Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Plan de Seguridad Informatic PDF
Plan de Seguridad Informatic PDF
Porque el ayer es slo un sueo y el maana una visin: Pero el presente bien vivido hace del ayer un sueo de felicidad y del maana una visin de esperanza.
Jorge.
II
AGRADECIMIENTOS
En primer lugar, quiero dar las gracias por su afecto y amistad a todos los compaeros con los que he compartido el viaje que han supuesto estos aos en la Universidad. De la misma manera, quiero reconocer a todos mis profesores la labor, en ocasiones no demasiado fcil, de transmitir sus conocimientos que suponen y supondrn la inspiracin necesaria para los futuros grandes retos que llegue a plantear la vida. Por ltimo, pero no menos importante, agradecer a mis padres el apoyo y confianza depositada en m en todo momento. Gracias a todos. Merece una mencin especial Ana, cuyo apoyo, ayuda e inspiracin me sirven para conseguir superar da a da los retos que me plantea la vida. Muchas gracias mi vida.
Jorge.
III
RESUMEN
El presente proyecto es el resultado de la realizacin de un completo anlisis de la empresa Arroyo-Fuensaldaa, ubicada en Valladolid, para evaluar el nivel de seguridad de sus datos y sus procesos informticos. Primeramente se ha estudiado la empresa para evaluar cul es su situacin respecto a estos trminos, enumerando las amenazas que la afectaran, as como el impacto que produciran stas en la empresa en el caso de que llegaran a producirse. De esta manera se determinan cules son las vulnerabilidades de la empresa y qu medidas sera necesario adoptar para conseguir dotar a la misma de un nivel de seguridad adecuado para proteger su informacin en funcin del tipo de empresa, elementos informticos usados y activos en peligro. Para la elaboracin del proyecto se han seguido las siguientes fases: Anlisis de la empresa. Realizacin de un inventario de todos los elementos Hardware y Software con que cuenta la empresa. Anlisis de riesgos, determinando cules pueden afectar a la empresa y el posible impacto que pueden tener. Identificacin de las vulnerabilidades de la empresa en funcin de los riesgos que pueden afectarla y sus agujeros de seguridad. Recomendaciones para eliminar las vulnerabilidades existentes y conseguir un adecuado nivel de seguridad informtica.
Para determinar los riesgos que pueden afectar a la empresa se tienen en cuenta factores ambientales, fallos de las instalaciones, fallos humanos, robos, problemas con el Software o Hardware, empleados descontentos, etc. Para proponer soluciones a adoptar dentro de la empresa se ha tenido en cuenta la situacin de la empresa en el mercado, las vulnerabilidades que podran afectarle y las medidas de seguridad con las que ya cuenta la empresa.
IV
ABSTRACT
This project is a result of a complex analysis production made by ArroyoFuensaldaa Company, located in Valladolid (Spain), to evaluate the security level of their data bank and informatic processes. First of all the company has been scrutinized to evaluate its situation on this matter, listing the threats that may affect it, as well as their impact they may produce in case that they occur. This way determines which are company's vulnerabilities and the measures it should be neccesary to adapt to achieve equip it of a suitable security level to protect its information according to the kind of company, infomratic elements used and actives in risk.
NDICE
INTRODUCCIN ............................................................................................................................. 1 1. ANLISIS DE LA EMPRESA ......................................................................................................... 3 1.1 Historia ................................................................................................................................ 3 1.2 Actividades .......................................................................................................................... 3 1.3 Sede de la empresa ............................................................................................................. 4 1.4 Balance econmico 2007 .................................................................................................... 4 1.5 Personal ............................................................................................................................... 4 1.6 Arquitectura ........................................................................................................................ 5 1.7 Estrategia a seguir ............................................................................................................... 6 2. INVENTARIO HARDWARE .......................................................................................................... 7 2.1 Introduccin ........................................................................................................................ 7 2.2 Hardware instalado ............................................................................................................. 7 2.3 Comunicaciones ................................................................................................................ 10 2.4 Seguridad fsica ................................................................................................................. 12 2.5 Conclusiones...................................................................................................................... 13 3. INVENTARIO SOFTWARE ......................................................................................................... 14 3.1 Introduccin ...................................................................................................................... 14 3.2 Software instalado ............................................................................................................ 14 3.3 Seguridad software ........................................................................................................... 17 3.4 Conclusiones...................................................................................................................... 19 4. PLAN DE RECUPERACIN EXISTENTE ...................................................................................... 20 4.1 Introduccin ...................................................................................................................... 20 4.2 Hardware de recuperacin................................................................................................ 20 4.3 Software de recuperacin ................................................................................................. 20 VI
4.4 Recursos humanos ............................................................................................................ 20 4.5 Estrategias de respaldo ..................................................................................................... 20 5. ANLISIS DE RIESGOS .............................................................................................................. 21 5.1 Introduccin ...................................................................................................................... 21 5.2 Identificacin de las amenazas.......................................................................................... 22 5.2.1 Desastres naturales .................................................................................................... 23 5.2.1.1 Tormentas y rayos ............................................................................................... 23 5.2.1.2 Terremotos .......................................................................................................... 24 5.2.1.3 Inundaciones ....................................................................................................... 27 5.2.2 Estructurales............................................................................................................... 29 5.2.2.1 Incendios ............................................................................................................. 29 5.2.2.2 Cortes elctricos .................................................................................................. 31 5.2.2.3 Agua..................................................................................................................... 32 5.2.2.4 Refrigeracin ....................................................................................................... 32 5.2.2.5 Comunicaciones .................................................................................................. 33 5.2.3 Hardware .................................................................................................................... 34 5.2.3.1 Fallo de servidores .............................................................................................. 34 5.2.3.2 Fallo de estaciones PC ......................................................................................... 34 5.2.3.3 Fallo de porttiles................................................................................................ 35 5.2.4 Software ..................................................................................................................... 37 5.2.4.1 Errores en los SSOO ............................................................................................. 37 5.2.4.2 Errores en las Bases de Datos ............................................................................. 38 5.2.4.3 Errores en las aplicaciones .................................................................................. 38 5.2.4.4 Errores en los elementos de seguridad ............................................................... 40 5.2.5 Red LAN y WAN .......................................................................................................... 42 5.2.5.1 Red interna .......................................................................................................... 42 5.2.5.2 Sistemas de seguridad de las comunicaciones ................................................... 42 VII
5.2.5.3 Redes pblicas ajenas ......................................................................................... 44 5.2.6 Copias de seguridad ................................................................................................... 46 5.2.6.1 Fallos en soportes de copias de seguridad.......................................................... 46 5.2.7 Informacin ................................................................................................................ 47 5.2.7.1 Ficheros ............................................................................................................... 47 5.2.7.2 Procedimientos de seguridad de la informacin ................................................ 48 5.2.7.3 Planes de contingencia ........................................................................................ 48 5.2.8 Personal ...................................................................................................................... 49 5.2.8.1 Errores y ataques de personal interno ................................................................ 49 5.2.8.2 Errores y ataques de personal externo ............................................................... 49 5.2.9 Riesgos contra el patrimonio ..................................................................................... 51 5.2.9.1 Robo .................................................................................................................... 51 5.2.9.2 Prdida no intencionada de activos .................................................................... 52 5.2.10 Legislacin ................................................................................................................ 54 5.2.11 Otros riesgos ............................................................................................................ 55 5.2.11.1 Terrorismo ......................................................................................................... 55 5.2.11.2 Imagen de empresa ........................................................................................... 56 5.2.11.3 Insolvencia de servicios externos ...................................................................... 57 6. ANALISIS DE VULNERABILIDADES ............................................................................................ 59 6.1 Introduccin ...................................................................................................................... 59 6.2 Identificacin de vulnerabilidades .................................................................................... 59 6.2.1 Vulnerabilidades relacionadas con desastres naturales ............................................ 59 6.2.2 Vulnerabilidades relacionadas con amenazas estructurales ..................................... 60 6.2.3 Vulnerabilidades relacionadas con el Hardware ........................................................ 60 6.2.4 Vulnerabilidades relacionadas con el Software ......................................................... 61 6.2.5 Vulnerabilidades relacionadas con las redes de comunicacin ................................. 62 6.2.6 Vulnerabilidades relacionadas con las copias de seguridad ...................................... 62 VIII
