………………………………………….24
Tabla 6.1: Valoración de vulnerabilidades………………………………………………………………………………65
Tabla 7.1: Medidas preventivas………………………………………………………………………………………………77
Tabla 7.2: Medidas correctoras………………………………………………………………………………………………78
Tabla 7.3: Riesgos asumibles…………………………………………………………………………………………………..79
Tabla 10.1: Presupuesto…………………………………………………………………………………………………………86
Tabla A.1: Diagnóstico de la empresa……………………………………………………………………………………..94

1
INTRODUCCIÓN
La información es hoy en día uno de los activos más importantes con los que
cuenta cualquier empresa; un activo que no siempre tiene la consideración e
importancia necesaria dentro de algunas empresas.
Antiguamente toda la información era almacenada en papel, por lo que toda
su seguridad se limitaba a una seguridad física, actualmente existen multitud
de dispositivos en los que se puede almacenar la información, por lo tanto la
forma de evitar accesos a esa información ha cambiado.
El primer ataque informático considerado como tal ocurrió un viernes 13 de
1989 en el que una revista especializada distribuyo disquetes promocionales,
los cuales estaban infectados con un virus que afecto a multitud de empresas
y particulares.
Actualmente la naturaleza y la forma de difusión de los ataques ha cambiado;
antes los hackers buscaban producir daños en los sistemas por el simple hecho
de conseguir un poco de fama, actualmente sólo buscan obtener información
y dinero levantando el menor revuelo posible y siempre aprovechando los
recursos disponibles en la Web.
Al día se producen más de 6.000 ataques informáticos; las empresas que se
llevan la peor parte de estos ataques suelen sufrirlos mediantes troyanos que
intentan robar información de los sistemas en los que se instalan. La mayoría de
estos ataques (se calcula que en torno al 60%) provienen de la propia
organización por parte de algún empleado descontento y que quiere infligir
daño a la empresa. [Web 6]
Es necesario hacer ver a las empresas la importancia que tiene la seguridad de
su información dentro de sus procesos de negocio puesto que una pérdida de
información puede comprometer negocios que en algunos casos podrían
llegar a suponer pérdidas millonarias para las empresas.
Las grandes empresas (varias sucursales y mucho personal) suelen ser muy
sensibles a aplicar técnicas de seguridad informática en su organización
puesto que en general son conscientes del peligro que supone tener su red
interna, sus equipos, etc. abiertos al exterior, o a un posible ataque interno. Sin
embargo en el caso de empresas pequeñas (pequeñas sucursales y poco
personal) la seguridad informática no suele ser un tema de máxima prioridad
por lo que pueden llegar a tener problemas de pérdidas de información o de
intrusismos en su red.
Por ello es necesario poner énfasis en esas medianas y pequeñas empresas
para conseguir hacer ver a sus responsables que los datos de su negocio

2
pueden verse comprometidos intencionada o accidentalmente en cualquier
momento y sin que ellos puedan hacer nada para remediarlo si no disponen
de un correcto sistema de seguridad y respaldo.

3
1. ANÁLISIS DE LA EMPRESA
1.1 Historia
Arroyo-Fuensaldaña nació el 21 de febrero de 2001 como empresa promotora.
Ubicada originalmente en el número 20 de la calle Santiago de Valladolid
inicia su actividad realizando una pequeña promoción de 3 viviendas
unifamiliares adosadas en la localidad de Fuensaldaña, ubicada a 6 kilómetros
de Valladolid.
Tras el éxito de esa primera promoción Arroyo-Fuensaldaña realizó otra
promoción en esa misma localidad de 10 viviendas unifamiliares pareadas y
planeó la construcción de 100 viviendas en altura también ubicadas en dicha
población.
En la misma época en la que se inició la promoción de las 10 viviendas
unifamiliares pareadas, Arroyo-Fuensaldaña inició otra actividad relacionada
con el sector, como es la gestión de suelo para la construcción de viviendas.
El 16 de junio de 2004 Arroyo-Fuensaldaña trasladó su sede del número 20 al
número 13 de la calle Santiago; una sede mucho más grande y más
confortable.
La empresa ha llegado a la actualidad dedicándose principalmente a los
negocios de suelo para construcción y en los últimos tiempos, sobre todo para
intentar salvar la crisis que está afectando al sector, ha comenzado a invertir
en el negocio de las obras de arte con la apertura de una galería, que sirve
para potenciar a nuevos artistas, en la calle Claudio Moyano número 5 de
Valladolid.
1.2 Actividades
Arroyo-Fuensaldaña nació como una empresa promotora de viviendas
principalmente en la localidad de Fuensaldaña, con la experiencia y los
buenos resultados de las promociones los administradores de la empresa
decidieron cambiar la principal actividad de la misma para dedicarse
principalmente al negocio del suelo para construcción.
En el último año, la empresa ha decidido introducirse también en el negocio
del arte con la apertura de una galería para exposición de pintura y escultura.

4
1.3 Sede de la empresa
La empresa se localiza en el 2º G del número 13 de la calle Santiago en
Valladolid. Ésta es la única sede con la que cuenta la empresa.
1.4 Balance económico 2007
Gracias a los negocios que mantiene la empresa, y a pesar de la crisis que
está viviendo el sector, Arroyo-Fuensaldaña consiguió una facturación en el
año 2007 de 9’87 M€.
1.5 Personal
La empresa cuenta con pocos empleados, únicamente dos personas trabajan
en ella a diario.
A pesar del escaso personal con el que cuenta es una de las empresas
importantes en el sector en la zona de Valladolid (Castilla y León).

5
1.6 Arquitectura
Al tratarse de una empresa pequeña (con pocos empleados) y contar
únicamente con una sede, su arquitectura de red no es muy complicada pues
tiene pocos puestos de trabajo.
Figura 1.1: Planta de la oficina
La empresa cuenta únicamente con tres estaciones de trabajo, dos fijas
situadas cada una en uno de los despachos y una móvil que suele estar en la
sala de reuniones.
La empresa cuenta con conexión exterior a Internet mediante banda ancha,
pero no dispone de una arquitectura de red local.
En la figura se puede ver la ubicación de los elementos físicos que componen
la empresa.

6
1.7 Estrategia a seguir
Para conseguir dotar a la empresa de un nivel de seguridad de su información
aceptable se van a seguir los siguientes pasos:
- Obtención de una fotografía del estado actual de la seguridad de la
información dentro de la empresa, poniendo especial atención a la
información más delicada para el negocio.
- Evaluación de material Hardware y Software con que cuenta la empresa
para proteger la información de su negocio.
- Evaluación de los riesgos que pueden afectar a la empresa. Midiendo en
qué grado pueden afectar cada uno de esos riesgos, cuál sería su
impacto, que probabilidades reales existen de que ese riesgo se
materialice y cómo evitar que el riesgo llegue a producirse o cómo
minimizar su impacto.
- Elaboración de recomendaciones de cara a mantener la seguridad de
la información dentro de la empresa.

7
2. INVENTARIO HARDWARE
2.1 Introducción
A continuación se va a detallar todo el Hardware del que dispone la empresa
para llevar a cabo sus procesos informáticos.
En este apartado se va a realizar un inventario de todo el Hardware instalado,
poniendo especial atención en si existe Hardware específico dedicado a
Backup o elementos de seguridad similares.
También se realizará un inventario de las comunicaciones existentes, tanto con
el exterior como dentro de la misma oficina así como los elementos de
seguridad física existentes dentro de la oficina tales como alarmas, cerraduras,
etc.
2.2 Hardware instalado
Para realizar el inventario del Hardware instalado de forma adecuada se ha
usado el programa WinAudit [Web 2] con el que se puede realizar una
auditoría completa de los equipos informáticos.
- Equipo 1. Ordenador en torre.
Procesador: Intel(R) Pentium(R) 4 CPU 3.00GHz, 2998MHz.
Placa base: ASUSTeK Computer Inc.
Memoria SDRAM: 512 MB.
Memoria caché L1: 16 KB.
Memoria caché L2: 2.048 KB.
Disco duro: Maxtor 6V160E0 de 149 GB.
Unidades DVD: BENQ DVDDD DW1640. Figura 2.1: Equipo 1
HL-DT-ST DVD-ROM G0R8164B.
Tarjetas de red: Intel PRO/1000 MT Network Connection.
Linksys Wireless-B usb Network Adapter v2.8.
Monitor: LG Flatron L1717S.

