48ca15671b800 PDF

UNIVERSIDAD PONTIFICIA COMILLAS
ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)

INGENIERO EN INFORMTICA
PROYECTO FIN DE CARRERA
PLAN DE SEGURIDAD PARA UNA

PEQUEA EMPRESA
AUTOR: JORGE COLINAS RAMREZ

MADRID, Septiembre del 2008
Porque el ayer es slo un sueo

y el maana una visin:
Pero el presente bien vivido
hace del ayer un sueo de felicidad
y del maana una visin de esperanza.
Aprovecha bien, pues, el da de hoy.

Proverbio snscrito
Jorge.
II
AGRADECIMIENTOS
En primer lugar, quiero dar las gracias por su afecto y amistad a todos los
compaeros con los que he compartido el viaje que han supuesto estos aos
en la Universidad.
De la misma manera, quiero reconocer a todos mis profesores la labor, en
ocasiones no demasiado fcil, de transmitir sus conocimientos que suponen y
supondrn la inspiracin necesaria para los futuros grandes retos que llegue a
plantear la vida.
Por ltimo, pero no menos importante, agradecer a mis padres el apoyo y
confianza depositada en m en todo momento.
Gracias a todos.
Merece una mencin especial Ana, cuyo apoyo, ayuda e inspiracin me
sirven para conseguir superar da a da los retos que me plantea la vida.
Muchas gracias mi vida.
Jorge.
III
RESUMEN
El presente proyecto es el resultado de la realizacin de un completo anlisis

de la empresa Arroyo-Fuensaldaa, ubicada en Valladolid, para evaluar el
nivel de seguridad de sus datos y sus procesos informticos.
Primeramente se ha estudiado la empresa para evaluar cul es su situacin
respecto a estos trminos, enumerando las amenazas que la afectaran, as
como el impacto que produciran stas en la empresa en el caso de que
llegaran a producirse.
De esta manera se determinan cules son las vulnerabilidades de la empresa
y qu medidas sera necesario adoptar para conseguir dotar a la misma de un
nivel de seguridad adecuado para proteger su informacin en funcin del tipo
de empresa, elementos informticos usados y activos en peligro.
Para la elaboracin del proyecto se han seguido las siguientes fases:
-
Anlisis de la empresa.
Realizacin de un inventario de todos los elementos Hardware y

Software con que cuenta la empresa.
Anlisis de riesgos, determinando cules pueden afectar a la empresa y

el posible impacto que pueden tener.
Identificacin de las vulnerabilidades de la empresa en funcin de los

riesgos que pueden afectarla y sus agujeros de seguridad.
Recomendaciones para eliminar las vulnerabilidades existentes y

conseguir un adecuado nivel de seguridad informtica.
Para determinar los riesgos que pueden afectar a la empresa se tienen en

cuenta factores ambientales, fallos de las instalaciones, fallos humanos, robos,
problemas con el Software o Hardware, empleados descontentos, etc.
Para proponer soluciones a adoptar dentro de la empresa se ha tenido en
cuenta la situacin de la empresa en el mercado, las vulnerabilidades que
podran afectarle y las medidas de seguridad con las que ya cuenta la
empresa.
IV
ABSTRACT
This project is a result of a complex analysis production made by ArroyoFuensaldaa Company, located in Valladolid (Spain), to evaluate the security
level of their data bank and informatic processes.
First of all the company has been scrutinized to evaluate its situation on this
matter, listing the threats that may affect it, as well as their impact they may
produce in case that they occur.
This way determines which are company's vulnerabilities and the measures it
should be neccesary to adapt to achieve equip it of a suitable security level to
protect its information according to the kind of company, infomratic elements
used and actives in risk.
NDICE
INTRODUCCIN ............................................................................................................................. 1
1. ANLISIS DE LA EMPRESA ......................................................................................................... 3
1.1 Historia ................................................................................................................................ 3
1.2 Actividades .......................................................................................................................... 3
1.3 Sede de la empresa ............................................................................................................. 4
1.4 Balance econmico 2007 .................................................................................................... 4
1.5 Personal ............................................................................................................................... 4
1.6 Arquitectura ........................................................................................................................ 5
1.7 Estrategia a seguir ............................................................................................................... 6
2. INVENTARIO HARDWARE .......................................................................................................... 7
2.1 Introduccin ........................................................................................................................ 7
2.2 Hardware instalado ............................................................................................................. 7
2.3 Comunicaciones ................................................................................................................ 10
2.4 Seguridad fsica ................................................................................................................. 12
2.5 Conclusiones...................................................................................................................... 13
3. INVENTARIO SOFTWARE ......................................................................................................... 14
3.1 Introduccin ...................................................................................................................... 14
3.2 Software instalado ............................................................................................................ 14
3.3 Seguridad software ........................................................................................................... 17
3.4 Conclusiones...................................................................................................................... 19
4. PLAN DE RECUPERACIN EXISTENTE ...................................................................................... 20
4.1 Introduccin ...................................................................................................................... 20
4.2 Hardware de recuperacin................................................................................................ 20
4.3 Software de recuperacin ................................................................................................. 20
VI
4.4 Recursos humanos ............................................................................................................ 20