6.2.7 Vulnerabilidades relacionadas con la informacin .................................................... 63 6.2.8 Vulnerabilidades relacionadas con el personal .......................................................... 63 6.2.9 Vulnerabilidades relacionadas con el patrimonio ...................................................... 64 6.2.10 Vulnerabilidades relacionadas con la legislacin ..................................................... 64 6.2.11 Otras vulnerabilidades ............................................................................................. 64 6.3 Valoracin de las vulnerabilidades .................................................................................... 65 7. PLAN DE SEGURIDAD ............................................................................................................... 68 7.1 Introduccin ...................................................................................................................... 68 7.2 Plan de seguridad .............................................................................................................. 68 7.2.1 Medidas aplicadas a desastres naturales ................................................................... 69 7.2.2 Medidas aplicadas a problemas estructurales .......................................................... 69 7.2.3 Medidas aplicadas a problemas de Hardware .......................................................... 70 7.2.4 Medidas aplicadas a problemas de Software............................................................ 71 7.2.5 Medidas aplicadas a problemas de red ..................................................................... 71 7.2.6 Medidas aplicadas a problemas de las copias de seguridad ..................................... 72 7.2.7 Medidas aplicadas a problemas con la informacin ................................................. 73 7.2.8 Medidas aplicadas a problemas con el personal....................................................... 74 7.2.9 Medidas aplicadas a problemas con el patrimonio................................................... 74 7.2.10 Medidas aplicadas a informacin que debe ser declarada ante la Agencia de Proteccin de Datos ............................................................................................................ 75 7.2.11 Medidas aplicadas a problemas provocados por otros riesgos ............................... 76 7.3 Resumen de medidas de seguridad .................................................................................. 77 8. RECOMENDACIONES FINALES ................................................................................................. 80 8.1 Introduccin ...................................................................................................................... 80 8.2 Recomendaciones ............................................................................................................. 80 9. PLANIFICACION........................................................................................................................ 81 10. PRESUPUESTO ....................................................................................................................... 86 IX
11. CONCLUSIONES ..................................................................................................................... 87 BIBLIOGRAFA .............................................................................................................................. 89 ANEXOS ....................................................................................................................................... 90 ANEXO 1. WinAudit ................................................................................................................. 90 ANEXO 2. ISO 17799 ................................................................................................................ 93 ANEXO 3. Diagnstico de la empresa ...................................................................................... 94
NDICE DE FIGURAS
Figura 1.1: Planta de la oficina.5 Figura 2.1: Equipo 1.7 Figura 2.2: Equipo 2.8 Figura 2.3: Equipo 3.8 Figura 2.4: Impresora 1.9 Figura 2.5: Impresora 2.9 Figura 2.6: Escner9 Figura 2.7: Fotocopiadora9 Figura 2.8: Telfono 1.10 Figura 2.9: Telfono 2.11 Figura 2.10: Mvil 1..11 Figura 2.11: Mvil 2..11 Figura 2.12: Mvil 3..11 Figura 2.13: Fax11 Figura 2.14: Router12 Figura 2.15: Destructora12 Figura 9.1: Paquetes de trabajo...81 Figura 9.2: Inventario Hardware..82 Figura 9.3: Inventario Software82 Figura 9.4: Plan de recuperacin existente.83 Figura 9.5: Anlisis de riesgos83 Figura 9.6: Planificacin.84 Figura A.1: Pantalla principal WinAudit..90 Figura A.2: Pantalla de anlisis WinAudit..91 Figura A.3: Informacin recolectada WinAudit.92
XI
NDICE DE TABLAS
Tabla 3.1: Terremotos.24 Tabla 6.1: Valoracin de vulnerabilidades65 Tabla 7.1: Medidas preventivas77 Tabla 7.2: Medidas correctoras78 Tabla 7.3: Riesgos asumibles..79 Tabla 10.1: Presupuesto86 Tabla A.1: Diagnstico de la empresa..94
XII
INTRODUCCIN
La informacin es hoy en da uno de los activos ms importantes con los que cuenta cualquier empresa; un activo que no siempre tiene la consideracin e importancia necesaria dentro de algunas empresas. Antiguamente toda la informacin era almacenada en papel, por lo que toda su seguridad se limitaba a una seguridad fsica, actualmente existen multitud de dispositivos en los que se puede almacenar la informacin, por lo tanto la forma de evitar accesos a esa informacin ha cambiado. El primer ataque informtico considerado como tal ocurri un viernes 13 de 1989 en el que una revista especializada distribuyo disquetes promocionales, los cuales estaban infectados con un virus que afecto a multitud de empresas y particulares. Actualmente la naturaleza y la forma de difusin de los ataques ha cambiado; antes los hackers buscaban producir daos en los sistemas por el simple hecho de conseguir un poco de fama, actualmente slo buscan obtener informacin y dinero levantando el menor revuelo posible y siempre aprovechando los recursos disponibles en la Web. Al da se producen ms de 6.000 ataques informticos; las empresas que se llevan la peor parte de estos ataques suelen sufrirlos mediantes troyanos que intentan robar informacin de los sistemas en los que se instalan. La mayora de estos ataques (se calcula que en torno al 60%) provienen de la propia organizacin por parte de algn empleado descontento y que quiere infligir dao a la empresa. [Web 6] Es necesario hacer ver a las empresas la importancia que tiene la seguridad de su informacin dentro de sus procesos de negocio puesto que una prdida de informacin puede comprometer negocios que en algunos casos podran llegar a suponer prdidas millonarias para las empresas. Las grandes empresas (varias sucursales y mucho personal) suelen ser muy sensibles a aplicar tcnicas de seguridad informtica en su organizacin puesto que en general son conscientes del peligro que supone tener su red interna, sus equipos, etc. abiertos al exterior, o a un posible ataque interno. Sin embargo en el caso de empresas pequeas (pequeas sucursales y poco personal) la seguridad informtica no suele ser un tema de mxima prioridad por lo que pueden llegar a tener problemas de prdidas de informacin o de intrusismos en su red. Por ello es necesario poner nfasis en esas medianas y pequeas empresas para conseguir hacer ver a sus responsables que los datos de su negocio 1
pueden verse comprometidos intencionada o accidentalmente en cualquier momento y sin que ellos puedan hacer nada para remediarlo si no disponen de un correcto sistema de seguridad y respaldo.
1. ANLISIS DE LA EMPRESA
1.1 Historia
Arroyo-Fuensaldaa naci el 21 de febrero de 2001 como empresa promotora. Ubicada originalmente en el nmero 20 de la calle Santiago de Valladolid inicia su actividad realizando una pequea promocin de 3 viviendas unifamiliares adosadas en la localidad de Fuensaldaa, ubicada a 6 kilmetros de Valladolid. Tras el xito de esa primera promocin Arroyo-Fuensaldaa realiz otra promocin en esa misma localidad de 10 viviendas unifamiliares pareadas y plane la construccin de 100 viviendas en altura tambin ubicadas en dicha poblacin. En la misma poca en la que se inici la promocin de las 10 viviendas unifamiliares pareadas, Arroyo-Fuensaldaa inici otra actividad relacionada con el sector, como es la gestin de suelo para la construccin de viviendas. El 16 de junio de 2004 Arroyo-Fuensaldaa traslad su sede del nmero 20 al nmero 13 de la calle Santiago; una sede mucho ms grande y ms confortable. La empresa ha llegado a la actualidad dedicndose principalmente a los negocios de suelo para construccin y en los ltimos tiempos, sobre todo para intentar salvar la crisis que est afectando al sector, ha comenzado a invertir en el negocio de las obras de arte con la apertura de una galera, que sirve para potenciar a nuevos artistas, en la calle Claudio Moyano nmero 5 de Valladolid.
1.2 Actividades
Arroyo-Fuensaldaa naci como una empresa promotora de viviendas principalmente en la localidad de Fuensaldaa, con la experiencia y los buenos resultados de las promociones los administradores de la empresa decidieron cambiar la principal actividad de la misma para dedicarse principalmente al negocio del suelo para construccin. En el ltimo ao, la empresa ha decidido introducirse tambin en el negocio del arte con la apertura de una galera para exposicin de pintura y escultura.
1.5 Personal
La empresa cuenta con pocos empleados, nicamente dos personas trabajan en ella a diario. A pesar del escaso personal con el que cuenta es una de las empresas importantes en el sector en la zona de Valladolid (Castilla y Len).
1.6 Arquitectura
Al tratarse de una empresa pequea (con pocos empleados) y contar nicamente con una sede, su arquitectura de red no es muy complicada pues tiene pocos puestos de trabajo.
La empresa cuenta nicamente con tres estaciones de trabajo, dos fijas situadas cada una en uno de los despachos y una mvil que suele estar en la sala de reuniones. La empresa cuenta con conexin exterior a Internet mediante banda ancha, pero no dispone de una arquitectura de red local. En la figura se puede ver la ubicacin de los elementos fsicos que componen la empresa.
2. INVENTARIO HARDWARE
2.1 Introduccin
A continuacin se va a detallar todo el Hardware del que dispone la empresa para llevar a cabo sus procesos informticos. En este apartado se va a realizar un inventario de todo el Hardware instalado, poniendo especial atencin en si existe Hardware especfico dedicado a Backup o elementos de seguridad similares. Tambin se realizar un inventario de las comunicaciones existentes, tanto con el exterior como dentro de la misma oficina as como los elementos de seguridad fsica existentes dentro de la oficina tales como alarmas, cerraduras, etc.
Procesador: Intel(R) Pentium(R) 4 CPU 1.80GHz, 1793MHz. Placa base: Quntumn Designs Limited. Memoria DRAM: 256 MB. Memoria cach L1: 8 KB. Memoria cach L2: 256 KB. Disco duro: ST360020A de 55,9 GB. Unidades DVD: LG DVD-ROM DRD8160B. Unidades CD: HL-DT-ST CD-RW GCE-8400B. Tarjetas de red: NIC Fast Ethernet PCI Familia RTL8139 de Realtek. Monitor: LG Studioworks 700S.
Figura 2.2: Equipo 2
Procesador: Intel(R) Pentium(R) M processor 1.73GHz, 1728MHz. Placa base: HTW00 de Toshiba. Memoria SDRAM: 1022MB. Memoria cach L1: 32 KB. Memoria cach L2: 2.048 KB. Disco duro: TOSHIBA MK6034GSX de 55.9GB. Unidades DVD: Pioneer DVD-RW DVR-K165.
Figura 2.3: Equipo 3
Tarjetas de red: Realtek RTL8139/810x Family Fast Ethernet NIC. Intel(R) PRO/Wireless 2915ABG Network Connection. Bluetooth Personal Area Network from Toshiba.
Impresoras
HP Deskjet 5657.
HP Laserjet 1160.
Escner
Fotocopiadora
2.3 Comunicaciones
A continuacin se van a detallar los distintos tipos de comunicaciones de los que dispone la empresa, tanto dentro de los equipos informticos como telfonos, etc. Equipo 1
Dispone de dos tarjetas de red: o Intel PRO/1000 MT Network Connection. o Linksys Wireless-B usb Network Adapter v2.8.
Equipo 2
Dispone de una nica tarjeta de red: o NIC Fast Ethernet PCI Familia RTL8139 de Realtek.
Equipo 3
Dispone de tres tarjetas de red: o Realtek RTL8139/810x Family Fast Ethernet NIC. o Intel(R) PRO/Wireless 2915ABG Network Connection. o Bluetooth Personal Area Network from Toshiba.