8
- Equipo 2. Ordenador en torre.
Procesador: Intel(R) Pentium(R) 4 CPU 1.80GHz, 1793MHz.
Placa base: Quntumn Designs Limited.
Memoria DRAM: 256 MB.
Disco duro: ST360020A de 55,9 GB.
Unidades DVD: LG DVD-ROM DRD8160B. Figura 2.2: Equipo 2
Unidades CD: HL-DT-ST CD-RW GCE-8400B.
Tarjetas de red: NIC Fast Ethernet PCI Familia RTL8139 de Realtek.
Monitor: LG Studioworks 700S.
- Equipo 3. Ordenador portátil.
Procesador: Intel(R) Pentium(R) M processor 1.73GHz, 1728MHz.
Placa base: HTW00 de Toshiba.
Memoria SDRAM: 1022MB.
Memoria caché L2: 2.048 KB.
Disco duro: TOSHIBA MK6034GSX de 55.9GB.
Unidades DVD: Pioneer DVD-RW DVR-K165. Figura 2.3: Equipo 3
Tarjetas de red: Realtek RTL8139/810x Family Fast Ethernet NIC.
Intel(R) PRO/Wireless 2915ABG Network Connection.
Bluetooth Personal Area Network from Toshiba.

9
- Impresoras
HP Deskjet 5657.
Figura 2.4: Impresora 1
HP Laserjet 1160.
Figura 2.5: Impresora 2
- Escáner
Color page-Vivid III v2 de Genius.
Figura 2.6: Escáner
- Fotocopiadora
Gestenter 1802d de Aticio.
Figura 2.7: Fotocopiadora

10
2.3 Comunicaciones
A continuación se van a detallar los distintos tipos de comunicaciones de los
que dispone la empresa, tanto dentro de los equipos informáticos como
teléfonos, etc.
- Equipo 1
Dispone de dos tarjetas de red:
o Intel PRO/1000 MT Network Connection.
o Linksys Wireless-B usb Network Adapter v2.8.
- Equipo 2
Dispone de una única tarjeta de red:
o NIC Fast Ethernet PCI Familia RTL8139 de Realtek.
- Equipo 3
Dispone de tres tarjetas de red:
o Realtek RTL8139/810x Family Fast Ethernet NIC.
o Intel(R) PRO/Wireless 2915ABG Network Connection.
o Bluetooth Personal Area Network from Toshiba.
- Teléfonos
En la oficina se dispone de varios terminales fijos así como varios móviles.
o Teléfono fijo Siemens euroset 2015 (2 unidades).
Figura 2.8: Teléfono 1

11
o Teléfono fijo inalámbrico Telcom SPC-Solac.
Figura 2.9: Teléfono 2
o Teléfono móvil Nokia 6230. [Web 5]
Figura 2.10: Móvil 1
o Teléfono móvil Nokia 6220 (2 unidades). [Web 5]
o Teléfono móvil-pda Htc p3300. [Web 9]
- Fax
o Brother FAX-T74.
Figura 2.13: Fax

12
- Router
o Zyxel proporcionado por Telefónica.
Figura 2.14: Router
- Conexión a Internet [Web 11]
o Conexión ADSL de 3 MB contratada con Telefónica.
2.4 Seguridad física
En este apartado se van a detallar los elementos de seguridad física con los
que cuenta la oficina para hacer frente a posibles accesos no deseados a sus
equipos o a información confidencial de su negocio.
- Destructora de documentos ABC Shredmaster. Todos
los documentos que se tiran a la basura han de ser
pasados primeramente por la destructora de
documentos.
Figura 2.15: Destructora
Alarma SERURMAP de MAPFRE seguridad. La oficina cuenta con 7 detectores
de alarma:
o 1 en cada una de las 5 habitaciones.
o 1 en el pasillo.
o 1 en la entrada.
- Puerta de acceso blindada de seguridad.
- Todos los despachos donde hay equipamiento informático y
documentación crítica cuentan con cerradura.
- La oficina también cuenta con máquinas de aire acondicionado en
cada una de las salas donde hay instalado un equipo.

13
2.5 Conclusiones
La empresa cuenta con un equipamiento informático tal vez un poco obsoleto
para el tipo de equipos que existen hoy en día. Los equipos están escasos,
sobre todo, en memoria RAM.
Las medidas de seguridad físicas son correctas puesto que son adecuadas
para evitar el acceso a personal ajeno a la empresa al equipamiento y
documentación de la misma.
Tal vez un punto débil es el Router de conexión a Internet pues ese modelo es
un poco anticuado y puede ser vulnerable a ataques externos.

14
3. INVENTARIO SOFTWARE
3.1 Introducción
A continuación se van a detallar todos los elementos Software de los que está
provista la empresa, poniendo especial atención en aquellos que están
destinados específicamente a la seguridad de los datos almacenados dentro
de la empresa.
También se intentará especificar el nivel de protección Software con que
cuenta la empresa para poder analizar posteriormente los riesgos a los cuales
puede estar expuesta.
3.2 Software instalado
Para realizar el inventario de del Software instalado de forma adecuada se ha
usado el programa WinAudit con el que se puede realizar una auditoría
completa de los equipos informáticos.
- Equipo 1
El equipo 1 cuenta con el siguiente Software instalado:
o Sistema Operativo Windows XP Home Edition con Service pack 2
o Acrobat Reader 7.0
o Adobe Photoshop Album Startes Edition 3.0
o ATI catayst control center
o Avast! Antivirus [Web 3]
o Barra Yahoo
o Google toolbar para Internet Explorer
o Java SE runtime enviroment 6
o Macromedia Flash player 8
o Macromedia Shockwave player
o Microsoft .NET Framework 1.1
o Microsoft Office Professional Edition 2003
o Mozilla Firefox

15
o Nero 6 ultra edition
o Omni Mouse driver 4.0
o Power DVD
o Software de conexiones de red Intel(R) PRO v9.2.4.9
o Windows installer 3.1
o Windows media 11
- Equipo 2
o Sistema Operativo Windows XP Home Edition con Service pack 2
o AD-Aware SE Professional
o Acrobat Reader 5.0
o Adobe Flash player activex
o Boleto de condicionadas (Software que realiza Quinielas)
o Google toolbar para Internet Explorer
o HP Laserjet 116/1320 series
o HP print scren utility
o IVA 2002 (Programa de la Agencia Tributaria)
o IVA 2003 (Programa de la Agencia Tributaria)
o J2SE Runtime enviroment 5.0
o Java 6
o Modelo 180. De los años 2002, 2003, 2004 (Programa de la
Agencia Tributaria)
o Modelo 190. De los años 2002, 2003, 2004, 2005 (Programa de la
Agencia Tributaria)
o Modelo 347. De los años 2002, 2003, 2004, 2005 (Programa de la
Agencia Tributaria)
o Nero burning room

16
o McAfee security center
o McAfee VirusScan Professional
o Microsoft Office 2000 Premium
o Olympus Camedia master 4.1
o Power DVD
o Quick Time
o Windows media 11
o Sociedades. De los años 2002, 2003, 2004, 2005, 2006 (Programa
de la Agencia Tributaria)
o Sociedades. En sus versiones 5.1, 5.2, 6.0, 6.1, 6.2, 7.0 (Programa de
la Agencia Tributaria)
- Equipo 3
o Sistema Operativo Windows XP Professional Service pack 2
o AD-Aware SE Personal
o Adobe Photoshop CS
o Acorbat Reader 8.1
o Autocad 2006
o Autocad 2007
o Avg antivirus 7.5
o Avg antispyware 7.5
o Compresor WinRar
o Compresor WinZip
o Canon utilities PhotoStich 3.1
o Divx player
o Google earth
o Google talk

17
o WinDVD 4
o iTunes
o J2SE Runtime Environment 5.0
o Macromedia Studio MX
o Microsoft Office 2003 Professional
o Microsoft Office 2007 Enterprise
o Mozilla Firefox
o Nero 7
o Panel de control ATI
o PDF Creator
o Quick time
o Skipe
3.3 Seguridad software
A continuación se va a detallar la seguridad Software con la que cuentan los
equipos.
- Equipo 1
Este equipo cuenta con la versión 4.7 del antivirus avast [Web 3]. Este antivirus
dispone adicionalmente de antispyware y antirootkit y proporciona una
seguridad adecuada para el equipo.
Actualmente el antivirus de este equipo no se encuentra correctamente
actualizado por lo que puede ser una amenaza para la seguridad del equipo.
El equipo está protegido por el Firewall de Windows.
El equipo está conectado a la red de la empresa mediante una conexión
inalámbrica y configurada de forma que se le otorga la dirección IP
automáticamente.

