- Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades.
Trabajas en una auditoria de seguridad
informática. Llega un nuevo cliente que desea
conocer la situación de su empresa y si es aceptable o podría mejorar. Durante
la entrevista tomas notas. Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?
·
El edificio tiene un servicio de vigilancia a
través de una empresa externa. Por reducción del presupuesto, ahora solo hay un
vigilante que también atiende el edificio del otro lado de la calle.
Falta personal de seguridad, el numero de personal de seguridad deberá ser en función al tamaño de las instalaciones de manera que no queden puntos muertos.
• El
CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de
la centralita a partir de las 3, cuando termina el turno del recepcionista.
Es preferible que la seguridad dependa de una sola compañía para mayor seguridad y evitar conflictos. En el caso del vigilante del CPD debe dedicarse únicamente a su función por lo que se debe asignar la centralita a un trabajador correspondiente a esa función.
• Para
entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una
en el cajón de la mesa del vigilante para el personal de limpieza o por si
ocurre una emergencia.
Este caso es un riego para el CPD. La entrada al CPD debe estar restringida lo máximo posible, en caso de una tarjeta de seguridad esta debe estar en un lugar bien protegido fuera del alcance de personal no autorizado.
• Una
vez a la semana se hace la copia de seguridad. Como solo disponen de un
dispositivo de cinta, los cuatro servidores se reparten cada semana del mes.
Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la
sala, cada una encima de su servidor (cada servidor tiene una cinta en
exclusiva).
Las copias de seguridad deberían hacerse de todos los servidores, una vez al día a una hora fija establecida. las cintas deben tener su propio armario para almacenarlos ordenadamente.
• El
edificio pertenece al patrimonio histórico y no admite reformas en la fachada.
Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD.
Para combatir el calor que desprenden los ordenadores, las ventanas están
siempre abiertas.
En este caso debería proponerse a la empresa si dispone de fondos y si el lugar lo permite, trasladar el lugar del CPD a una zona cercana que cumpla las características optimas para su funcionamiento, seguridad y mantenimiento.
• Cada
servidor tiene un disco duro de alta gama, que no ha fallado nunca.
Es mas seguro añadir otro disco duro en espejo por si el primero se estropea tener otro de repuesto.
• Los
servidores tienen doble fuente de alimentación, por si se estropea alguna.
Para una mayor seguridad deberían usarse SAIS e incluso un sistema de baterías en caso de apagón, estas deben proporcionar tiempo para el arreglo del apagón o para el guardado de los datos en caso que no sea posible el arreglo inmediato.
• El
presidente y el contable tienen cada uno un portátil de la empresa. El disco
duro de estas máquinas no está cifrado porque no se arriesgan al desastre que
supondría olvidar la contraseña.
Estos equipos deben ser cifrados e incluir un sistema de contraseñas que permita restablecer en caso de olvido de forma segura.
• Los
ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando
necesitan realizar alguna instalación o modificar un parámetro del sistema
operativo. Los empleados saben cuándo deben usar cada uno.
En este caso propondría la instalación de dos SO en distinto disco duro para cada equipo con su respectiva función.
Se debe implementar un único antivirus para todos los equipos. Este debe tener licencia legal y deberá estar siempre actualizado.
El sistema debe estar siempre actualizado para evitar agujeros de seguridad.
2.
Asegurar
la privacidad de la información transmitida en redes informáticas describiendo
vulnerabilidades e instalando software específico.
Al día
siguiente continúa la entrevista tomas nuevas notas, tras terminar la
entrevista:
¿Encuentras
algo que mejorar? ¿Qué le puedes proponer?
• Hay una red wifi en la oficina que permite
entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que
los clientes puedan utilizarla con total comodidad.
Es necesario proteger el acceso a la red. Deberá establecerse una contraseña segura y a ser posible hacer filtrado de MAC.
• La mayoría de los ordenadores utilizan
Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no
puede afrontar la compra de nuevas licencias, están utilizando software pirata.
El software pirata no es legal y origina agujeros de seguridad por lo que es necesario la compra de licencias legales con su servicio técnico correspondiente.
• En cuanto al antivirus, cada empleado pone el
que más le gusta y se los pasan entre ellos mediante dispositivos USB.
Se debe implementar un único antivirus para todos los equipos. Este debe tener licencia legal y deberá estar siempre actualizado.
• Los ordenadores que hacen de servidores
tienen activadas las actualizaciones automáticas de todas las aplicaciones y el
sistema operativo, pero en los ordenadores de empleados no se hace porque han
visto que se satura la conexión a Internet.
El sistema debe estar siempre actualizado para evitar agujeros de seguridad.
• La mayoría de los equipos de red son switch y
routers, pero algunos despachos todavía tienen hubs porque son fiables y el
ancho de banda es suficiente.
Se recomienda usar equipos actuales que puedan dar alto rendimiento y favorezcan al funcionamiento de la red.
• Para entrar a la red desde Internet utilizan
Hamachi, un servicio gratuito y muy sencillo de instalar.
Es necesario estar seguro de que este sistema es eficaz y seguro al 100%. En caso contrario se deberá buscar un sistema similar que de mejor rendimiento y seguridad.
• El servidor web está instalado sobre una
máquina con sistema operativo Linux Ubuntu Server 9.04.
Es recomendable usar SO actuales siempre que este proporcione mas seguridad y rendimiento que el anterior.
Si, para una mayor seguridad y gestión legal de estos datos.
Para este fichero es necesario un nivel de seguridad básico.
Pérdida de información.
Venta de información a terceros.
Uso indebido de la información.
Edición de datos personales sin consentimiento.
3.
Reconocer la legislación y normativa sobre seguridad y protección de datos
analizando las repercusiones de su incumplimiento
Como te encuentras un poco pez sobre
la LOPD, decides buscar información sobre distintos conceptos que te suena que
están relacionados y sobre cuestiones que te surgen sobre el tema.
Sobre este tema,
prepara una presentación y exponla al resto de tus compañeros.
Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoria. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.
o
¿Crees
que tendría que haber solicitado a la Agencia de Protección de Datos la
creación del fichero que contiene los datos?
o
¿Qué
nivel de seguridad requerirá el fichero?
o
¿Qué
medidas de seguridad requiere este nivel?
Protección del fichero, copia de seguridad y acceso restringido a esta información.
o
Haz un
listado de las infracciones que podrían cometerse con respecto al fichero y
destaca cuáles de ellas supondrían una sanción mayor.
Venta de información a terceros.
Uso indebido de la información.
Edición de datos personales sin consentimiento.
espero que les sea de utilidad
ResponderEliminar