Telfonos
En la oficina se dispone de varios terminales fijos as como varios mviles. o Telfono fijo Siemens euroset 2015 (2 unidades).
10
11
Alarma SERURMAP de MAPFRE seguridad. La oficina cuenta con 7 detectores de alarma: o 1 en cada una de las 5 habitaciones. o 1 en el pasillo. o 1 en la entrada. Puerta de acceso blindada de seguridad. Todos los despachos donde hay equipamiento documentacin crtica cuentan con cerradura. informtico y
La oficina tambin cuenta con mquinas de aire acondicionado en cada una de las salas donde hay instalado un equipo.
12
2.5 Conclusiones
La empresa cuenta con un equipamiento informtico tal vez un poco obsoleto para el tipo de equipos que existen hoy en da. Los equipos estn escasos, sobre todo, en memoria RAM. Las medidas de seguridad fsicas son correctas puesto que son adecuadas para evitar el acceso a personal ajeno a la empresa al equipamiento y documentacin de la misma. Tal vez un punto dbil es el Router de conexin a Internet pues ese modelo es un poco anticuado y puede ser vulnerable a ataques externos.
13
3. INVENTARIO SOFTWARE
3.1 Introduccin
A continuacin se van a detallar todos los elementos Software de los que est provista la empresa, poniendo especial atencin en aquellos que estn destinados especficamente a la seguridad de los datos almacenados dentro de la empresa. Tambin se intentar especificar el nivel de proteccin Software con que cuenta la empresa para poder analizar posteriormente los riesgos a los cuales puede estar expuesta.
El equipo 1 cuenta con el siguiente Software instalado: o Sistema Operativo Windows XP Home Edition con Service pack 2 o Acrobat Reader 7.0 o Adobe Photoshop Album Startes Edition 3.0 o ATI catayst control center o Avast! Antivirus [Web 3] o Barra Yahoo o Google toolbar para Internet Explorer o Java SE runtime enviroment 6 o Macromedia Flash player 8 o Macromedia Shockwave player o Microsoft .NET Framework 1.1 o Microsoft Office Professional Edition 2003 o Mozilla Firefox 14
o Nero 6 ultra edition o Omni Mouse driver 4.0 o Power DVD o Software de conexiones de red Intel(R) PRO v9.2.4.9 o Windows installer 3.1 o Windows media 11
Equipo 2
El equipo 2 cuenta con el siguiente Software instalado: o Sistema Operativo Windows XP Home Edition con Service pack 2 o AD-Aware SE Professional o Acrobat Reader 5.0 o Adobe Flash player activex o Boleto de condicionadas (Software que realiza Quinielas) o Google toolbar para Internet Explorer o HP Laserjet 116/1320 series o HP print scren utility o IVA 2002 (Programa de la Agencia Tributaria) o IVA 2003 (Programa de la Agencia Tributaria) o J2SE Runtime enviroment 5.0 o Java 6 o Modelo 180. De los aos 2002, 2003, 2004 (Programa de Agencia Tributaria) la
o Modelo 190. De los aos 2002, 2003, 2004, 2005 (Programa de la Agencia Tributaria) o Modelo 347. De los aos 2002, 2003, 2004, 2005 (Programa de la Agencia Tributaria) o Nero burning room 15
o McAfee security center o McAfee VirusScan Professional o Microsoft Office 2000 Premium o Olympus Camedia master 4.1 o Power DVD o Quick Time o Windows media 11 o Sociedades. De los aos 2002, 2003, 2004, 2005, 2006 (Programa de la Agencia Tributaria) o Sociedades. En sus versiones 5.1, 5.2, 6.0, 6.1, 6.2, 7.0 (Programa de la Agencia Tributaria)
Equipo 3
El equipo 3 cuenta con el siguiente Software instalado: o Sistema Operativo Windows XP Professional Service pack 2 o AD-Aware SE Personal o Adobe Photoshop CS o Acorbat Reader 8.1 o Autocad 2006 o Autocad 2007 o Avg antivirus 7.5 o Avg antispyware 7.5 o Compresor WinRar o Compresor WinZip o Canon utilities PhotoStich 3.1 o Divx player o Google earth o Google talk 16
o WinDVD 4 o iTunes o J2SE Runtime Environment 5.0 o Macromedia Studio MX o Microsoft Office 2003 Professional o Microsoft Office 2007 Enterprise o Mozilla Firefox o Nero 7 o Panel de control ATI o PDF Creator o Quick time o Skipe
Este equipo cuenta con la versin 4.7 del antivirus avast [Web 3]. Este antivirus dispone adicionalmente de antispyware y antirootkit y proporciona una seguridad adecuada para el equipo. Actualmente el antivirus de este equipo no se encuentra correctamente actualizado por lo que puede ser una amenaza para la seguridad del equipo. El equipo est protegido por el Firewall de Windows. El equipo est conectado a la red de la empresa mediante una conexin inalmbrica y configurada de forma que se le otorga la direccin IP automticamente.
17
Equipo 2
Este equipo cuenta con la proteccin del sistema McAfee Virus Scan Professional [Web 4] el cual cuenta con, adems del antivirus, antispyware y antiHacker. Proporciona una seguridad adecuada al equipo aunque al igual que en el caso del equipo 1 el antivirus no se encuentra correctamente actualizado. Este equipo tambin cuenta con la proteccin del antispyware AD-Aware SE Professional el cual s se encuentra correctamente actualizado. El equipo est protegido por el Firewall de Windows. El equipo est conectado a la red mediante un cable RJ45 directamente conectado con el Router de salida a Internet y configurado de forma que el Router le asigna automticamente la direccin IP.
Equipo 3
El equipo 3 cuenta con la proteccin del antivirus Avg en su versin 7.5. Al contrario que en el caso de los equipos actuales este antivirus est instalado en su versin gratuita y se encuentra correctamente actualizado. Tambin cuenta con el antispyware de Avg tambin en su versin 7.5. As mismo cuenta con la proteccin del AD-Aware SE Personal. Ambos antispyware se encuentran correctamente actualizados. El equipo se conecta a la red de la empresa mediante la conexin inalmbrica y est configurado para recibir automticamente la direccin IP del Router cada vez que se conecte a la red.
Router
El Router ha sido proporcionado por la compaa distribuidora de la lnea ADSL y su configuracin es: o Servidor DHCP activado de forma que cada vez que un equipo es conectado a la red se le concede una direccin IP privada dentro del rango que tiene determinado. o Para la conexin inalmbrica dispone de clave de acceso WEP. o No dispone de ninguna poltica de encriptacin de los datos.
18
3.4 Conclusiones
Los equipos de la empresa no estn excesivamente cargados de Software pero se aprecia un grave problema en la seguridad Software. Se dispone de antivirus pero stos no estn correctamente actualizados lo que puede ser un grave problema de seguridad. El Firewall usado en todos los equipos es el que trae por defecto el Sistema Operativo Windows y aunque no sea un mal Software puede no ser el ms indicado para un entorno empresarial. Dos de los tres equipos tienen instalada la versin Home edition del Sistema Operativo Windows XP; puede ser mucho ms til disponer de la versin Professional debido a sus caractersticas para conexiones en red. El Router de acceso a la red est correctamente configurado en el sentido de que dispone de una clave WEP para las conexiones inalmbricas pero sera deseable algn mtodo de encriptacin de la informacin o que el Router no asignara las direcciones IP automticamente. Tambin se puede observar que todo el Software, y por lo tanto la informacin, para la realizacin de las declaraciones a la Agencia Tributaria se encuentra en un nico equipo lo cual no es muy recomendable debido a que si ese equipo falla se perder toda la informacin relacionada con las ltimas declaraciones de Hacienda, las cuales deben ser guardadas durante un periodo estipulado.
19
5. ANLISIS DE RIESGOS
5.1 Introduccin
En este apartado se va a realizar un anlisis de riesgos completo de todo el sistema informtico de la empresa para ver las posibles amenazas que pueden afectar a la empresa, las vulnerabilidades de sta con respecto a las amenazas y el impacto que estas amenazas pudieran tener en la empresa en el caso de llegar a materializarse. En este apartado se van a tratar los siguientes temas: Activo: Algo de valor al que afecta una amenaza. Actor: Quin o qu puede violar los requisitos de seguridad. Amenaza: Actor cuya intrusin en el sistema puede provocar una violacin de los requisitos de seguridad de un activo (prdida de confidencialidad, prdida de disponibilidad, destruccin, prdida de integridad,). El motivo por que se produce una amenaza puede ser accidental (por ejemplo un desastre natural) o intencionado (por ejemplo una accin humana). Impacto: Efecto que producir una amenaza en el sistema si sta llega a hacerse realidad. Vulnerabilidad: Debilidad del sistema, la cual propicia que una amenaza se pueda hacer realidad. Riesgo: Posibilidad de que una amenaza se materialice debido a una vulnerabilidad del sistema sin corregir.
21
Cada amenaza va a ser clasificada en 5 niveles de gravedad: Muy alta: Las prdidas para la empresa son importantsimas e irreparables. Alta: Las prdidas para la empresa son muy importantes pero pueden tener un remedio a medio-largo plazo. Media: Las prdidas son importantes pero tienen una solucin en corto plazo. Baja: Se producen prdidas mnimas sin gran impacto dentro de la organizacin. Muy baja: No se producen prdidas o stas son insignificantes y no afectan en prcticamente ningn grado a la organizacin.
22
23
Tipo B: Se dara en el caso de cortes de electricidad de corta duracin por problemas de la instalacin elctrica del edificio debidos a la tormenta o por problemas de las lneas de la empresa suministradora. La gravedad de esta amenaza puede considerarse como media/baja y la probabilidad de que ocurra es media pues es frecuente que puedan producirse cortes intermitentes de luz durante una tormenta. Medidas preventivas contra los impactos dentro de la empresa Instalacin en el edificio de elementos de proteccin contra las tormentas como por ejemplo pararrayos. Dispositivos de proteccin de las lneas elctricas contra sobrecargas. Aplicacin de medidas contra incendios. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) que garanticen que los equipos no sufrirn un corte brusco de energa y que realizarn un apagado ordenado. Polticas de Backup localizado fuera del edificio de la empresa.