18
- Equipo 2
Este equipo cuenta con la protección del sistema McAfee Virus Scan
Professional [Web 4] el cual cuenta con, además del antivirus, antispyware y
antiHacker. Proporciona una seguridad adecuada al equipo aunque al igual
que en el caso del equipo 1 el antivirus no se encuentra correctamente
actualizado.
Este equipo también cuenta con la protección del antispyware AD-Aware SE
Professional el cual sí se encuentra correctamente actualizado.
El equipo está protegido por el Firewall de Windows.
El equipo está conectado a la red mediante un cable RJ45 directamente
conectado con el Router de salida a Internet y configurado de forma que el
Router le asigna automáticamente la dirección IP.
- Equipo 3
El equipo 3 cuenta con la protección del antivirus Avg en su versión 7.5. Al
contrario que en el caso de los equipos actuales este antivirus está instalado
en su versión gratuita y se encuentra correctamente actualizado.
También cuenta con el antispyware de Avg también en su versión 7.5. Así
mismo cuenta con la protección del AD-Aware SE Personal. Ambos
antispyware se encuentran correctamente actualizados.
El equipo se conecta a la red de la empresa mediante la conexión
inalámbrica y está configurado para recibir automáticamente la dirección IP
del Router cada vez que se conecte a la red.
- Router
El Router ha sido proporcionado por la compañía distribuidora de la línea ADSL
y su configuración es:
o Servidor DHCP activado de forma que cada vez que un equipo
es conectado a la red se le concede una dirección IP privada
dentro del rango que tiene determinado.
o Para la conexión inalámbrica dispone de clave de acceso WEP.
o No dispone de ninguna política de encriptación de los datos.

19
3.4 Conclusiones
Los equipos de la empresa no están excesivamente cargados de Software
pero se aprecia un grave problema en la seguridad Software.
Se dispone de antivirus pero éstos no están correctamente actualizados lo que
puede ser un grave problema de seguridad.
El Firewall usado en todos los equipos es el que trae por defecto el Sistema
Operativo Windows y aunque no sea un mal Software puede no ser el más
indicado para un entorno empresarial.
Dos de los tres equipos tienen instalada la versión Home edition del Sistema
Operativo Windows XP; puede ser mucho más útil disponer de la versión
Professional debido a sus características para conexiones en red.
El Router de acceso a la red está correctamente configurado en el sentido de
que dispone de una clave WEP para las conexiones inalámbricas pero sería
deseable algún método de encriptación de la información o que el Router no
asignara las direcciones IP automáticamente.
También se puede observar que todo el Software, y por lo tanto la información,
para la realización de las declaraciones a la Agencia Tributaria se encuentra
en un único equipo lo cual no es muy recomendable debido a que si ese
equipo falla se perderá toda la información relacionada con las últimas
declaraciones de Hacienda, las cuales deben ser guardadas durante un
periodo estipulado.

20
4. PLAN DE RECUPERACIÓN EXISTENTE
4.1 Introducción
En este apartado se determinará si la empresa cuenta con un plan de
recuperación adecuado en caso de producirse una pérdida accidental o
intencionada de los datos, especialmente los que puedan considerarse críticos
para su negocio.
4.2 Hardware de recuperación
Dentro de la empresa no disponen de Hardware específico de recuperación
para casos de pérdidas de equipamiento informático o pérdidas de
información accidental o intencionada.
4.3 Software de recuperación
Como en el caso del apartado anterior, dentro de la empresa no existe ningún
Software específicamente dedicado a la recuperación de información
perdida.
4.4 Recursos humanos
Dentro de la empresa no existe un responsable informático ni de seguridad
que controle las políticas a seguir para realizar copias de respaldo de la
información o en caso de pérdida de información para recuperarla.
Cuando surge algún problema relacionado con el equipamiento informático,
desde la empresa se contacta con el proveedor que suministró los equipos
para que revise los posibles problemas.
4.5 Estrategias de respaldo
Dentro de la empresa no existe ningún tipo de estrategias de respaldo para
evitar pérdidas importantes de información. Es un fallo muy importante de
seguridad pues ni siquiera se tienen copias de los archivos distribuidas en los
diferentes equipos con los que se cuenta por lo que un fallo en alguno de los
equipos podría resultar catastrófico pues se podría perder información valiosa
y que no fuera posible su recuperación.

21
5. ANÁLISIS DE RIESGOS
5.1 Introducción
En este apartado se va a realizar un análisis de riesgos completo de todo el
sistema informático de la empresa para ver las posibles amenazas que pueden
afectar a la empresa, las vulnerabilidades de ésta con respecto a las
amenazas y el impacto que estas amenazas pudieran tener en la empresa en
el caso de llegar a materializarse.
En este apartado se van a tratar los siguientes temas:
Activo: Algo de valor al que afecta una amenaza.
Actor: Quién o qué puede violar los requisitos de seguridad.
Amenaza: Actor cuya intrusión en el sistema puede provocar una
violación de los requisitos de seguridad de un activo (pérdida de
confidencialidad, pérdida de disponibilidad, destrucción, pérdida de
integridad,…). El motivo por que se produce una amenaza puede ser
accidental (por ejemplo un desastre natural) o intencionado (por
ejemplo una acción humana).
Impacto: Efecto que producirá una amenaza en el sistema si ésta llega
a hacerse realidad.
Vulnerabilidad: Debilidad del sistema, la cual propicia que una
amenaza se pueda hacer realidad.
Riesgo: Posibilidad de que una amenaza se materialice debido a una
vulnerabilidad del sistema sin corregir.

22
5.2 Identificación de las amenazas
Las amenazas se van a clasificar en función de la importancia que pueden
tener a la hora de afectar a la empresa en el caso de que ocurran.
Se van a clasificar las amenazas en tres niveles:
- Importancia Alta: Tendrían una repercusión muy alta dentro de la
empresa en el caso de producirse; son las amenazas que se deberán
evitarse a toda costa. Serán identificadas con una A.
- Importancia Media: Tendrían una repercusión importante aunque no
muy crítica dentro de la empresa en el caso de producirse; aunque no
resultan tan críticas como las clasificadas en Alta es conveniente tratar
de evitar que ocurran. Serán identificadas con una M.
- Importancia Baja: No tienen una repercusión muy importante dentro del
sistema y de la empresa. Es recomendable que no se produzcan pero
tampoco sería necesario establecer medidas concretas para evitar este
tipo de amenazas. Serán identificadas con una B.
Cada amenaza va a ser clasificada en 5 niveles de gravedad:
- Muy alta: Las pérdidas para la empresa son importantísimas e
irreparables.
- Alta: Las pérdidas para la empresa son muy importantes pero pueden
tener un remedio a medio-largo plazo.
- Media: Las pérdidas son importantes pero tienen una solución en corto
plazo.
- Baja: Se producen pérdidas mínimas sin gran impacto dentro de la
organización.
- Muy baja: No se producen pérdidas o éstas son insignificantes y no
afectan en prácticamente ningún grado a la organización.

23
5.2.1 Desastres naturales
Acciones climatológicas y por lo tanto incontrolables que pueden afectar al
sistema.
5.2.1.1 Tormentas y rayos
Una tormenta es una perturbación atmosférica violenta acompañada de
aparato eléctrico y viento fuerte, lluvia, nieve o granizo. [Web 1]
Un rayo es una chispa eléctrica de gran intensidad producida por descarga
entre dos nubes o entre una nube y la tierra [Web 1]
Las tormentas con alto contenido eléctrico pueden provocar picos de tensión
lo que puede provocar pérdidas de datos o daños irreparables en el
equipamiento eléctrico.
Impacto dentro de la empresa
En la zona geográfica donde se ubica la empresa son comunes las tormentas
en primavera y verano pero las tormentas eléctricas se producen en contadas
ocasiones. Por lo tanto es una amenaza que tendrá un impacto bajo en la
empresa y se podría englobar dentro de las amenazas de tipo B.
Impacto de la amenaza según su nivel:
Tipo A: Se daría en el caso de que impactara un rayo directamente en el
edificio donde se encuentra la empresa. Esto podría provocar un daño
estructural en el edificio, daños severos en el Hardware de la empresa y
ocasionalmente incendios.
La gravedad de la amenaza sería muy alta, pero la probabilidad de que se
llegue a materializar es baja.
Tipo M: Se daría en el caso en que la tormenta afectara directamente al
suministrador de servicios de la empresa, como por ejemplo el suministrador de
energía eléctrica, y que puede afectar al funcionamiento normal de la
empresa así como al funcionamiento de los equipos informáticos de ésta si los
problemas de la empresa suministradora son graves y los cortes del servicio se
prolongan demasiado en el tiempo.
La gravedad de la amenaza puede considerarse como media/alta, pero la
probabilidad de que se produzca es baja pues las empresas de servicios suelen
estar muy bien protegidas contra ese tipo de amenazas.

