RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacion ándolas con sus necesidades

1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:

• El edificio tiene un servicio de vigilancia a través de una empresa externa.

Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.

• El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.

• Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.

• Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).

• El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.

• Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca. • Los servidores tienen doble fuente de alimentación, por si se estropea

alguna. • El presidente y el contable tienen cada uno un portátil de la empresa. El

disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.

• Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.

Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?

� En primer lugar, es necesario que el acceso al recinto esté vigilado constantemente, no se puede tener un vigilante que atienda a varios edificios en zonas diferentes, el guarda de seguridad debe estar en un puto fijo, también se podría invertir en un sistema de acceso de seguridad con tarjetas identificativas.

� El CPD es uno de las zonas en las que tiene que haber más seguridad, es necesario tener una persona que cubra la vigilancia durante todo el tiempo que tenga que estar, en este caso tiene dos cometidos y uno de ellos hace que durante cierto tiempo el acceso al CPD no tenga suficiente vigilancia. Se podría asignar un único cometido a ese personal de seguridad o instalar un sistema de cámaras de vigilancia que controle el acceso al mismo.

� Cada empleado debe tener su tarjeta identificativa, sea del personal de limpieza, de mantenimiento o de seguridad, que asegure que el registro de entrada sea óptimo.

� Añadir seguridad a esas salas de cintas al igual que al CPD ya que guarda la misma información y requiere la misma seguridad.

� Ya que el edificio no admite reformas, las ventanas deben estar controladas, valladas y con sistema de cámaras, el recinto debería ser cerrado de tal manera que nadie que no se identifique pueda acceder a ninguna zona dentro del mismo.

� Aunque el disco duro sea de alta gama, también puede fallar, se debería adquirir otro idéntico que trabaje a la par asegurando el riesgo de fallo de disco y que se pierda toda la información trabajando en espejo.

� Instalación de sistemas de alimentación ininterrumpida y doble línea de corriente de manera que si fallara una de ellas sea la otra línea la que sirva el servicio de electricidad.

� Es necesario cifrar los datos, a todo el personal de la empresa se le debe explicar la manera de hacerlo, si existiera el riesgo de perder la clave utilizar pendrives a modo de llave de descifrado.

� No todos los empleados deberían tener acceso a la cuenta administrador, sería mejor tener personal que administre los terminales.

RA: Asegurar la privacidad de la información transm itida en redes informáticas describiendo vulnerabilidades e instal ando software específico

2. Al día siguiente continúa la entrevista. Tus nuevas notas son: • Hay una red wifi en la oficina que permite entrar en la red de ordenadores y

salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.

• La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.

• En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.

• Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.

• La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.

• Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.

• El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.

Termina la entrevista del segundo día porque tiene otro compromiso. De nuevo, ¿encuentras algo que mejorar? ¿Qué le pue des proponer? � La red inalámbrica debe estar configurada con toda la seguridad posible, la

SSID debe estar oculta, con WPA2 y una lista blanca de direcciones MAC. De esta manera se puede asegurar lo mejor posible el acceso de equipos externos a la red.

� En una empresa no puede existir software ilegal o sin licencias, está penado por ley. Se debe tener el sistema operativo más moderno y con las últimas actualizaciones de seguridad instaladas. En caso de incompatibilidad de software con SO utilizar máquinas virtuales dedicadas a esas funciones.

� El antivirus debe ser lo más completo posible, los antivirus gratuitos, aunque funcionen bien en el hogar, no tienen la misma seguridad que los de pago. El administrador del sistema junto con la empresa deberán decidir que software antivirus instalar asumiendo los gastos de los mismos. Las memorias externas de los empleados pueden conllevar un riesgo de seguridad ya que pueden tener almacenados virus que pongan en riesgo la integridad de la seguridad de los datos o del equipo al que se conecte.

� Sería prudente instalar un cortafuegos en la instalación de la red, que controle la transferencia de información.

� Si se necesita acceder a la red interna lo mejor es crear redes de área virtual, controlando el acceso a la misma con configuraciones como puede ser un sistema de login con usuario y contraseña, quedando registrado el acceso y manipulación de los datos.

� El servidor es el punto más importante, por lo cual, debe tener el mejor nivel de seguridad, tener una versión antigua permite intromisiones externas con facilidad, debe tener el sistema operativo del servidor lo más actualizado posible.

5. Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes:

La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador. o ¿Crees que tendría que haber solicitado a la Agenci a de Protección de Datos la creación del fichero que contiene los dato s? Sí. Deben ser inscritos en la agencia general de protección de datos. o ¿Qué nivel de seguridad requerirá el fichero? Nivel básico: sólo solicitan datos como el nombre, dirección y correo electrónico. o ¿Qué medidas de seguridad requiere este nivel? Tener los datos encriptados, Permisos de modificación/lectura a personal autorizado, copias redundantes. o Haz un listado de las infracciones que podrían come terse con respecto al fichero y destaca cuáles de ellas supondrían una sa nción mayor. Infracciones leves: Sanciones entre 601,01 € y 60.1 01,21 €

• Recopilar datos personales sin informar previamente • No atender a las solicitudes de rectificación o cancelación

Infracciones graves: Sanciones entre 60.101,21 € y 300.506,25 € • No inscribir los ficheros en la AGPD. • No seguir los principios y garantías de la LOPD

Infracciones muy graves: Sanciones entre 300.506,25 € y 601.012,1 €

• Recogida de datos de manera engañosa o fraudulenta. • La comunicación o cesión de datos cuando ésta no esté permitida. • La transferencia temporal o definitiva de datos de carácter personal con

destino a países sin nivel de protección equiparable o sin autorización