5.2.1.2 Terremotos
Un terremoto es una sacudida del terreno ocasionada por el choque de las placas tectnicas localizadas en la litosfera terrestre. [Web 1] Los terremotos se miden segn la escala de magnitud local o de Richter la cual mide la intensidad de un terremoto segn una escala que va desde -1,5 hasta 12. Magnitud de Richter -1,5 Referencia Rotura de una roca en un laboratorio Pequea explosin en un sitio en construccin Bomba convencional de la Segunda Guerra Mundial Explosin de un taque de gas
1,0
1,5
2,0
24
2,5
Bombardeo a la ciudad de Londres Explosin de una planta de gas Explosin de una mina Bomba atmica de baja potencia Tornado promedio Terremoto de Albolote, Granada (Espaa). 1956 Terremoto de Little Skull Mountain, Nevada (EEUU). 1992 Terremoto de Double Spring Flat, Nevada (EEUU). 1994 Terremoto de Nortbridge, California (EEUU). 1994 Terremoto de Hyogo-Ken Nambu, Japon. 1995 Terremoto de Landers, California (EEUU). 1992 Terremoto de Mxico. 1985 Terremoto de Anchorage, Alaska (EEUU). 1964 Terremoto del Ocano Indico. 2004 Terremoto de Valdivia, Chile. 1960 Estimado para el 25
3,0
3,5 4,0
4,5 5,0
5,5
6,0
6,5
7,0
7,5
8,0
8,5
9,2
9,6
10,0
Un terremoto de alta graduacin en la escala de Richter puede producir derrumbamientos de edificios as como cortes de electricidad o rotura de material debido a cadas o golpes. Impacto dentro de la empresa La zona donde se localiza la empresa es ssmicamente estable registrndose movimientos ssmicos puntuales de poca intensidad. Por lo tanto es una amenaza que tendr un impacto bajo en la empresa y se podra englobar dentro de las amenazas de tipo B. Impacto de la amenaza segn su nivel: Tipo A: Se dara en el caso de un sesmo de intensidad superior a 6 en la escala de magnitud local y puede afectar a la estructura del edificio provocando incluso su derrumbe en casos extremos o incendios. Puede provocar graves daos en los equipos informticos debidos a roturas y fuertes golpes. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es muy baja. Tipo M: Se dara en el caso de un sesmo de intensidad igual a 5 o inferior. Los daos seran inferiores a los producidos en el tipo A. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es muy baja. Tipo B: Sesmo inferior que puede ocasionar desalojos en los edificios y que producira una prdida mnima de tiempo de trabajo. La gravedad de esta amenaza puede considerarse como baja/muy baja y la probabilidad de que ocurra es baja pues es en la zona no se dan terremotos lo suficientemente intensos como para propiciar un desalojo de edificios. Medidas preventivas contra los terremotos dentro de la empresa La nica medida posible para evitar los daos producidos por un terremoto es la construccin de edificios con medidas antissmicas.
26
5.2.1.3 Inundaciones
Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o edificios. [Web 1] Una inundacin puede ser producida por un exceso de lluvias, desbordamiento de ros, rotura de presas, rotura de caeras, exceso de humedad Una inundacin en la zona donde se encuentren los equipos informticos puede producir daos materiales en los equipos. Impacto dentro de la empresa La zona donde se localiza la empresa no es propicia a que se produzcan lluvias torrenciales y tampoco existe ninguna presa cerca. S existe cerca del edificio donde se ubica la empresa un ro y aunque se han producido desbordamientos existen pocas posibilidades de que llegue a desbordarse y que en tal caso que el agua llegue a las dependencias de la empresa. S podran producirse inundaciones en la empresa debido a rotura de tuberas o humedades excesivas que pueden daar los equipos informticos y producir prdida de datos e informacin crtica para la empresa. Impacto de la amenaza segn su nivel: Tipo A: Grave inundacin, que anegara todo el edificio y que afectara a los equipos de forma que se podran perder datos crticos y se suspendera la actividad de la empresa por un tiempo indefinido. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es media/baja. Tipo M: Inundacin de una zona donde se encuentre equipamiento informtico con datos crticos para el funcionamiento de la empresa y que producira una prdida parcial de informacin o de horas de trabajo. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es media/baja. Tipo B: Pequeas inundaciones debidas a roturas de tuberas o filtraciones de agua debido a humedades en las paredes y que pueden daar algn equipo. La gravedad de esta amenaza puede considerarse como media/alta y la probabilidad de que ocurra es alta pues es relativamente fcil que ocurra algn un problema en una tubera. 27
Medidas preventivas contra inundaciones dentro de la empresa Detectores y alarmas de humedad. Desages en perfecto estado. Dispositivos de drenaje en falso techo o falso suelo.
28
5.2.2 Estructurales
Amenazas debidas a fallos en los elementos del edificio tales como cableado elctrico, conductos del aire acondicionado, elementos de comunicacin [Web 1] Pueden ser controlados y evitados.
5.2.2.1 Incendios
Fuego no controlado que puede ser extremadamente peligroso para los seres vivos y las estructuras, produciendo adems gases txicos. Las causas de un incendio pueden ser diversas: Existencia de una fuente de ignicin cercana a un material inflamable. Problemas en cuadros elctricos. Cortocircuitos. Etc.
Un incendio puede daar gravemente el equipamiento informtico de la empresa, pudiendo dejarlo completamente inservible, as como la documentacin existente en formato papel. Impacto dentro de la empresa Un incendio que afecte a la empresa puede deberse a causas naturales, accidentales o ser premeditado para infligir dao. Impacto de la amenaza segn su nivel: Tipo A: Gran incendio que afecte a todo el edificio donde est ubicada la empresa. Un incendio de estas caractersticas podra dejar inutilizadas completamente todas las instalaciones de la empresa as como destruir todo el equipamiento informtico y la informacin vital de sta que se encuentre en cualquier tipo de soporte, lo que podra producir la paralizacin total de la actividad de la empresa por un periodo de tiempo muy largo si no se dispone de una copia de Backup convenientemente actualizada y que no se localizara en las instalaciones que han sido afectadas por el fuego. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es media/alta debido a que si se produce un incendio de estas caractersticas debido a un descuido o de una forma intencionada puede resultar muy difcil para los equipos de extincin conseguir controlar un fuego tan grande y evitar que no se produzcan daos graves en el edificio. 29
Tipo M: Incendio en una parte localizada del edificio que aunque no afecte directamente a la empresa y a su equipamiento puede dificultar las labores normales de trabajo dentro de la empresa durante un periodo de tiempo medio (entre 3 y 6 meses). La gravedad de la amenaza puede considerarse como media/alta, y la probabilidad de que se produzca es media/alta aunque en este caso los equipos de extincin tendrn mucho ms fcil la labor de extinguir rpidamente el fuego. Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos concretos. En el caso de disponer de copias de seguridad de esos equipos la puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos puede ser inmediata. La gravedad de esta amenaza puede considerarse como media/alta porque en el caso de que no se disponga de una copia de seguridad de los equipos afectados se puede perder informacin valiosa. La probabilidad de que ocurra es alta, pues es relativamente fcil que se produzca un cortocircuito que provoque un fuego aunque como es centralizado sera de fcil y rpida extincin. Medidas preventivas contra incendios dentro de la empresa Detectores y alarmas de humos. Dispositivos automticos de extincin de incendios. Revisiones peridicas de toda la instalacin elctrica. Revisiones de todas las obras y trabajos que se realicen en el entorno de la empresa para evitar posibles accidentes debido al manejo de materiales inflamables. Disponer de extintores repartidos por toda la empresa, especialmente cerca de los equipos informticos.
30
31
5.2.2.3 Agua
Corte temporal del suministro de agua por parte de la compaa suministradora. El corte puede ser de corta duracin o incluso de varios das. Impacto dentro de la empresa En el caso de esta empresa ninguno de los equipos tiene instalada ningn tipo de refrigeracin mediante conductos de agua por lo que un corte en el suministro de agua de la empresa no afectar en ninguna medida al equipamiento informtico de la misma.
Medidas preventivas contra cortes de agua dentro de la empresa Puesto que el corte del suministro de agua no afecta en ningn modo al equipamiento informtico no ser necesaria la implantacin de ningn tipo de medidas preventivas.
5.2.2.4 Refrigeracin
Fallos en el normal funcionamiento de la maquinaria de climatizacin que existe dentro de la empresa. Los fallos pueden ser debido a cortes en el suministro elctrico, fugas en los aparatos de climatizacin, etc. El equipamiento informtico de la empresa no est funcionando a ritmo completo las 24 horas del da por lo que no necesita unas condiciones especiales en lo que se refiere a la temperatura ambiente. Impacto dentro de la empresa Los equipos informticos slo deben estar en funcionamiento durante el horario de trabajo, por lo que, incluso con temperaturas excesivamente elevadas debidas a un fallo en el sistema de refrigeracin, el correcto funcionamiento de los equipos no se vera afectado, no es crtico que un determinado puesto de trabajo deba ser desconectado durante un tiempo para conseguir disminuir su temperatura y evitar fallos de Hardware. Medidas preventivas contra cortes en la refrigeracin dentro de la empresa Aunque no es necesario se podran instalar en los equipos elementos de ventilacin ms potentes para conseguir una mejora en su refrigeracin.