24
Tipo B: Se daría en el caso de cortes de electricidad de corta duración por
problemas de la instalación eléctrica del edificio debidos a la tormenta o por
problemas de las líneas de la empresa suministradora.
La gravedad de esta amenaza puede considerarse como media/baja y la
probabilidad de que ocurra es media pues es frecuente que puedan
producirse cortes intermitentes de luz durante una tormenta.
Medidas preventivas contra los impactos dentro de la empresa
- Instalación en el edificio de elementos de protección contra las
tormentas como por ejemplo pararrayos.
- Dispositivos de protección de las líneas eléctricas contra sobrecargas.
- Aplicación de medidas contra incendios.
- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) que
garanticen que los equipos no sufrirán un corte brusco de energía y que
realizarán un apagado ordenado.
- Políticas de Backup localizado fuera del edificio de la empresa.
5.2.1.2 Terremotos
Un terremoto es una sacudida del terreno ocasionada por el choque de las
placas tectónicas localizadas en la litosfera terrestre. [Web 1]
Los terremotos se miden según la escala de magnitud local o de Richter la cual
mide la intensidad de un terremoto según una escala que va desde -1,5 hasta
12.
Magnitud de Richter Referencia
-1,5 Rotura de una roca en
un laboratorio
1,0 Pequeña explosión en
un sitio en construcción
1,5 Bomba convencional de
la Segunda Guerra
Mundial
2,0 Explosión de un taque
de gas

25
2,5 Bombardeo a la ciudad
de Londres
3,0 Explosión de una planta
de gas
3,5 Explosión de una mina
4,0 Bomba atómica de baja
potencia
4,5 Tornado promedio
5,0 Terremoto de Albolote,
Granada (España). 1956
5,5 Terremoto de Little Skull
Mountain, Nevada
(EEUU). 1992
6,0 Terremoto de Double
Spring Flat, Nevada
(EEUU). 1994
6,5 Terremoto de
Nortbridge, California
(EEUU). 1994
7,0 Terremoto de Hyogo-Ken
Nambu, Japon. 1995
7,5 Terremoto de Landers,
California (EEUU). 1992
8,0 Terremoto de México.
1985
8,5 Terremoto de
Anchorage, Alaska
(EEUU). 1964
9,2 Terremoto del Océano
Indico. 2004
9,6 Terremoto de Valdivia,
Chile. 1960
10,0 Estimado para el

26
choque de un meteorito
de 2 km de diámetro a
25 km/s
12,0 Fractura de la tierra por
el centro
Tabla 3.1: Terremotos
Un terremoto de alta graduación en la escala de Richter puede producir
derrumbamientos de edificios así como cortes de electricidad o rotura de
material debido a caídas o golpes.
La zona donde se localiza la empresa es sísmicamente estable registrándose
movimientos sísmicos puntuales de poca intensidad. Por lo tanto es una
amenaza que tendrá un impacto bajo en la empresa y se podría englobar
dentro de las amenazas de tipo B.
Tipo A: Se daría en el caso de un seísmo de intensidad superior a 6 en la escala
de magnitud local y puede afectar a la estructura del edificio provocando
incluso su derrumbe en casos extremos o incendios. Puede provocar graves
daños en los equipos informáticos debidos a roturas y fuertes golpes.
La gravedad de la amenaza sería muy alta, aunque la probabilidad de que se
llegue a materializar es muy baja.
Tipo M: Se daría en el caso de un seísmo de intensidad igual a 5 o inferior. Los
daños serían inferiores a los producidos en el tipo A.
probabilidad de que se produzca es muy baja.
Tipo B: Seísmo inferior que puede ocasionar desalojos en los edificios y que
produciría una pérdida mínima de tiempo de trabajo.
La gravedad de esta amenaza puede considerarse como baja/muy baja y la
probabilidad de que ocurra es baja pues es en la zona no se dan terremotos lo
suficientemente intensos como para propiciar un desalojo de edificios.
Medidas preventivas contra los terremotos dentro de la empresa
La única medida posible para evitar los daños producidos por un terremoto es
la construcción de edificios con medidas antisísmicas.

27
5.2.1.3 Inundaciones
Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o
edificios. [Web 1]
Una inundación puede ser producida por un exceso de lluvias,
desbordamiento de ríos, rotura de presas, rotura de cañerías, exceso de
humedad…
Una inundación en la zona donde se encuentren los equipos informáticos
puede producir daños materiales en los equipos.
La zona donde se localiza la empresa no es propicia a que se produzcan
lluvias torrenciales y tampoco existe ninguna presa cerca.
Sí existe cerca del edificio donde se ubica la empresa un río y aunque se han
producido desbordamientos existen pocas posibilidades de que llegue a
desbordarse y que en tal caso que el agua llegue a las dependencias de la
empresa.
Sí podrían producirse inundaciones en la empresa debido a rotura de tuberías
o humedades excesivas que pueden dañar los equipos informáticos y producir
pérdida de datos e información crítica para la empresa.
Tipo A: Grave inundación, que anegaría todo el edificio y que afectaría a los
equipos de forma que se podrían perder datos críticos y se suspendería la
actividad de la empresa por un tiempo indefinido.
llegue a materializar es media/baja.
Tipo M: Inundación de una zona donde se encuentre equipamiento
informático con datos críticos para el funcionamiento de la empresa y que
produciría una pérdida parcial de información o de horas de trabajo.
probabilidad de que se produzca es media/baja.
Tipo B: Pequeñas inundaciones debidas a roturas de tuberías o filtraciones de
agua debido a humedades en las paredes y que pueden dañar algún equipo.
La gravedad de esta amenaza puede considerarse como media/alta y la
probabilidad de que ocurra es alta pues es relativamente fácil que ocurra
algún un problema en una tubería.

28
Medidas preventivas contra inundaciones dentro de la empresa
- Detectores y alarmas de humedad.
- Desagües en perfecto estado.
- Dispositivos de drenaje en falso techo o falso suelo.

29
5.2.2 Estructurales
Amenazas debidas a fallos en los elementos del edificio tales como cableado
eléctrico, conductos del aire acondicionado, elementos de comunicación…
[Web 1]
Pueden ser controlados y evitados.
5.2.2.1 Incendios
Fuego no controlado que puede ser extremadamente peligroso para los seres
vivos y las estructuras, produciendo además gases tóxicos.
Las causas de un incendio pueden ser diversas:
- Existencia de una fuente de ignición cercana a un material inflamable.
- Problemas en cuadros eléctricos.
- Cortocircuitos.
- Etc.
Un incendio puede dañar gravemente el equipamiento informático de la
empresa, pudiendo dejarlo completamente inservible, así como la
documentación existente en formato papel.
Un incendio que afecte a la empresa puede deberse a causas naturales,
accidentales o ser premeditado para infligir daño.
Tipo A: Gran incendio que afecte a todo el edificio donde está ubicada la
empresa. Un incendio de estas características podría dejar inutilizadas
completamente todas las instalaciones de la empresa así como destruir todo el
equipamiento informático y la información vital de ésta que se encuentre en
cualquier tipo de soporte, lo que podría producir la paralización total de la
actividad de la empresa por un periodo de tiempo muy largo si no se dispone
de una copia de Backup convenientemente actualizada y que no se
localizara en las instalaciones que han sido afectadas por el fuego.
llegue a materializar es media/alta debido a que si se produce un incendio de
estas características debido a un descuido o de una forma intencionada
puede resultar muy difícil para los equipos de extinción conseguir controlar un
fuego tan grande y evitar que no se produzcan daños graves en el edificio.

30
Tipo M: Incendio en una parte localizada del edificio que aunque no afecte
directamente a la empresa y a su equipamiento puede dificultar las labores
normales de trabajo dentro de la empresa durante un periodo de tiempo
medio (entre 3 y 6 meses).
La gravedad de la amenaza puede considerarse como media/alta, y la
probabilidad de que se produzca es media/alta aunque en este caso los
equipos de extinción tendrán mucho más fácil la labor de extinguir
rápidamente el fuego.
Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos
concretos. En el caso de disponer de copias de seguridad de esos equipos la
puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos
puede ser inmediata.
La gravedad de esta amenaza puede considerarse como media/alta porque
en el caso de que no se disponga de una copia de seguridad de los equipos
afectados se puede perder información valiosa. La probabilidad de que
ocurra es alta, pues es relativamente fácil que se produzca un cortocircuito
que provoque un fuego aunque como es centralizado sería de fácil y rápida
extinción.
Medidas preventivas contra incendios dentro de la empresa
- Detectores y alarmas de humos.
- Dispositivos automáticos de extinción de incendios.
- Revisiones periódicas de toda la instalación eléctrica.
- Revisiones de todas las obras y trabajos que se realicen en el entorno de
la empresa para evitar posibles accidentes debido al manejo de
materiales inflamables.
- Disponer de extintores repartidos por toda la empresa, especialmente
cerca de los equipos informáticos.

31
5.2.2.2 Cortes eléctricos
Corte temporal del suministro de energía eléctrica por parte de la compañía
suministradora. El corte puede ser de corta duración o puede llegar a ser de
varios días. [Web 1]
Un corte en la energía de alimentación de los equipos de la empresa puede
llegar a provocar daños irreparables en algunos equipos.
Las causas para que la compañía eléctrica corte el suministro eléctrico
pueden ser naturales o provocadas.
Tipo A: Corte eléctrico que se prolongue varios días. Afectará gravemente al
desarrollo normal de las actividades de la empresa durante un largo periodo
de tiempo.
La gravedad de la amenaza sería alta, aunque la probabilidad de que se
llegue a materializar es baja.
Tipo M: Corte eléctrico de menor duración que el de tipo A y que afectará al
desarrollo de las actividades de la empresa por un tiempo no superior a un
mes.
La gravedad de la amenaza puede considerarse como media, y la
probabilidad de que se produzca es baja.
Tipo B: Corte eléctrico de poca duración y que afectará al desarrollo de las
actividades de la empresa por 24 horas o menos.
La gravedad de esta amenaza puede considerarse como baja y la
probabilidad de que ocurra es media pues es relativamente fácil que se
produzca un pequeño corte en el suministro eléctrico debido, por ejemplo a
una sobrecarga en la red del suministrador.
Medidas preventivas contra cortes eléctricos dentro de la empresa
- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) que
garanticen que los equipos no sufrirán un corte brusco de energía y que
realizarán un apagado ordenado.

