23-2-2017

Proyecto 1 2ºSMR

Laura Sánchez León CIUDAD DE LOS MUCHACHOS

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 1 DE 5

Índice RA: APLICAR MEDIDAS DE SEGURIDAD PASIVA EN SISTEMAS INFORMÁTICOS DESCRIBIENDO

CARACTERÍSTICAS DE ENTORNOS Y RELACIONÁNDOLAS CON SUS NECESIDADES ....................... 2

1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea

conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o

podría mejorar. Durante la entrevista tomas las siguientes ..................................................... 2

• El edificio tiene un servicio de vigilancia a través de una empresa externa. Por

reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del

otro lado de la calle. .............................................................................................................. 2

RA: ASEGURAR LA PRIVACIDAD DE LA INFORMACIÓN TRANSMITIDA EN REDES INFORMÁTICAS

DESCRIBIENDO VULNERABILIDADES E INSTALANDO SOFTWARE ESPECÍFICO ................................. 3

2. Al día siguiente continúa la entrevista. Tus nuevas notas son: ......................................... 3

3. Vas a completar tu informe con una demo en la que le harás ver al cliente cómo se

pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la práctica

de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de

sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos

máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 2

(máquina vulnerable). ............................................................................................................... 4

Realiza una memoria con los pasos que has realizado, incluyendo capturas. ....................... 4

5. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y

último día de auditoría. Tus notas son las siguientes: .............................................................. 4

La empresa recoge datos de las personas que solicitan información acerca de las

promociones que tiene actualmente. El objetivo es poder enviarles información sobre

futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico.

Una secretaria introduce los datos en una hoja Excel en su ordenador................................... 4

o ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la

creación del fichero que contiene los datos? ....................................................................... 4

o ¿Qué nivel de seguridad requerirá el fichero? .............................................................. 4

o ¿Qué medidas de seguridad requiere este nivel? ......................................................... 4

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 2 DE 5

RA: Aplicar medidas de seguridad pasiva en sistemas informáticos

describiendo características de entornos y relacionándolas con sus

necesidades

1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea

conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable

o podría mejorar. Durante la entrevista tomas las siguientes

• El edificio tiene un servicio de vigilancia a través de una empresa externa. Por

reducción del presupuesto, ahora solo hay un vigilante que también atiende

el edificio del otro lado de la calle.

• El CPD tiene otro vigilante, de otra compañía, que también atiende el

teléfono de la centralita a partir de las 3, cuando termina el turno del

recepcionista.

• Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay

una en el cajón de la mesa del vigilante para el personal de limpieza o por si

ocurre una emergencia.

• Una vez a la semana se hace la copia de seguridad. Como solo disponen de

un dispositivo de cinta, los cuatro servidores se reparten cada semana del

mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de

la sala, cada una encima de su servidor (cada servidor tiene una cinta en

exclusiva).

• El edificio pertenece al patrimonio histórico y no admite reformas en la

fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado

en el CPD. Para combatir el calor que desprenden los ordenadores, las

ventanas están siempre abiertas.

• Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.

• Los servidores tienen doble fuente de alimentación, por si se estropea

alguna.

• El presidente y el contable tienen cada uno un portátil de la empresa. El disco

duro de estas máquinas no está cifrado porque no se arriesgan al desastre

que supondría olvidar la contraseña.

• Los ordenadores tienen dos usuarios: uno para las tareas normales y otro

cuando necesitan realizar alguna instalación o modificar un parámetro del

sistema operativo. Los empleados saben cuándo deben usar cada uno.

Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has

redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes

proponer?

• Se podría mejorar contratando un servicio de vigilancia por edificio, en el

caso de que sea una empresa con gran valor, deberían tener más guardias.

• En el CPD tendría un vigilante de la misma compañía o especializado, debido

a que hay mucha información privada e importante. En el caso de las

llamadas, contrataría a otro recepcionista que trabaje el siguiente turno para

que los vigilantes sigan con sus funciones.

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 3 DE 5

• Lo primero sería comprar una o más cintas que contengan el espacio

suficiente para almacenar las copias de seguridad del servidor. Dichas copias

se guardarían en un lugar que esté restringido a toda persona ajena de la

empresa.