32
5.2.2.5 Comunicaciones
Corte temporal en los sistemas de comunicacin de la empresa debido a un problema externo (puede deberse a un fallo de la compaa telefnica suministradora). El corte puede ser de corta duracin (un da) o ms extenso (varios das). Las causas para que se produzca un fallo en las comunicaciones por problemas de la compaa telefnica puede deberse a factores naturales o a factores humanos. Impacto dentro de la empresa Un fallo en el sistema de comunicaciones puede producir un grave trastorno a la empresa, pues depende en gran medida de stas para desarrollar su negocio. Debido a la naturaleza de la empresa puede no ser tan crtico un fallo en las comunicaciones de los equipos informticos como en las comunicaciones de voz. Impacto de la amenaza segn su nivel: Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo. Hasta el momento, en lo que lleva constituida la empresa (constituida en febrero 2001), no se han producido este tipo de cortes, por lo que se supone que no llegarn a producirse. Tipo M: Corte en las comunicaciones durante varios das lo que puede retrasar y complicar ligeramente las actuaciones de la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o micro cortes durante un periodo corto de tiempo. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es tambin baja. Medidas preventivas contra cortes en las comunicaciones dentro de la empresa Contratacin de varias lneas con suministradores diferentes. Separacin de lneas de datos y lneas de voz para que no se pierda el servicio de las dos al mismo tiempo.
33
5.2.3 Hardware
Amenazas debidas a problemas en el equipamiento fsico de la empresa. Pueden ser controladas.
La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa, aunque la probabilidad de que se produzca es baja. Tipo M: Fallo en alguno de los equipos durante un tiempo inferior a una semana, sin prdida de ningn tipo de informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Fallo en algn equipo durante un tiempo inferior a 24 horas o pequeos fallos durante ese tiempo sin darse prdida de informacin. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja. Medidas preventivas contra fallos en los equipos de la empresa Tener un sistema de Backup convenientemente actualizado para prevenir la prdida de informacin crtica. Tener contratado un buen sistema de servicio tcnico que sea rpido a la hora de reparar posibles fallos en los equipos del sistema. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energa repentinos.
35
Impacto de la amenaza segn su nivel: Tipo A: Fallo en todos los equipos de trabajo porttiles de la empresa durante un periodo de tiempo superior a una semana o prdida de informacin almacenada en esos equipos. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa aunque la probabilidad de que se produzca es baja. Tipo M: Fallo en alguno de los equipos porttiles durante un tiempo inferior a una semana pero no se da prdida de ningn tipo de informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Fallo en algn equipo porttil durante un tiempo inferior a 24 horas o pequeos fallos durante ese tiempo sin darse prdida de informacin. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja. Medidas preventivas contra fallos en los equipos porttiles de la empresa Tener un sistema de Backup convenientemente actualizado para prevenir la prdida de informacin crtica. Tener contratado un buen sistema de servicio tcnico rpido y eficaz a la hora de reparar posibles fallos en los equipos del sistema. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energa repentinos.
36
5.2.4 Software
Fallos debidos a amenazas que pueden afectar al Software que emplea la empresa para desarrollar su actividad de negocio. Pueden ser evitados.
repercutir excesivamente en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es baja, pues los Sistemas Operativos estn correctamente actualizados. Medidas preventivas contra fallos el Sistemas Operativos de la empresa Disponer de Software original y garantizado por el distribuidor. Realizar las actualizaciones del Sistema Operativo que proporcione el fabricante.
38
Impacto dentro de la empresa Un fallo en las aplicaciones que se utilizan dentro la empresa puede provocar problemas en el correcto funcionamiento de los procesos de la empresa. Adems de aplicaciones comerciales, dentro de la empresa tambin se usan aplicaciones especficamente desarrolladas para ella, como por ejemplo programas de contabilidad. Al no ser aplicaciones comerciales con gran respaldo pueden producirse ms fallos y, generar incluso problemas de seguridad. Impacto de la amenaza segn su nivel: Tipo A: Fallo en aplicaciones consideradas crticas dentro la empresa durante un tiempo superior a un da. Aplicaciones crticas se pueden considerar por ejemplo las aplicaciones desarrolladas a medida para la empresa y de las que es ms complicado recibir soporte, pero son muy importantes para el correcto desarrollo de los procesos de negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa debido a que muchas aplicaciones estn instaladas nicamente en un equipo y si fallan se perder su utilidad durante el tiempo de fallo. La probabilidad de que se produzca es media/baja pues las aplicaciones comerciales estn correctamente actualizadas, pero las aplicaciones elaboradas a medida presentan un mantenimiento ms complicado. Tipo M: Fallo en aplicaciones consideradas crticas dentro de la empresa durante un tiempo mximo de un da. La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la aplicacin no sea extenso, puede perjudicar al correcto funcionamiento de la empresa. La probabilidad de que se produzca es media/baja, como se ha comentado en el tipo A, las aplicaciones comerciales estn correctamente actualizadas, pero las aplicaciones elaboradas a medida tienen un mantenimiento ms complicado. Tipo B: Fallo en aplicaciones no crticas, es decir, que no afecten al desarrollo normal de los procesos de la empresa durante un periodo inferior a un da. La gravedad de esta amenaza puede considerarse como baja puesto que si el fallo se da en aplicaciones no crticas, o que estn instaladas en varios equipos no se alterarn los procesos de la empresa. La probabilidad de que ocurra es baja pues las aplicaciones no crticas son las comerciales y estn correctamente actualizadas e instaladas en ms de un equipo. 39
Medidas preventivas contra fallos en las aplicaciones de la empresa Disponer de Software original y garantizado por el distribuidor. Realizar las actualizaciones del Software que proporcione el fabricante. En el caso de Software a medida se deber acordar con el desarrollador un plan de mantenimiento ante cualquier circunstancia.
Fallos de seguridad leves se puede considerar que el antivirus deje de funcionar durante una hora, un corte elctrico breve que afecte a la alarma, etc. La gravedad de esta amenaza puede considerarse como media/baja puesto que aunque el fallo de elementos de seguridad es grave, si estos sistemas estn sin funcionamiento un tiempo mnimo el impacto en la empresa no ser grave. La probabilidad de que ocurra es media/alta ya que pequeos errores, como el fallo temporal de un antivirus suelen ser frecuente. Medidas preventivas contra fallos en los elementos de seguridad de la empresa Controlar que las medidas de seguridad Software estn continuamente funcionando y correctamente actualizadas. Revisin peridica de los elementos de seguridad fsica para comprobar su correcto funcionamiento.
41
42
Impacto de la amenaza segn su nivel: Tipo A: Fallo en los sistemas anti intrusos de la red lo que provoca un agujero de seguridad del que se aprovecha alguien ajeno a la organizacin para introducirse en el sistema, inutilizar los sistemas de comunicacin hacia el exterior (inutilizar el Router de comunicacin) y, potencialmente, puede provocar una prdida de informacin crtica para el negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta porque un fallo de este tipo en las medidas de seguridad de la empresa provocara un grave perjuicio en el negocio de sta, no tanto por la imposibilidad de comunicarse con el exterior como por la prdida de informacin valiosa. La probabilidad de que se produzca es media pues dentro de la empresa se tienen adecuadamente instaladas medidas anti intrusos pero no se presta demasiada atencin a su mantenimiento y actualizacin. Tipo M: No se contempla este tipo para esta amenaza. Tipo B: Fallo de las medidas de seguridad de acceso al Router de la empresa lo que puede provocar que alguien ajeno a la empresa intente colarse en la configuracin del Router y la cambie para impedir el acceso desde dentro de la empresa al exterior. La gravedad de esta amenaza puede considerarse como baja pues aunque se produjera la situacin no se produciran daos importantes en los procesos de la empresa por el hecho de no poder comunicarse con el exterior va Web. Por otra parte la amenaza es fcilmente solucionable, pues basta con realizar un reinicio del Router para que vuelva a su configuracin inicial y pueda ser nuevamente configurado con las caractersticas necesarias de la organizacin. La probabilidad de que ocurra es baja pues el acceso al Router est perfectamente protegido mediante contraseas. Medidas preventivas contra fallos en los sistemas de seguridad de las comunicaciones de la empresa Mantener correctamente actualizados los sistemas de seguridad para que detecten, eviten e informen de posibles ataques externos e internos a nuestro sistema.
43
Medidas preventivas contra fallos de las redes pblicas ajenas a la empresa Contratar con la empresa suministradora un servicio de mantenimiento que asegure una rpida reparacin en caso de prdida del servicio. En el caso de que fuera necesario disponer siempre de un servicio de conexin, contratar una lnea adicional con otra compaa para evitar prdidas de servicio.
45
46
5.2.7 Informacin
Qu problemas pueden afectar a la informacin almacenada dentro de la empresa, la cual es valiosa para llevar a cabo los procesos de negocio.
5.2.7.1 Ficheros
Fallos o prdidas de los ficheros donde se almacena la informacin valiosa de la empresa. Los problemas con los ficheros pueden ser debidos a una mala gestin de los mismos, a fallos en los equipos donde estn almacenados los ficheros, etc. Impacto dentro de la empresa Debido a la no existencia de Bases de Datos dentro de la empresa, toda la informacin se encuentra almacenada en ficheros, por lo tanto si se producen fallos en ficheros con informacin, los cuales no se encuentran replicados, los problemas para la empresa pueden ser muy graves. Impacto de la amenaza segn su nivel: Tipo A: Prdida de ficheros con informacin muy crtica sobre los negocios que mantiene la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin no est replicada en ningn otro equipo, ni generalmente, en ningn otro soporte, la prdida del fichero es irreparable. La probabilidad de que se produzca es media debido a que, generalmente, dentro de la empresa nicamente se cuenta con una copia de cada fichero almacenado. Tipo M: Prdida temporal (no superior a cuarenta y ocho horas) del acceso a ficheros con informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como alta debido a que puede afectar al retraso de alguna de las operaciones de la empresa si no puede acceder momentneamente a informacin importante. La probabilidad de que se produzca es media. Tipo B: Prdida temporal (no superior a veinticuatro horas) del acceso a ficheros sin demasiada importancia para los negocios de la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin almacenada en esos ficheros no es extremada y no repercutira en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es media.