32
5.2.2.3 Agua
Corte temporal del suministro de agua por parte de la compañía
suministradora. El corte puede ser de corta duración o incluso de varios días.
En el caso de esta empresa ninguno de los equipos tiene instalada ningún tipo
de refrigeración mediante conductos de agua por lo que un corte en el
suministro de agua de la empresa no afectará en ninguna medida al
equipamiento informático de la misma.
Medidas preventivas contra cortes de agua dentro de la empresa
Puesto que el corte del suministro de agua no afecta en ningún modo al
equipamiento informático no será necesaria la implantación de ningún tipo de
medidas preventivas.
5.2.2.4 Refrigeración
Fallos en el normal funcionamiento de la maquinaria de climatización que
existe dentro de la empresa.
Los fallos pueden ser debido a cortes en el suministro eléctrico, fugas en los
aparatos de climatización, etc.
El equipamiento informático de la empresa no está funcionando a ritmo
completo las 24 horas del día por lo que no necesita unas condiciones
especiales en lo que se refiere a la temperatura ambiente.
Los equipos informáticos sólo deben estar en funcionamiento durante el
horario de trabajo, por lo que, incluso con temperaturas excesivamente
elevadas debidas a un fallo en el sistema de refrigeración, el correcto
funcionamiento de los equipos no se vería afectado, no es crítico que un
determinado puesto de trabajo deba ser desconectado durante un tiempo
para conseguir disminuir su temperatura y evitar fallos de Hardware.
Medidas preventivas contra cortes en la refrigeración dentro de la empresa
- Aunque no es necesario se podrían instalar en los equipos elementos de
ventilación más potentes para conseguir una mejora en su refrigeración.

33
5.2.2.5 Comunicaciones
Corte temporal en los sistemas de comunicación de la empresa debido a un
problema externo (puede deberse a un fallo de la compañía telefónica
suministradora). El corte puede ser de corta duración (un día) o más extenso
(varios días).
Las causas para que se produzca un fallo en las comunicaciones por
problemas de la compañía telefónica puede deberse a factores naturales o a
factores humanos.
Un fallo en el sistema de comunicaciones puede producir un grave trastorno a
la empresa, pues depende en gran medida de éstas para desarrollar su
negocio.
Debido a la naturaleza de la empresa puede no ser tan crítico un fallo en las
comunicaciones de los equipos informáticos como en las comunicaciones de
voz.
Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo.
Hasta el momento, en lo que lleva constituida la empresa (constituida en
febrero 2001), no se han producido este tipo de cortes, por lo que se supone
que no llegarán a producirse.
Tipo M: Corte en las comunicaciones durante varios días lo que puede retrasar
y complicar ligeramente las actuaciones de la empresa.
Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o
micro cortes durante un periodo corto de tiempo.
probabilidad de que ocurra es también baja.
Medidas preventivas contra cortes en las comunicaciones dentro de la
empresa
- Contratación de varias líneas con suministradores diferentes.
- Separación de líneas de datos y líneas de voz para que no se pierda el
servicio de las dos al mismo tiempo.

34
5.2.3 Hardware
Amenazas debidas a problemas en el equipamiento físico de la empresa.
Pueden ser controladas.
5.2.3.1 Fallo de servidores
Fallo temporal en alguno o todos de los servidores de la empresa.
El fallo puede deberse a un corte de la corriente eléctrica de los servidores, un
fallo humano de la gestión de los mismos, errores en el Hardware o en el
Software, etc.
La empresa no dispone de servidores puesto que cuenta únicamente con
estaciones de trabajo por lo que esta amenaza no requiere ser tenida en
cuenta.
Medidas preventivas contra fallos en los servidores de la empresa
Ninguna.
5.2.3.2 Fallo de estaciones PC
Fallo temporal en alguna o todas las estaciones de trabajo de que dispone la
empresa.
El fallo puede deberse a un corte de la corriente eléctrica de los equipos, un
Software, etc.
Fallos y pérdidas de servicio en los equipos de trabajo pueden afectar al
trabajo normal de la empresa pudiéndose perder datos vitales para el
correcto funcionamiento del negocio.
Un fallo en los equipos de trabajo puede ocasionar pérdidas de horas de
trabajo o algo mucho más grave, pérdidas de información crítica para el
correcto funcionamiento de la empresa.
Tipo A: Fallo en todos los equipos de trabajo de la empresa durante un periodo
de tiempo superior a una semana o pérdida de información almacenada en
esos equipos.

35
La gravedad de la amenaza puede considerarse como muy alta porque
perjudicará gravemente el negocio de la empresa, aunque la probabilidad de
que se produzca es baja.
Tipo M: Fallo en alguno de los equipos durante un tiempo inferior a una
semana, sin pérdida de ningún tipo de información crítica para la empresa.
Tipo B: Fallo en algún equipo durante un tiempo inferior a 24 horas o pequeños
fallos durante ese tiempo sin darse pérdida de información.
probabilidad de que ocurra es media/baja.
Medidas preventivas contra fallos en los equipos de la empresa
- Tener un sistema de Backup convenientemente actualizado para
prevenir la pérdida de información crítica.
- Tener contratado un buen sistema de servicio técnico que sea rápido a
la hora de reparar posibles fallos en los equipos del sistema.
- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) para evitar
posibles fallos de los equipos debidos a cortes de energía repentinos.
5.2.3.3 Fallo de portátiles
Fallo temporal en alguna o todas las estaciones de trabajo portátiles de que
dispone la empresa.
El fallo puede deberse a un corte de la corriente eléctrica de los equipos, un
Software, etc.
Fallos y pérdidas de servicio en los equipos de trabajo portátiles pueden
afectar al trabajo normal de la empresa pudiéndose perder datos vitales para
el correcto funcionamiento del negocio.
Un fallo en los equipos de trabajo portátiles puede ocasionar pérdidas de
horas de trabajo o algo mucho más grave, pérdidas de información crítica
para el correcto funcionamiento de la empresa.

36
Tipo A: Fallo en todos los equipos de trabajo portátiles de la empresa durante
un periodo de tiempo superior a una semana o pérdida de información
almacenada en esos equipos.
perjudicará gravemente el negocio de la empresa aunque la probabilidad de
que se produzca es baja.
Tipo M: Fallo en alguno de los equipos portátiles durante un tiempo inferior a
una semana pero no se da pérdida de ningún tipo de información crítica para
la empresa.
Tipo B: Fallo en algún equipo portátil durante un tiempo inferior a 24 horas o
pequeños fallos durante ese tiempo sin darse pérdida de información.
probabilidad de que ocurra es media/baja.
Medidas preventivas contra fallos en los equipos portátiles de la empresa
- Tener un sistema de Backup convenientemente actualizado para
prevenir la pérdida de información crítica.
- Tener contratado un buen sistema de servicio técnico rápido y eficaz a
la hora de reparar posibles fallos en los equipos del sistema.
- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) para evitar
posibles fallos de los equipos debidos a cortes de energía repentinos.

