lunes, 7 de octubre de 2013

PROYECTO 1 - CONCEPTOS

Primer Trabajo de Seguridad Informática


1ª Parte del Trabajo.


RA: Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:

  • El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
Tener una propia seguridad, poner una cámara de vigilancia que lo gestiona nuestra propia empresa, o poner nuestros propios vigilantes y no permitir a todos los empleados entrar, solamente los de mantenimiento y los jefes.
  • El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
Cerrar la sala donde se encuentra el CPD, de esta forma nadie pueda pasar personas.
  •  Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
Las tarjetas de pase no tiene que estar en un cajón, el personal de limpieza tendrá que pedir la tarjeta de pase al seguridad, no al vigilante.
  • Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivode cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
El problema estaría en que la cinta no se guarde en el mismo sitio donde se encuentra los CPD, porque si ocurre alguna cosa (incendio, terremoto…) se destruiría las copias. Y que las copias se hagan diariamente.
  • El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
La solución sería o cambiar de sitio los CPD y los trabajadores. O también pueden hacer que los servidores debajo de la tierra, que supone una reducción en emisiones en el Medio-Ambiente.
  • Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
Se tiene que cambiar cada cierto tiempo, ya que no hay que esperar a que se rompa antes de cambiarlo.
  • Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
Que los fuentes se revisen cada cierto tiempo para prevenir una caída del primer fuente de alimentación.
  • El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
Tienen que tener los disco cifrados, para proteger los datos, o requerir una aplicación como de terceros para recordar las contraseñas, como por ejemplo 1password.
  • Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.
Ningún empleado tiene que tener al acceso de instalar programas o modificar los parámetros del sistema, eso tiene que hacerlo el administrador. El empleado solo tiene que tener su usuario básico con los permisos.

Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?
Si, en temas de vigilancia. Se tiene que contratar dos empresas para la vigilancia.


2ª Parte del Trabajo

RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
Al día siguiente continúa la entrevista. Tus nuevas notas son
  • Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.
Tenemos que habilitar que solamente pueda acceder a la red los MAC permitidos, asi que los equipos que no estén en la lista no puedan acceder, y hay que ocultar la SSID de la red Wifi para que no puedan buscarlo.
  • La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
Clonar un ordenador con Windows 7, ya que Windows 7 tiene mas seguridad, instalarlo a todos los ordenadores que tengan Windows XP, buscar actualización de los programas que corren solo en Windows XP. Los programas que solo funcionan con Windows XP y no pueden soportar Windows 7, instalarlos a maquinas virtuales para que funcione.
  •  En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.
Desinstalar todos los antivirus puestos en todos los equipos, contactar con alguna empresa para la seguridad del ordenador. Hacer un servidor FTP para poder compartir archivos. 
  • Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.
Hay que deshabilitar las actualizaciones automáticas, tenemos que poner que busque actualizaciones y nos deje instalar. Los empleados no tienen que configurar nada de la configuración del equipo. Hay que tener un horario cada semana para que los equipos se puedan actualizar. 
  • La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
Hay que cambiar el HUB, porque si enviamos paquetes a este, esto lo envía a todos, y no es muy seguro, tenemos que poner un switch en todas las salas en donde los switch están conectados al router. 
Diferencias entre un HUB y un Switch
  • Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar
Desde mi punto de vista, no tiene que utilizar Hamachi, sino un servidor proxy-cache, para filtrar el tráfico de la red.
  • El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.
Hay que actualizar el servidor web con una nueva versión. O sino alquilar otra empresa especializada en páginas web para tener más seguridad.
  • De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?
Si, los empleados no pueden configurar nada de los ordenadores, ese trabajo tiene que ser del administrador de los equipos, tienen que tener permisos. 


3ª Parte del Trabajo


La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.
  • ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?
Sí, porque es un documento importante y personal.
  • ¿Qué nivel de seguridad requerirá el fichero?
Nivel Básico, ya que el fichero es de carácter personal.
  • ¿Qué medidas de seguridad requiere este nivel?

Identificar y autentificar a los usuarios acontecidos en el fichero
Llevar un registro de incidencias acontecidas en el fichero
Realizar copia de seguridad como mínimo semanalmente. 

  • Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.
No cumplir las instrucciones de la AEPD
No tener Documento de Seguridad
No atender los derechos se un cliente
Puede tener sanciones de unos 900€ hasta 40.000€ si no los cumple.

No hay comentarios:

Publicar un comentario