47
Medidas preventivas contra fallos en los ficheros de la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. El uso de bases de datos centralizadas en un equipo independiente de los que usan los empleados habitualmente favorecera la posibilidad de que aunque se den fallos en un equipo no se pierda informacin importante.
48
5.2.8 Personal
La mayora de los ataques informticos a una empresa provienen desde dentro de la misma perpetrados por sus propios empleados. Es importante contar con estrategias de control de los empleados, as como de las acciones que realizan en el sistema.
49
Impacto de la amenaza segn su nivel: Tipo A: Acceso al sistema de la empresa y prdida de informacin de la operacin en marcha, la cual es crucial para una buena finalizacin del negocio para la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin sustrada es de mxima utilidad para la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias para que su informacin este protegida. Tipo M: Acceso a los sistemas de la empresa y prdida de informacin de negocios ya concluidos por la empresa. La gravedad de la amenaza puede considerarse como alta debido a que a pesar de que el negocio ya ha sido finalizado la informacin del mismo es un importante activo para futuros negocios. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias para que su informacin este protegida. Tipo B: Acceso a los sistemas de la empresa y prdida de informacin de poca importancia para la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin perdida no es de gran importancia por lo que no tendr ningn efecto negativo en la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias para que su informacin este protegida. Medidas preventivas contra los ataques de personal externo a la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. Ser especialmente cuidadosos con la informacin crtica de los negocios y que sta nunca est fcilmente al alcance.
50
5.2.9.1 Robo
Cualquier empresa puede ser objetivo de un robo debido a que en sus dependencias suelen tener material valioso e incluso dinero. Impacto dentro de la empresa Al igual que cualquier otra empresa o domicilio particular est expuesta a intentos de robos que pueden provocar la prdida de equipamiento informtico, documentacin importante, etc. Impacto de la amenaza segn su nivel: Tipo A: Robo de activos de la empresa en el cual son sustrados equipamientos y documentos en los que se almacenaba informacin importante para el negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin sustrada es de mxima utilidad para la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias contra robos. Tipo M: Robo de activos de la empresa en el cual son sustrados equipamiento y documentacin con informacin que, aun siendo importante, no es crucial para llevar a cabo correctamente el negocio de la empresa. La gravedad de la amenaza puede considerarse como alta debido a que, a pesar de que la informacin sustrada no es crtica, s es muy importante y puede llegar a causar algn prejuicio la falta de esa informacin o equipo. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias contra robos. Tipo B: Robo de activos de la empresa en el cual son sustrados equipamiento y documentacin con informacin irrelevante para los negocios de la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin perdida no es importante para llevar a cabo los negocios de la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias contra robos.
51
Medidas preventivas contra robos a la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. Tener siempre conectada la alarma de la empresa cuando no se encuentre nadie dentro de la oficina.
La gravedad de esta amenaza puede considerarse como baja, puesto que la importancia de la informacin perdida no es importante para llevar a cabo los negocios de la empresa. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la informacin de su negocio. Medidas preventivas contra prdidas no intencionadas de activos de la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. Tener siempre mucho cuidado con la informacin que se trabaja para que no se produzcan prdidas.
53
5.2.10 Legislacin
La informacin que manejan las empresas est sujeta al cumplimiento de las actuales leyes nacionales y europeas sobre la proteccin de datos de carcter personal. [Web 8] En Espaa la Agencia de Proteccin de Datos se encarga de velar para que se cumplan las diferentes leyes que conciernen a los datos que manejan las empresas. Algunas de las leyes que afectan a los datos manejados por las organizaciones son: Ley Orgnica de Proteccin de Datos: ley aprobada en el ao 1999 y actualizada en el ao 2008. Todas las empresas han de declarar sus ficheros que contengan datos personales ante la AGPD. La ley contempla tres niveles de seguridad de los datos y duras sanciones dependiendo del grado de incumplimiento de la ley. Ley de Servicios de la Sociedad de la Informacin y del Comercio Electrnico: establece la regulacin para la realizacin de actividades comerciales en Internet as como la distribucin de correo electrnico con carcter comercial.
Impacto dentro de la empresa La empresa, debido a su actividad, no debe someterse a la LSSI-CE puesto que no acta en Internet. La LOPD s afecta a la organizacin; en la empresa trabajan dos empleados por lo que sus datos personales y fiscales estn sometidos al nivel bajo de la LOPD y deben ser protegidos y declarados ante la AGPD.
54
5.2.11.1 Terrorismo
Los actos de terrorismo son actos de violencia para infundir terror. [Web 1] En el mundo actual el terrorismo se est convirtiendo en una de las grandes amenazas para todo el conjunto de la sociedad. Impacto dentro de la empresa Valladolid, ciudad donde se ubica la empresa, no ha sido histricamente objetivo de grandes atentados terroristas como puede haber sido Madrid pero sin embargo s se ha perpetrado alguno y en especial dirigido a negocios, sobre todo de hostelera, de la ciudad. Impacto de la amenaza segn su nivel: Tipo A: Destruccin completa del edificio donde se localiza la sede de la empresa debido a un atentado terrorista con la consiguiente prdida de todos los activos de la empresa que estuvieran ubicados all. La gravedad de la amenaza puede considerarse como muy alta debido a que se perdern todos los activos ms importantes de la empresa. La hiptesis de que se produzca es baja debido a que existen pocas probabilidades de que se lleve a cabo un atentado de esa magnitud en Valladolid. Tipo M: Atentado terrorista que afecte a parte del edificio e impida el acceso a la empresa durante un tiempo no superior a 1 mes. La gravedad de la amenaza puede considerarse como alta debido a que a paralizara parte de la actividad de la empresa durante el tiempo que no se pudiera acceder a su sede. La hiptesis de que se produzca es baja debido a que existen pocas probabilidades de que se lleve a cabo un atentado de esa magnitud en Valladolid. Tipo B: Atentado terrorista que afecte a parte del edificio e impida el acceso a la empresa durante un tiempo no superior a 1 semana. La gravedad de esta amenaza puede considerarse como media/baja puesto que podra paralizar parte de la actividad de la empresa durante el tiempo que no se pueda acceder a su sede. La probabilidad de que se produzca es media/baja.
55
Medidas preventivas contra riesgo de ataques terroristas Polticas de Backup localizado fuera del edificio de la empresa. La nica medida contra actos terroristas es la lucha de los cuerpos de seguridad del estado.
56
Impacto de la amenaza segn su nivel: Tipo A: Que la empresa externa que ha desarrollado y mantiene el Software de contabilidad desaparezca con el consiguiente perjuicio de la prdida del mantenimiento del Software. La gravedad de la amenaza puede considerarse como media/alta debido a que el Software de contabilidad es muy importante para el desarrollo normal de las actividades de la empresa. La probabilidad de que se produzca es media/baja. Tipo M: Problemas de la empresa externa que ha desarrollado y mantiene el Software de contabilidad que imposibilitan que den un servicio adecuado durante un periodo no superior a un mes. La gravedad de la amenaza puede considerarse como baja debido a que el mantenimiento del Software no se requiere todos los meses. La probabilidad de que se produzca es media/baja. Tipo B: Problemas de la empresa externa que ha desarrollado y mantiene el Software de contabilidad que imposibilitan que den un servicio adecuado durante un periodo no superior a una semana. La gravedad de la amenaza puede considerarse como baja debido a que el mantenimiento del Software no se requiere todas las semanas. La probabilidad de que se produzca es media/baja. Medidas preventivas contra prdidas de solvencia de los servicios externos a la empresa Establecer con el proveedor un contrato que exija el cumplimiento de unas condiciones de mantenimiento o en su defecto una compensacin. 57
58
6. ANLISIS DE VULNERABILIDADES
6.1 Introduccin
En el apartado anterior se han enumerado una por una todas las amenazas que podran afectar a la empresa y se ha descrito el posible impacto que esa amenaza tendra dentro de la empresa en el caso de producirse. En este apartado, se van a identificar las vulnerabilidades que tiene la empresa y que pueden ser aprovechadas por alguna amenaza para producir algn tipo de dao en la misma.
59
Se pueden identificar las siguientes vulnerabilidades: - Falta de pararrayos en el edificio. - Falta de polticas de Backup.
- Fallo de porttiles. Se pueden identificar las siguientes vulnerabilidades: - Falta de polticas de Backup. - Falta de dispositivos SAI que garanticen el suministro elctrico.
61
Se pueden identificar las siguientes vulnerabilidades: No existe una poltica de copias de seguridad por lo que una prdida de datos sera irreparable.
62
Se pueden identificar las siguientes vulnerabilidades: No existen polticas de backup de la informacin. No existe una ubicacin centralizada de almacenamiento de la informacin; sta se encuentra repartida en los diferentes equipos de la empresa. No existen polticas ni medios de cifrado de la informacin crtica. No existen planes de contingencia para casos de prdidas de informacin.
Se pueden identificar las siguientes vulnerabilidades: No existe una poltica de contraseas para el acceso a los equipos. No existe una poltica de restriccin de acceso a los datos.
63
Se pueden identificar las siguientes vulnerabilidades: En la empresa existe un buen sistema de seguridad fsica que evita la prdida de activos debido a robos, pero los sistemas Software de seguridad no estn lo suficientemente bien adaptados a las necesidades de la empresa.
No solicitar la inscripcin del fichero en la AGPD. No atender a las solicitudes de los interesados sobre datos que les conciernen. Recoger los datos sin informar a los interesados sobre: la existencia del fichero, el uso que se va a dar a los datos, el responsable del fichero, los derechos de los interesados.