37
5.2.4 Software
Fallos debidos a amenazas que pueden afectar al Software que emplea la
empresa para desarrollar su actividad de negocio. Pueden ser evitados.
5.2.4.1 Errores en los SSOO
Errores internos de los Sistemas Operativos instalados en los equipos de los que
dispone la empresa.
El fallo se debe a errores de programación o a la no instalación de las
actualizaciones de seguridad que distribuye la empresa desarrolladora cada
cierto tiempo.
Un fallo en los Sistemas Operativos de la empresa puede provocar fallos en los
procesos informáticos de la empresa, retrasos en los procesos que dependan
del equipamiento informático, lo que constituiría un grave agujero en la
seguridad informática de la empresa.
Tipo A: Fallo en los Sistemas Operativos de todos los equipos informáticos de la
empresa durante un tiempo superior a un día.
perjudicará gravemente el negocio de la empresa debido, sobre todo, a que
pueden producirse importantes agujeros de seguridad, aunque la
probabilidad de que se produzca es baja, pues los Sistemas Operativos están
correctamente actualizados.
Tipo M: Fallo en el Sistema Operativo de algunos de los equipos informáticos
durante un tiempo máximo de un día.
La gravedad de la amenaza puede considerarse como media/alta, pues si
falla el equipo en el que se encuentra toda la información referente a la
Agencia Tributaria es un daño grave, pero si falla otro equipo con información
menos crítica no es tan importante. La probabilidad de que se produzca es
baja pues los Sistemas Operativos están correctamente actualizados.
Tipo B: Fallo en el Sistema Operativo de un equipo que no contenga
información muy crítica durante un periodo inferior a un día.
La gravedad de esta amenaza puede considerarse como baja puesto que si
el equipo no contiene información muy crítica para el correcto
funcionamiento de la empresa y el periodo del fallo es inferior a un día no

38
repercutirá excesivamente en el correcto funcionamiento de la empresa. La
probabilidad de que ocurra es baja, pues los Sistemas Operativos están
correctamente actualizados.
Medidas preventivas contra fallos el Sistemas Operativos de la empresa
- Disponer de Software original y garantizado por el distribuidor.
- Realizar las actualizaciones del Sistema Operativo que proporcione el
fabricante.
5.2.4.2 Errores en las Bases de Datos
Errores internos en las Bases de Datos instalados en los equipos de los que
dispone la empresa.
El fallo puede deberse a errores de programación de los programas que
trabajan con las Bases de Datos, fallos puntuales en alguna de las tablas o
fallos en la creación de las Bases de Datos.
La empresa no dispone de bases de datos; toda su información se guarda en
ficheros de texto almacenados en un directorio de las máquinas.
Por lo tanto esta amenaza no es aplicable.
Medidas preventivas contra fallos en las Bases de Datos de la empresa
Ninguna.
5.2.4.3 Errores en las aplicaciones
Errores internos en las diferentes aplicaciones instalados en los equipos de los
que dispone la empresa.
El fallo se debe a errores de programación o a la no instalación de las
actualizaciones que distribuye la empresa desarrolladora cada cierto tiempo.

39
Un fallo en las aplicaciones que se utilizan dentro la empresa puede provocar
problemas en el correcto funcionamiento de los procesos de la empresa.
Además de aplicaciones comerciales, dentro de la empresa también se usan
aplicaciones específicamente desarrolladas para ella, como por ejemplo
programas de contabilidad. Al no ser aplicaciones comerciales con gran
respaldo pueden producirse más fallos y, generar incluso problemas de
seguridad.
Tipo A: Fallo en aplicaciones consideradas críticas dentro la empresa durante
un tiempo superior a un día.
Aplicaciones críticas se pueden considerar por ejemplo las aplicaciones
desarrolladas a medida para la empresa y de las que es más complicado
recibir soporte, pero son muy importantes para el correcto desarrollo de los
procesos de negocio de la empresa.
perjudicará gravemente el negocio de la empresa debido a que muchas
aplicaciones están instaladas únicamente en un equipo y si fallan se perderá
su utilidad durante el tiempo de fallo. La probabilidad de que se produzca es
media/baja pues las aplicaciones comerciales están correctamente
actualizadas, pero las aplicaciones elaboradas a medida presentan un
mantenimiento más complicado.
Tipo M: Fallo en aplicaciones consideradas críticas dentro de la empresa
La gravedad de la amenaza puede considerarse como alta pues aunque el
tiempo de fallo de la aplicación no sea extenso, puede perjudicar al correcto
funcionamiento de la empresa. La probabilidad de que se produzca es
media/baja, como se ha comentado en el tipo A, las aplicaciones
comerciales están correctamente actualizadas, pero las aplicaciones
elaboradas a medida tienen un mantenimiento más complicado.
Tipo B: Fallo en aplicaciones no críticas, es decir, que no afecten al desarrollo
normal de los procesos de la empresa durante un periodo inferior a un día.
La gravedad de esta amenaza puede considerarse como baja puesto que si
el fallo se da en aplicaciones no críticas, o que están instaladas en varios
equipos no se alterarán los procesos de la empresa. La probabilidad de que
ocurra es baja pues las aplicaciones no críticas son las comerciales y están
correctamente actualizadas e instaladas en más de un equipo.

40
Medidas preventivas contra fallos en las aplicaciones de la empresa
- Disponer de Software original y garantizado por el distribuidor.
- Realizar las actualizaciones del Software que proporcione el fabricante.
- En el caso de Software a medida se deberá acordar con el desarrollador
un plan de mantenimiento ante cualquier circunstancia.
5.2.4.4 Errores en los elementos de seguridad
Errores en los elementos de seguridad que dispone la empresa, puede tratarse
de errores Software tales como fallo de antivirus o firewall, o errores en los
elementos físicos tales como fallo de las alarmas, etc.
Los fallos en los elementos de seguridad pueden deberse a fallos en las
actualizaciones de los antivirus o, por ejemplo, cortes de suministro eléctrico
que afecten al correcto funcionamiento de la alarma.
Un fallo en las medidas de seguridad dentro la empresa puede provocar
graves problemas en el correcto funcionamiento de los procesos de la
empresa, así como pérdidas de información importante.
Tipo A: Fallo en las medidas de seguridad Hardware o Software de la empresa
durante un tiempo superior a un día.
La gravedad de la amenaza puede considerarse como muy alta, porque un
fallo grave en las medidas de seguridad de la empresa perjudicará
gravemente el negocio de ésta. También pueden producirse robos que
afecten económicamente a la empresa. La probabilidad de que se produzca
es media/baja, pues las medidas de seguridad física están en correcto
funcionamiento, pero las medidas Software no tienen un control adecuado
sobre su actividad.
Tipo M: Fallo en las medidas de seguridad Hardware o Software de la empresa
La gravedad de la amenaza puede considerarse como alta pues aunque el
tiempo de fallo de la seguridad no sea extenso, compromete seriamente a la
empresa. La probabilidad de que se produzca es media/baja pues como se
ha comentado en el tipo A las medidas de seguridad física están en correcto
funcionamiento, pero las medidas Software no tienen un control adecuado
sobre su actividad.
Tipo B: Fallos de seguridad leves durante un periodo inferior a un día.

41
Fallos de seguridad leves se puede considerar que el antivirus deje de
funcionar durante una hora, un corte eléctrico breve que afecte a la alarma,
etc.
La gravedad de esta amenaza puede considerarse como media/baja puesto
que aunque el fallo de elementos de seguridad es grave, si estos sistemas
están sin funcionamiento un tiempo mínimo el impacto en la empresa no será
grave. La probabilidad de que ocurra es media/alta ya que pequeños errores,
como el fallo temporal de un antivirus suelen ser frecuente.
Medidas preventivas contra fallos en los elementos de seguridad de la
empresa
- Controlar que las medidas de seguridad Software estén continuamente
funcionando y correctamente actualizadas.
- Revisión periódica de los elementos de seguridad física para comprobar
su correcto funcionamiento.

42
5.2.5 Red LAN y WAN
Fallos debidos a amenazas que pueden afectar a las comunicaciones tanto
internas como externas de la empresa.
5.2.5.1 Red interna
Fallos en las comunicaciones de la red interna debidos a caídas temporales de
ésta.
Las caídas en la red interna pueden deberse a fallos en el Router que da
servicio a la red, problemas con el cableado o el emisor inalámbrico.
Dentro de la empresa no existe una infraestructura de red interna, las únicas
comunicaciones de red que existen son hacia el exterior por lo tanto los fallos
en la red interna no tienen ningún tipo de impacto dentro de la empresa.
Medidas preventivas contra fallos en la red interna de la empresa
Ninguna.
5.2.5.2 Sistemas de seguridad de las comunicaciones
Errores en los sistemas que aseguran que las comunicaciones de la empresa se
van a poder realizar sin problemas y además no existen terceras personas
ajenas a la organización que intercepten esas comunicaciones.
Los fallos en los sistemas de seguridad pueden deberse a fallos en las
actualizaciones de los antivirus, sobre todo en los antispyware y firewalls que no
detecten intrusos en la red o fallos en el acceso al Router de comunicaciones y
un intruso pueda modificar la configuración del mismo e impedir que se
realicen las comunicaciones correctamente o interceptar las mismas.
Un fallo en los sistemas de seguridad en las comunicaciones de la empresa
puede provocar graves problemas de seguridad y cortes en las
comunicaciones lo que puede producir, desde pérdidas importantes de
información a la imposibilidad de comunicar la empresa con el exterior, al
menos, vía Web.