• Se podría intentar que la sala en la que se encuentran los servidores fuese

fría, en el caso de que sea una sala grande, se harían pasillos tanto fríos como

calientes. Sí fuera al contrario, se cambiaría el servidor a un lugar que sea

adecuado.

• Se debería tener precaución con los discos duros, además de tener otro con

los mismos datos guardados para no interrumpir el servicio y evitar la

pérdida de datos.

• Se instalaría un RAID en el servidor para evitar fallos a la hora de que un disco

duro falle.

• Deberían cifrar cada portátil de tal manera que a ellos no se les olvide la

clave, es decir, que sea fácil a la par que robusta (mayúsculas, minúsculas,

números, caracteres especiales,…)

RA: Asegurar la privacidad de la información transmitida en redes informáticas

describiendo vulnerabilidades e instalando software específico

2. Al día siguiente continúa la entrevista. Tus nuevas notas son:

• Hay una red wifi en la oficina que permite entrar en la red de ordenadores y

salir a Internet. No tiene contraseña para que los clientes puedan utilizarla

con total comodidad.

• La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados

necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la

empresa no puede afrontar la compra de nuevas licencias, están utilizando

software pirata.

• En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan

entre ellos mediante dispositivos USB.

• Los ordenadores que hacen de servidores tienen activadas las actualizaciones

automáticas de todas las aplicaciones y el sistema operativo, pero en los

ordenadores de empleados no se hace porque han visto que se satura la

conexión a Internet.

• La mayoría de los equipos de red son switch y routers, pero algunos

despachos todavía tienen hubs porque son fiables y el ancho de banda es

suficiente.

• Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y

muy sencillo de instalar.

• El servidor web está instalado sobre una máquina con sistema operativo

Linux Ubuntu Server 9.04.

Termina la entrevista del segundo día porque tiene otro compromiso.

De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 4 DE 5

• Se debería de proteger la red Wi-Fi ya que hay un agujero de seguridad en la

red debido a que está abierta. Para protegerla hay varias posibilidades: Lista

blanca, lista negra, clave WPA/WPA-2/WPA-2 Enterprise…

• No es recomendable la utilización de software pirata en la empresa, debido a

que puede estar infectado. Para ello recomendaría usar software que tenga

una licencia GPL.

• No es recomendable la instalación de un antivirus mediante un pendrive, ya

que no sabemos sí el equipo en el que ha estado conectado lo ha podido

infectar.

• Teniendo en cuenta que las actualizaciones son vitales para los equipos de

una empresa, lo mejor es que se actualicen, ya que se añaden parches de

seguridad. Para ello, sería recomendable acordar las horas en las que se

puedan actualizar los equipos.

• La utilización de Hamachi no es recomendable como método de conectividad

en la empresa, debido a que puede tener cualquier fallo..

3. Vas a completar tu informe con una demo en la que le harás ver al cliente cómo se

pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar la

práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos

del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a

necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con

metasploitable 2 (máquina vulnerable).

Realiza una memoria con los pasos que has realizado, incluyendo capturas.

5. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y

último día de auditoría. Tus notas son las siguientes:

La empresa recoge datos de las personas que solicitan información acerca de las

promociones que tiene actualmente. El objetivo es poder enviarles información

sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y

correo electrónico. Una secretaria introduce los datos en una hoja Excel en su

ordenador.

• ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos

la creación del fichero que contiene los datos?

Por supuesto, para evitar cualquier mal uso de ellos y sobre todo si pueden

hacer dicho fichero. También es la manera que tiene la empresa de poder

ponerse en contacto con los usuarios que tengan registrados.

• ¿Qué nivel de seguridad requerirá el fichero?

Al ser información muy delicada a la par que privada, se podría decir que el

nivel de seguridad que requiere dicho fichero es un nivel muy alto.

• ¿Qué medidas de seguridad requiere este nivel?

Las medidas de seguridad que requiere podrían ser físicas (almacenarlo en un

portátil, disco duro, pendrive,…) o lógica (copia de seguridad, cifrar el

fichero,…)

• Haz un listado de las infracciones que podrían cometerse con respecto al

fichero y destaca cuáles de ellas supondrían una sanción mayor.

LAURA SÁNCHEZ LEÓN 2ºSMR PROYECTO 4

PÁGINA 5 DE 5