Alta
Media
Falta de dispositivos SAI Dependencia exclusiva de un nico proveedor de comunicaciones Mala actualizacin de Software de seguridad Mala actualizacin de Software de gestin
Media
Baja
Informacin de la empresa
Alta
Informacin de la empresa
Media
65
Informacin de la empresa
Baja
Baja
No existe una poltica de copias de seguridad No existe un almacenamiento centralizado de la informacin No existen polticas ni medios para el cifrado de la informacin No existen planes de contingencia No existe poltica de contraseas No existe polticas de restriccin de acceso a datos Software de seguridad no adaptado correctamente a la empresa No declaracin de los ficheros de informacin personal ante la AGPD
Alta
10
Informacin de la empresa
Media
11
Informacin de la empresa
Media
12
Alta
13
Baja
14
Baja
15
Informacin de la empresa
Media
16
Informacin de la empresa
Baja
66
17
Alta
67
7. PLAN DE SEGURIDAD
7.1 Introduccin
Hasta este punto se ha realizado un completo anlisis de la situacin de la empresa en lo que se refiere a la seguridad de la informacin. A continuacin se van a detallar las posibles soluciones que debe implantar la empresa para conseguir establecer un nivel de seguridad de su informacin adecuado para evitar prdidas y daos de activos.
68
Aunque antes se ha comentado que para tratar los desastres naturales slo se pueden establecer medidas preventivas, la realizacin de copias de Backup se puede incluir tambin dentro de medidas correctoras.
69
Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
Riesgos asumibles en la empresa: Prdida de las comunicaciones durante un periodo inferior a 24 horas.
Medidas correctoras a adoptar dentro de la empresa: Tener contratado un buen servicio tcnico que asegure una rpida reparacin y puesta en marcha de los equipos si se produce un fallo. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
Riesgos asumibles en la empresa: Fallo en alguna estacin PC o porttil durante un periodo inferior a 24 horas. 70
Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
71
Establecimiento de polticas de seguridad de acceso a la red mediante el empleo de contraseas. Instalacin de un Router de acceso gestionable, ms adecuado para la empresa que el proporcionado por la empresa suministradora del servicio. Establecer una correcta configuracin de seguridad para la red inalmbrica que evite accesos indeseados.
Medidas correctoras a adoptar dentro de la empresa: Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones que aseguren una rpida reparacin y restablecimiento del servicio en caso de problemas con la lnea. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
Riesgos asumibles en la empresa: Fallo en los sistemas de comunicacin de red durante un periodo no superior a 24 horas.
72
Realizacin peridica de copias de seguridad de los datos, en especial de los datos crticos, generados en la empresa. Realizacin peridica de copias de Backup localizadas en servidores externos a la empresa para garantizar la disponibilidad de los datos ante cualquier contratiempo en la empresa.
Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
Medidas correctoras a adoptar dentro de la empresa: Seguimiento de los procedimientos de seguridad establecidos para cada caso. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Seguimiento del plan de contingencia especificado para cada caso.
73
Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Realizacin de cursos de concienciacin sobre la importancia de la seguridad de los datos para el personal de la empresa.
Tener la alarma conectada cuando no hay personal dentro de las instalaciones de la empresa.
Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
7.2.10 Medidas aplicadas a informacin que debe ser declarada ante la Agencia de Proteccin de Datos
Los ficheros con informacin de carcter personal, como lo son por ejemplo las nminas, entran dentro del nivel bajo de la LOPD por lo que adems de declarar esos ficheros a la Agencia de Proteccin de Datos se deben establecer las siguientes medidas de seguridad para los ficheros: [Web 8] Creacin de un documento de seguridad, de obligado cumplimiento para el personal que tenga acceso a los datos. Adopcin de medidas para que el personal conozca las normas de seguridad. Creacin de un registro de incidencias. Creacin de una relacin de usuarios (procesos o personas) que tengan acceso al sistema de informacin. Establecer mecanismos de control de acceso. Establecer mecanismos de control de soporte.
Medidas correctoras a adoptar dentro de la empresa: Se deben declarar ante la Agencia de Proteccin de Datos los ficheros que contienen las nminas de los empleados de la organizacin. Se deben establecer las medidas de seguridad establecidas dentro de la LOPD para adecuarse a lo establecido dentro de la ley.
75
Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Trabajar nicamente con proveedores de probada solvencia y que garanticen una rpida reparacin y restitucin del servicio en caso de fallos.
76
Medidas preventivas Instalacin de dispositivos de proteccin de lneas elctricas contra sobrecargas. Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida). Realizacin peridica de copias de Backup localizadas en servidores externos a la empresa. Revisin peridica de la instalacin elctrica. Instalacin de dispositivos automticos de extincin de incendios. Distribucin de extintores a lo largo de toda la dependencia de la empresa, en especial cerca de elementos informticos crticos. Contratacin de dos lneas exteriores con suministradores de internet para garantizar siempre una conexin mnima a la red. Instalacin de un servidor de almacenamiento centralizado. Realizar peridicamente, o cuando sea requerido por el distribuidor del Software, las actualizaciones oportunas para mantener al da los distintos programas y Sistemas Operativos. Instalacin de bases de datos centralizadas. Disponer de Software de calidad y debidamente revisado. Establecer una poltica de contraseas. Montaje de una red interna en la empresa. Mantener correctamente instalados y actualizados los sistemas de seguridad Software de los que dispone la empresa. Instalacin en la totalidad de equipos de la empresa igual Software de seguridad que garantice la seguridad de los equipos. Instalacin de un Router de acceso gestionable ms adecuado para la empresa que el proporcionado por la empresa suministradora del 77
servicio. Establecer una correcta configuracin de seguridad para la red inalmbrica. Instalacin de un servidor centralizado de copias de seguridad. Realizacin peridica de copias de seguridad. Establecimiento de procedimientos de seguridad. Establecimiento de planes de contingencia. Conseguir una adecuada concienciacin del personal de la empresa. Disponer de un completo inventario de todos los activos de la empresa. Tener la alarma conectada cuando no hay personal dentro de las instalaciones de la empresa. Uso de Software comercial que mantenimiento con periodicidad.
Tabla 7.1: Medidas preventivas
asegure
actualizaciones
Medidas correctoras Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Tener contratado un buen servicio tcnico que asegure una rpida reparacin y puesta en marcha de los equipos si se produce un fallo. Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones. Seguimiento de los procedimientos de seguridad establecidos para cada caso. Seguimiento del plan de contingencia especificado para cada caso. Trabajar nicamente con proveedores de probada solvencia y que garanticen una rpida reparacin y restitucin del servicio en caso de fallos. Realizacin de cursos de concienciacin sobre la importancia de la 78
seguridad de los datos para el personal de la empresa. Dar de alta los ficheros con informacin del personal en la Agencia de Proteccin de Datos. Establecer las medidas de seguridad recogidas en la LOPD para los ficheros que lo requieran.
Tabla 7.2: Medidas correctoras
Riesgos asumibles Prdida de las comunicaciones durante un periodo inferior a 24 horas. Fallo en alguna estacin PC o porttil durante un periodo inferior a 24 horas. Fallo en los sistemas de comunicacin de red durante un periodo no superior a 24 horas.
Tabla 7.3: Riesgos asumibles
79
8. RECOMENDACIONES FINALES
8.1 Introduccin
La seguridad es un proceso continuo, no se pueden establecer unas medidas de seguridad extremas para mantener la integridad de los datos y procesos de la empresa y luego, olvidar que es necesario realizar un seguimiento continuo de las medidas implantadas, actualizacin de Software, revisin peridica del Hardware, etc. Por ello una vez realizado el anlisis de la empresa y dadas las recomendaciones necesarias para conseguir dotar a la empresa de las medidas de seguridad necesarias que cubran las precariedades con las que cuenta la empresa en materia de seguridad informtica, se van a detallar unas recomendaciones finales, sobre todo de cara al futuro, para que la empresa consiga mantener el nivel de seguridad alcanzado gracias a las recomendaciones dadas.
8.2 Recomendaciones
Mantener correctamente actualizado todo el Software de la empresa, antivirus, Sistema Operativo, Software de gestin, etc. Realizar, al menos una vez a la semana, copias de respaldo de todos los datos generados durante el periodo desde la ltima copia de seguridad. Realizar auditoras peridicas, recomendablemente bienales, del nivel de seguridad en que se encuentra la empresa. Se recomienda la contratacin de personal adecuado para el mantenimiento de los sistemas y los procedimientos de seguridad (al menos una). Cumplir correctamente con todo lo referente a la Ley Orgnica de Proteccin de Datos. Que el personal de la empresa siga las recomendaciones dadas en este documento.
80
9. PLANIFICACIN
Para llevar a cabo este proyecto se ha realizado una planificacin dividiendo el proyecto en diferentes paquetes de trabajo. Para identificar los diferentes paquetes de trabajo se seguir la siguiente nomenclatura: WP x; donde x ser el nmero del paquete de trabajo y en el caso de los subpaquetes se definirn: WP x.y donde x ser el nmero del paquete e y sea el nmero de subpaquete.
PROYECTO
81
WP 3.2.2 Comunicaciones
82
La gestin del proyecto abarcar toda su vida con la realizacin de reuniones de seguimiento mensuales con el cliente para informarle de los avances del anlisis de la empresa. Los paquetes de trabajo definidos en la ejecucin del proyecto se realizarn de forma secuencial. 83
84
Como se puede ver en la planificacin, la duracin del proyecto se estima en 8 meses siendo los paquetes de trabajo con mayor duracin: El anlisis de riesgos que tiene una duracin de 40 das. El anlisis de vulnerabilidades que tiene una duracin de un mes. La realizacin del plan de seguridad que tiene una duracin de un mes. La realizacin de las recomendaciones futuras que tiene una duracin de un mes.
85
10. PRESUPUESTO
A continuacin se va a detallar el presupuesto necesario para la realizacin de este proyecto. Para llevar a cabo este proyecto nicamente ser necesaria la contratacin de un auditor a tiempo completo durante la duracin del proyecto. Para realizar la valoracin econmica se considerara: Tarifa auditor: 50 la hora. Media de horas laborables al mes: 160. Tiempo de desarrollo del proyecto: 8 meses.