43
Tipo A: Fallo en los sistemas anti intrusos de la red lo que provoca un agujero de
seguridad del que se aprovecha alguien ajeno a la organización para
introducirse en el sistema, inutilizar los sistemas de comunicación hacia el
exterior (inutilizar el Router de comunicación) y, potencialmente, puede
provocar una pérdida de información crítica para el negocio de la empresa.
La gravedad de la amenaza puede considerarse como muy alta porque un
fallo de este tipo en las medidas de seguridad de la empresa provocaría un
grave perjuicio en el negocio de ésta, no tanto por la imposibilidad de
comunicarse con el exterior como por la pérdida de información valiosa. La
probabilidad de que se produzca es media pues dentro de la empresa se
tienen adecuadamente instaladas medidas anti intrusos pero no se presta
demasiada atención a su mantenimiento y actualización.
Tipo M: No se contempla este tipo para esta amenaza.
Tipo B: Fallo de las medidas de seguridad de acceso al Router de la empresa
lo que puede provocar que alguien ajeno a la empresa intente colarse en la
configuración del Router y la cambie para impedir el acceso desde dentro de
la empresa al exterior.
La gravedad de esta amenaza puede considerarse como baja pues aunque
se produjera la situación no se producirían daños importantes en los procesos
de la empresa por el hecho de no poder comunicarse con el exterior vía Web.
Por otra parte la amenaza es fácilmente solucionable, pues basta con realizar
un reinicio del Router para que vuelva a su configuración inicial y pueda ser
nuevamente configurado con las características necesarias de la
organización.
La probabilidad de que ocurra es baja pues el acceso al Router está
perfectamente protegido mediante contraseñas.
Medidas preventivas contra fallos en los sistemas de seguridad de las
comunicaciones de la empresa
- Mantener correctamente actualizados los sistemas de seguridad para
que detecten, eviten e informen de posibles ataques externos e internos
a nuestro sistema.

44
5.2.5.3 Redes públicas ajenas
Fallos de la empresa suministradora de servicios de red y que provoquen una
pérdida en los servicios de conexión de la organización hacia el exterior.
Los fallos en el servicio de comunicaciones de la empresa son debidos a fallos
de la empresa suministradora y, por tanto, completamente ajenos a la
empresa.
Un fallo en el servicio de comunicaciones de la empresa puede provocar
algún retraso en alguno de los procesos de la empresa pero debido a la
naturaleza de la misma, en ningún momento este tipo de fallos afectarán
gravemente a sus negocios.
Tipo A: Fallo en los sistemas de comunicación informática durante un tiempo
superior a cuarenta y ocho horas.
La gravedad de la amenaza puede considerarse como media/baja porque
un fallo en las comunicaciones informáticas no afectará especialmente a la
empresa salvo que el fallo se produzca en épocas del año determinadas, en
las que por ejemplo debido al fallo en las comunicaciones se imposibilite el
envió de la documentación a la Agencia Tributaria vía Web desde la
organización. La probabilidad de que se produzca es baja.
Tipo M: Fallo en los sistemas de comunicación informática durante un tiempo
no superior a veinticuatro horas.
La gravedad de la amenaza puede considerarse como media/baja porque
igual que ocurre en el tipo A, un fallo en las comunicaciones informáticas no
afectará especialmente a la empresa, salvo que el fallo se produzca en
épocas del año determinadas, en las que, por ejemplo, debido al fallo en las
comunicaciones se imposibilite el envió de la documentación a la Agencia
Tributaria vía Web desde la organización. La probabilidad de que se produzca
es baja.
Tipo B: Fallo en los sistemas de comunicación intermitentes durante un periodo
inferior a un día.
La gravedad de esta amenaza puede considerarse como baja puesto que
cortes intermitentes en las comunicaciones no afectan en ninguna forma a los
procesos realizados en la empresa. La probabilidad de que ocurra es
media/baja pues debido a problemas del suministrador es frecuente sufrir
cortes leves de servicio a lo largo de un día.

45
Medidas preventivas contra fallos de las redes públicas ajenas a la empresa
- Contratar con la empresa suministradora un servicio de mantenimiento
que asegure una rápida reparación en caso de pérdida del servicio.
- En el caso de que fuera necesario disponer siempre de un servicio de
conexión, contratar una línea adicional con otra compañía para evitar
pérdidas de servicio.

46
5.2.6 Copias de seguridad
Problemas en los soportes de Backup que tengan como consecuencia el daño
o la pérdida de la información que ha sido duplicada en esos soportes de
copias de seguridad.
5.2.6.1 Fallos en soportes de copias de seguridad
Fallos en los soportes donde han sido almacenadas copias de seguridad,
debido a los cuales se produce un daño o una pérdida de información útil
para el negocio de la empresa.
Los fallos en los soportes de Backup pueden ser debidos a fallos de
fabricación, a un mal almacenamiento o simplemente un fallo del soporte.
Dentro de la empresa no existen políticas de Backup, por lo tanto no se
dispone de soportes de copias de seguridad. Por lo que esta amenaza no
tiene ningún tipo de impacto dentro de la empresa.
Medidas preventivas contra fallos en los soportes de copias de seguridad de la
empresa
Ninguna.

47
5.2.7 Información
Qué problemas pueden afectar a la información almacenada dentro de la
empresa, la cual es valiosa para llevar a cabo los procesos de negocio.
5.2.7.1 Ficheros
Fallos o pérdidas de los ficheros donde se almacena la información valiosa de
la empresa.
Los problemas con los ficheros pueden ser debidos a una mala gestión de los
mismos, a fallos en los equipos donde están almacenados los ficheros, etc.
Debido a la no existencia de Bases de Datos dentro de la empresa, toda la
información se encuentra almacenada en ficheros, por lo tanto si se producen
fallos en ficheros con información, los cuales no se encuentran replicados, los
problemas para la empresa pueden ser muy graves.
Tipo A: Pérdida de ficheros con información muy crítica sobre los negocios que
mantiene la empresa.
La gravedad de la amenaza puede considerarse como muy alta debido a
que la información no está replicada en ningún otro equipo, ni generalmente,
en ningún otro soporte, la pérdida del fichero es irreparable. La probabilidad
de que se produzca es media debido a que, generalmente, dentro de la
empresa únicamente se cuenta con una copia de cada fichero almacenado.
Tipo M: Pérdida temporal (no superior a cuarenta y ocho horas) del acceso a
ficheros con información crítica para la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que
puede afectar al retraso de alguna de las operaciones de la empresa si no
puede acceder momentáneamente a información importante. La
probabilidad de que se produzca es media.
Tipo B: Pérdida temporal (no superior a veinticuatro horas) del acceso a
ficheros sin demasiada importancia para los negocios de la empresa.
La gravedad de esta amenaza puede considerarse como baja puesto que la
importancia de la información almacenada en esos ficheros no es extremada
y no repercutiría en el correcto funcionamiento de la empresa. La
probabilidad de que ocurra es media.

48
Medidas preventivas contra fallos en los ficheros de la empresa
- Tener copias de seguridad de los ficheros importantes en diferentes
soportes.
- El uso de bases de datos centralizadas en un equipo independiente de
los que usan los empleados habitualmente favorecería la posibilidad de
que aunque se den fallos en un equipo no se pierda información
importante.
5.2.7.2 Procedimientos de seguridad de la información
Fallos en los procedimientos de seguridad para salvaguardar la información y
evitar daños o pérdidas.
Los fallos en los procedimientos de seguridad generalmente son debidos a una
aplicación incorrecta de los mismos.
Dentro de la empresa no se dispone de procedimientos de seguridad para la
información por lo tanto esta amenaza no es aplicable.
Medidas preventivas contra fallos en los procedimientos de seguridad de la
información de la empresa
Ninguna.
5.2.7.3 Planes de contingencia
Fallos en los planes de contingencia ideados para salvaguardar la información
y evitar daños o pérdidas.
Los fallos en los planes de contingencia generalmente son debidos a una
aplicación incorrecta de los mismos.
Dentro de la empresa no se dispone de un plan de contingencia para la
información por lo tanto esta amenaza no es aplicable.
Medidas preventivas contra fallos en los planes de contingencia de la empresa
Ninguna.

49
5.2.8 Personal
La mayoría de los ataques informáticos a una empresa provienen desde
dentro de la misma perpetrados por sus propios empleados. Es importante
contar con estrategias de control de los empleados, así como de las acciones
que realizan en el sistema.
5.2.8.1 Errores y ataques de personal interno
El personal que trabaja en la empresa puede provocar fallos en los sistemas de
la empresa o pérdidas de información debido a falta de formación, falta de
conocimiento, mala intencionalidad…
La empresa únicamente cuenta con dos empleados los cuales tienen
participación dentro de la empresa por lo que ninguno de ellos va a atentar
intencionadamente contra su propia empresa. Por ello esta amenaza no es
aplicable.
Medidas preventivas contra fallos del personal de la empresa
Ninguna.
5.2.8.2 Errores y ataques de personal externo
Personas ajenas a la empresa pueden querer dañarla por algún motivo por lo
que es necesario preparar a la organización para evitar ataques externos a sus
sistemas.
Los ataques externos pueden provenir de ex empleados descontentos,
personas que desean obtener información confidencial para su propio
beneficio, etc.
Existe la posibilidad de que personal ajeno a la empresa desee hacerse con
información confidencial de ella para usarla en su propio beneficio.
En el mundo en el que realiza sus operaciones la empresa, la información es un
activo muy importante y una posible pérdida de esa información a favor de
otra empresa puede suponer la pérdida de varios millones de Euros.