86
11. CONCLUSIONES
Una vez concluido el trabajo de anlisis de la empresa y dadas las recomendaciones de seguridad oportunas se finaliza el proyecto detallando las conclusiones obtenidas. 1. Los responsables de la empresa no tienen una buena conciencia de lo importante que es la seguridad informtica. A lo largo de la realizacin del proyecto se ha comprobado en numerosas ocasiones que los responsables de la empresa no son conscientes de lo importante que es la seguridad informtica para su proceso de negocio y lo vulnerable que es la empresa a posibles prdidas de informacin.
2. La naturaleza de las amenazas que pueden afectar a una organizacin ha cambiado. Tal y como se comenta en la introduccin la naturaleza de las amenazas ha cambiado, los creadores de virus ya no tratan de propagarlos rpidamente y conseguir con ello un record de infecciones y cierta notoriedad sino que ahora tratan de colarse en sistemas para robar el mayor nmero de informacin posible sin ser detectados.
3. La empresa se encuentra muy desprotegida ante posibles ataques informticos Tal y como se ha visto a lo largo del proyecto en los anlisis que se han realizado dentro de la empresa, reflejan una falta de preocupacin por los sistemas de seguridad con los que ya se cuenta (la mayora del Software de seguridad no se encuentra actualizado) y por mejoras que se puedan implantar en los sistemas.
4. A pesar de ser una pequea empresa requiere una gran atencin en lo referente a la seguridad de su informacin. Arroyo-Fuensaldaa es una empresa con una nica sede y con poco personal, pero aun as requiere un gran esfuerzo, control y supervisin de todos los procesos informticos que se producen para asegurar que no tengan lugar perdidas de informacin.
87
5. Con las recomendaciones dadas en el presente documento se conseguir dotar a la empresa de la seguridad que necesita. Si se siguen todas las pautas dadas en el presente documento, la empresa podr ponerse al da en la seguridad de sus sistemas y estar adecuadamente protegida.
88
BIBLIOGRAFIA
[HOWA06] Howard. 19 Puntos clave sobre seguridad de Software Editorial McGraw-Hill, Madrid, 2006 [MAIW04] Maiwald, Eric. Fundamentos de seguridad de redes Editorial McGraw-Hill, Madrid, 2004 [ALVA04] lvarez Maran, Gonzalo y Prez Garca, Pedro. Seguridad informtica para la empresa y particulares Editorial McGraw-Hill, Madrid, 2004 [GOME06] Gmez Vieites, A. Enciclopedia de la Seguridad Informtica Editorial Ra-Ma, Madrid, 2006 [Web 1] [Web 2] [Web 3] [Web 4] [Web 5] [Web 6] [Web 7] [Web 8] [Web 9] [Web 10] www.rae.es www.abcdatos.com www.avasthome.com www.McAfee.es www.nokia.es www.bsecure.com www.iso27000.es www.agpd.es www.htc.es www.telefonica.es
89
ANEXOS
ANEXO 1. WinAudit
[Web 2] WinAudit es un completo programa bajo licencia Freeware con el que se puede realizar una completa auditoria de cualquier estacin informtica. WinAudit analiza completamente el equipo y realiza un informe completo incluyendo todo el Software instalado, configuracin de seguridad, configuracin de red, Hardware instalado, mapeo de puertos, configuracin de Firewall, incluso diagnsticos de fallo de Hardware. Los informes elaborados por WinAudit pueden imprimirse en diferentes formatos como html, pdf, txt, xml, etc. Requisitos mnimos WinAudit funciona bajo cualquier Sistema Operativo Windows, desde el 95 al Vista. No requiere de instalacin pues funciona simplemente con ejecutar el archivo .exe del programa.
90
Pantalla principal En la pantalla inicial del programa se puede seleccionar el idioma para realizar el inventario y a continuacin iniciar la recoleccin de datos de la estacin.
Pantalla de anlisis Una vez iniciado el anlisis, y mientras ste se realiza, se puede detener en cualquier momento, as como elegir el formato en el que se mostrar la informacin.
91
Informacin recolectada Una vez finalizado el anlisis WinAudit muestra toda la informacin que ha recolectado de la estacin. En la parte derecha se muestra un men desplegable gracias al cual es posible navegar a travs de las distintas informaciones recopiladas del equipo. Al realizar el guardado del documento, ste se almacenar en el formato escogido.
92
La norma tiene en cuenta 36 objetos de seguridad as como 127 controles de seguridad. La norma: Especifica los requisitos para establecer, implantar, documentar y evaluar un sistema de gestin de seguridad de la informacin segn la norma ISO 17799. Define los controles de seguridad a revisar. Define el marco general del sistema gestin de seguridad de la informacin. Define como implantar el sistema de gestin de seguridad de la informacin. Define como se realiza la explotacin. Define como realizar la revisin y mejora del sistema de gestin de seguridad de la informacin. 93
Polticas de seguridad
Se aplica en la empresa No No No No
Existen documento(s) de polticas de seguridad de SI Existe normativa relativa a la seguridad de los SI Existen procedimientos relativos a la seguridad de los SI Existe un responsable de las polticas, normas y procedimientos Existen mecanismos para la comunicacin a los usuarios de las normas Existen controles regulares para verificar la efectividad de las polticas Organizacin de la seguridad Existen roles y responsabilidades definidos para las personas implicadas en la seguridad Existe un responsable encargado de evaluar la adquisicin y cambios del SI Existen condiciones contractuales de seguridad con terceros y outsourcing Se revisa la organizacin de la seguridad peridicamente por una empresa externa Existe un contrato de mantenimiento y soporte con
No
No
No
No
No
S 94
empresa externa para contingencias Existen programas de formacin en seguridad Clasificacin y control de activos Existe un inventario de activos actualizado El inventario contiene activos de datos, software, equipos y servicios Se dispone de una clasificacin de la informacin segn la criticidad de la misma Existen procedimientos para clasificar la informacin Existen procedimientos de etiquetado de la informacin Seguridad del personal Se tienen definidas responsabilidades y roles de seguridad Se tiene en cuenta la seguridad en la seleccin de personal Se plasman las condiciones de confidencialidad y responsabilidades en los contratos Se imparte la formacin adecuada de seguridad Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad Se recogen los datos de los incidentes de forma detallada Informan los usuarios de las vulnerabilidades observadas o sospechadas Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades Seguridad fsica y del entorno Existe un permetro de seguridad fsica Existen controles de entrada para protegerse frente al acceso de personal no autorizado S S No S S No
No
No No
No
No
No No
No
95
Un rea segura ha de estar cerrada y aislada En las reas seguras existen controles adicionales al personal propio y ajeno Las reas de carga y expedicin estn aisladas de las reas del SI La ubicacin de los equipos est de tal manera para minimizar accesos innecesarios Existen protecciones frente a fallos en la alimentacin elctrica Existe seguridad en el cableado frente a daos e intercepciones Se asegura la disponibilidad e integridad de todos los equipos Existe algn tipo de seguridad en los equipos ubicados exteriormente Existen polticas de limpieza en el puesto de trabajo Gestin de comunicaciones y operaciones Todos los procedimientos operativos identificados en la poltica de seguridad han de estar documentados Estn establecidas responsabilidades para controlar cambios en los equipos Estn establecidas responsabilidades para asegurar una respuesta rpida, ordenada y efectiva frente a incidentes de seguridad Existe algn mtodo para reducir el mal uso accidental o deliberado en los sistemas Existe una separacin de los entornos de desarrollo y produccin Existen contratistas externos para la gestin de los SI Existe un plan de capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento
No No
No aplicable
No
No
No
No
No aplicable
No
No
No
No
No
S No
96
Existen criterios de aceptacin de nuevos SI, incluyendo actualizaciones y nuevas versiones Controles contra software maligno Realizar copias de backup de la informacin esencial para el negocio Existen logs para las actividades realizadas por los operadores y administradores Existen logs de fallos detectados Existe algn control en las redes Hay establecidos controles para realizar la gestin de los medios informticos Eliminacin de los medios informticos. Pueden disponer de informacin sensible Existe seguridad de la documentacin de los sistemas Existen acuerdos para intercambio de informacin y software Existen medidas de seguridad de los medios en el transito Existen medidas de seguridad en el comercio electrnico Se han establecido e implantado medidas para proteger la confidencialidad e integridad de la informacin publicada Control de accesos Existe una poltica de control de accesos Existe un procedimiento formal de registro y de baja Se controla y restringe la asignacin y uso de privilegios en entornos multiusuario Existe una gestin de los password de los usuarios Existe una revisin de los derechos de acceso de los usuarios
No
S No
No
No No No
No
No No
S No aplicable
No
No No No
No No
97
Existe el uso de password Se protege el acceso a los equipos desatendidos Existe una poltica de uso de los servicios de red Se asegura la ruta desde el terminal al servicio Existe una autenticacin de usuarios en conexiones externas Existe una autenticacin de los nodos Existe un control en la conexin de las redes Existe un control de routing de las redes Existe una identificacin automtica de los terminales Existen procedimientos de log-on al terminal Est controlado el teletrabajo en la organizacin Desarrollo y mantenimiento de los sistemas Se asegura que la seguridad est implantada en los SI Existe seguridad en las aplicaciones Existen controladores criptogrficos Existe seguridad en los ficheros de los sistemas Existe seguridad en los procesos de desarrollo y soporte Gestin de la continuidad del negocio Existen procesos para la gestin de la continuidad Existe un plan de continuidad del negocio y anlisis de impacto Existe un diseo, redaccin e implantacin de planes de continuidad Existe un marco de planificacin para la continuidad del negocio Existen prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio
No No No No No
No No No No No No aplicable
S S No No No
No No
No
No
No
98
Conformidad Se tiene en cuenta el cumplimiento con la legislacin Existe una revisin de la poltica de seguridad y de la conformidad tcnica Existen consideraciones sobre las auditorias de los sistemas
Tabla A.1: Diagnstico de la empresa
No No
No
99