50
Tipo A: Acceso al sistema de la empresa y pérdida de información de la
operación en marcha, la cual es crucial para una buena finalización del
negocio para la empresa.
que la información sustraída es de máxima utilidad para la empresa. La
probabilidad de que se produzca es baja debido a que la empresa cuenta
con las medidas de protección necesarias para que su información este
protegida.
Tipo M: Acceso a los sistemas de la empresa y pérdida de información de
negocios ya concluidos por la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que a
pesar de que el negocio ya ha sido finalizado la información del mismo es un
importante activo para futuros negocios. La probabilidad de que se produzca
es baja debido a que la empresa cuenta con las medidas de protección
necesarias para que su información este protegida.
Tipo B: Acceso a los sistemas de la empresa y pérdida de información de poca
importancia para la empresa.
importancia de la información perdida no es de gran importancia por lo que
no tendrá ningún efecto negativo en la empresa. La probabilidad de que se
produzca es baja debido a que la empresa cuenta con las medidas de
protección necesarias para que su información este protegida.
Medidas preventivas contra los ataques de personal externo a la empresa
soportes.
- Ser especialmente cuidadosos con la información crítica de los negocios
y que ésta nunca esté fácilmente al alcance.

51
5.2.9 Riesgos contra el patrimonio
5.2.9.1 Robo
Cualquier empresa puede ser objetivo de un robo debido a que en sus
dependencias suelen tener material valioso e incluso dinero.
Al igual que cualquier otra empresa o domicilio particular está expuesta a
intentos de robos que pueden provocar la pérdida de equipamiento
informático, documentación importante, etc.
Tipo A: Robo de activos de la empresa en el cual son sustraídos equipamientos
y documentos en los que se almacenaba información importante para el
negocio de la empresa.
que la información sustraída es de máxima utilidad para la empresa. La
con las medidas de protección necesarias contra robos.
Tipo M: Robo de activos de la empresa en el cual son sustraídos equipamiento
y documentación con información que, aun siendo importante, no es crucial
para llevar a cabo correctamente el negocio de la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que, a
pesar de que la información sustraída no es crítica, sí es muy importante y
puede llegar a causar algún prejuicio la falta de esa información o equipo. La
con las medidas de protección necesarias contra robos.
Tipo B: Robo de activos de la empresa en el cual son sustraídos equipamiento y
documentación con información irrelevante para los negocios de la empresa.
importancia de la información perdida no es importante para llevar a cabo los
negocios de la empresa. La probabilidad de que se produzca es baja debido
a que la empresa cuenta con las medidas de protección necesarias contra
robos.

52
Medidas preventivas contra robos a la empresa
soportes.
- Tener siempre conectada la alarma de la empresa cuando no se
encuentre nadie dentro de la oficina.
5.2.9.2 Pérdida no intencionada de activos
A pesar de que en todas las empresas intentan proteger al máximo sus activos,
éstos pueden estar en peligro debido a fallos no intencionados del personal.
Estas pérdidas pueden acarrear a la empresa muchos gastos en reponer los
activos perdidos e incluso pérdidas irreemplazables.
Puesto que los dos únicos empleados de la empresa son socios de la misma,
no tendrán interés en que se pierdan activos importantes para su negocio, sin
embargo, a pesar del empeño que pueden poner dichos empleados en
evitar el extravío de sus activos, siempre ocurren accidentes que pueden
producir su pérdida.
Tipo A: Pérdida no intencionada de activos muy críticos para la empresa
debido a fallos del personal.
que los activos perdidos tienen una gran importancia para la empresa. La
probabilidad de que se produzca es baja debido a que los empleados de la
empresa ponen especial cuidado en la información más importante de su
negocio.
Tipo M: Pérdida no intencionada de activos importantes para la empresa pero
que no llegan a ser críticos para el desarrollo de su negocio.
pesar de que los activos son importantes para la empresa no se corre un riesgo
extremo con su pérdida. La probabilidad de que se produzca es baja debido
a que los empleados de la empresa ponen especial cuidado en la
información importante de su negocio.
Tipo B: Pérdida de activos no importantes para la empresa debido a fallos del
personal.

53
La gravedad de esta amenaza puede considerarse como baja, puesto que la
importancia de la información perdida no es importante para llevar a cabo los
negocios de la empresa. La probabilidad de que se produzca es baja debido
a que los empleados de la empresa ponen especial cuidado en la
información de su negocio.
Medidas preventivas contra pérdidas no intencionadas de activos de la
empresa
soportes.
- Tener siempre mucho cuidado con la información que se trabaja para
que no se produzcan pérdidas.

54
5.2.10 Legislación
La información que manejan las empresas está sujeta al cumplimiento de las
actuales leyes nacionales y europeas sobre la protección de datos de
carácter personal. [Web 8]
En España la Agencia de Protección de Datos se encarga de velar para que
se cumplan las diferentes leyes que conciernen a los datos que manejan las
empresas.
Algunas de las leyes que afectan a los datos manejados por las organizaciones
son:
- Ley Orgánica de Protección de Datos: ley aprobada en el año 1999 y
actualizada en el año 2008. Todas las empresas han de declarar sus
ficheros que contengan datos personales ante la AGPD.
La ley contempla tres niveles de seguridad de los datos y duras
sanciones dependiendo del grado de incumplimiento de la ley.
- Ley de Servicios de la Sociedad de la Información y del Comercio
Electrónico: establece la regulación para la realización de actividades
comerciales en Internet así como la distribución de correo electrónico
con carácter comercial.
La empresa, debido a su actividad, no debe someterse a la LSSI-CE puesto que
no actúa en Internet.
La LOPD sí afecta a la organización; en la empresa trabajan dos empleados
por lo que sus datos personales y fiscales están sometidos al nivel bajo de la
LOPD y deben ser protegidos y declarados ante la AGPD.

55
5.2.11 Otros riesgos
Existen otro tipo de riesgos que son ajenos a la empresa, pero que aun así
pueden afectar a su correcto funcionamiento.
5.2.11.1 Terrorismo
Los actos de terrorismo son actos de violencia para infundir terror. [Web 1]
En el mundo actual el terrorismo se está convirtiendo en una de las grandes
amenazas para todo el conjunto de la sociedad.
Valladolid, ciudad donde se ubica la empresa, no ha sido históricamente
objetivo de grandes atentados terroristas como puede haber sido Madrid pero
sin embargo sí se ha perpetrado alguno y en especial dirigido a negocios,
sobre todo de hostelería, de la ciudad.
Tipo A: Destrucción completa del edificio donde se localiza la sede de la
empresa debido a un atentado terrorista con la consiguiente pérdida de todos
los activos de la empresa que estuvieran ubicados allí.
que se perderán todos los activos más importantes de la empresa. La hipótesis
de que se produzca es baja debido a que existen pocas probabilidades de
que se lleve a cabo un atentado de esa magnitud en Valladolid.
Tipo M: Atentado terrorista que afecte a parte del edificio e impida el acceso
a la empresa durante un tiempo no superior a 1 mes.
paralizaría parte de la actividad de la empresa durante el tiempo que no se
pudiera acceder a su sede. La hipótesis de que se produzca es baja debido a
que existen pocas probabilidades de que se lleve a cabo un atentado de esa
magnitud en Valladolid.
Tipo B: Atentado terrorista que afecte a parte del edificio e impida el acceso a
la empresa durante un tiempo no superior a 1 semana.
La gravedad de esta amenaza puede considerarse como media/baja puesto
que podría paralizar parte de la actividad de la empresa durante el tiempo
que no se pueda acceder a su sede. La probabilidad de que se produzca es
media/baja.

56
Medidas preventivas contra riesgo de ataques terroristas
- Políticas de Backup localizado fuera del edificio de la empresa.
- La única medida contra actos terroristas es la lucha de los cuerpos de
seguridad del estado.
5.2.11.2 Imagen de empresa
Su imagen es uno de los activos más importantes que tiene una empresa, si por
alguna razón la imagen de una empresa resulta dañada, puede conllevar
pérdidas millonarias para ella.
Una pérdida de imagen puede deberse a diversas causas como pueden ser
pérdidas graves de información por parte de la empresa, problemas en
negocios, publicidad inadecuada, etc.
El mundo empresarial en el que desarrolla su actividad la empresa es un sector
en el que todas las empresas se conocen entre sí, pero el “público” general no
suele reconocer.
En el mundo inmobiliario la imagen de empresa la forman más los negocios
que realizas o los activos inmobiliarios que posees.
Centrándose en el tema informático, una posible pérdida de información de la
empresa no afectaría excesivamente a su imagen por lo tanto esta amenaza
no es aplicable.
Medidas preventivas contra pérdidas de imagen de la empresa
Ninguna.

universidad pontificia comillas

universidad pontificia comillas

Recomendados

Recomendados

Más contenido relacionado

Similar a universidad pontificia comillas

Similar a universidad pontificia comillas (20)

Último

Último (20)

universidad pontificia comillas