4.5 Estrategias de respaldo ..................................................................................................... 20
5. ANLISIS DE RIESGOS .............................................................................................................. 21
5.1 Introduccin ...................................................................................................................... 21
5.2 Identificacin de las amenazas.......................................................................................... 22
5.2.1 Desastres naturales .................................................................................................... 23
5.2.1.1 Tormentas y rayos ............................................................................................... 23
5.2.1.2 Terremotos .......................................................................................................... 24
5.2.1.3 Inundaciones ....................................................................................................... 27
5.2.2 Estructurales............................................................................................................... 29
5.2.2.1 Incendios ............................................................................................................. 29
5.2.2.2 Cortes elctricos .................................................................................................. 31
5.2.2.3 Agua..................................................................................................................... 32
5.2.2.4 Refrigeracin ....................................................................................................... 32
5.2.2.5 Comunicaciones .................................................................................................. 33
5.2.3 Hardware .................................................................................................................... 34
5.2.3.1 Fallo de servidores .............................................................................................. 34
5.2.3.2 Fallo de estaciones PC ......................................................................................... 34
5.2.3.3 Fallo de porttiles................................................................................................ 35
5.2.4 Software ..................................................................................................................... 37
5.2.4.1 Errores en los SSOO ............................................................................................. 37
5.2.4.2 Errores en las Bases de Datos ............................................................................. 38
5.2.4.3 Errores en las aplicaciones .................................................................................. 38
5.2.4.4 Errores en los elementos de seguridad ............................................................... 40
5.2.5 Red LAN y WAN .......................................................................................................... 42
5.2.5.1 Red interna .......................................................................................................... 42
5.2.5.2 Sistemas de seguridad de las comunicaciones ................................................... 42
VII
5.2.5.3 Redes pblicas ajenas ......................................................................................... 44

5.2.6 Copias de seguridad ................................................................................................... 46
5.2.6.1 Fallos en soportes de copias de seguridad.......................................................... 46
5.2.7 Informacin ................................................................................................................ 47
5.2.7.1 Ficheros ............................................................................................................... 47
5.2.7.2 Procedimientos de seguridad de la informacin ................................................ 48
5.2.7.3 Planes de contingencia ........................................................................................ 48
5.2.8 Personal ...................................................................................................................... 49
5.2.8.1 Errores y ataques de personal interno ................................................................ 49
5.2.8.2 Errores y ataques de personal externo ............................................................... 49
5.2.9 Riesgos contra el patrimonio ..................................................................................... 51
5.2.9.1 Robo .................................................................................................................... 51
5.2.9.2 Prdida no intencionada de activos .................................................................... 52
5.2.10 Legislacin ................................................................................................................ 54
5.2.11 Otros riesgos ............................................................................................................ 55
5.2.11.1 Terrorismo ......................................................................................................... 55
5.2.11.2 Imagen de empresa ........................................................................................... 56
5.2.11.3 Insolvencia de servicios externos ...................................................................... 57
6. ANALISIS DE VULNERABILIDADES ............................................................................................ 59
6.1 Introduccin ...................................................................................................................... 59
6.2 Identificacin de vulnerabilidades .................................................................................... 59
6.2.1 Vulnerabilidades relacionadas con desastres naturales ............................................ 59
6.2.2 Vulnerabilidades relacionadas con amenazas estructurales ..................................... 60
6.2.3 Vulnerabilidades relacionadas con el Hardware ........................................................ 60
6.2.4 Vulnerabilidades relacionadas con el Software ......................................................... 61
6.2.5 Vulnerabilidades relacionadas con las redes de comunicacin ................................. 62
6.2.6 Vulnerabilidades relacionadas con las copias de seguridad ...................................... 62
VIII
6.2.7 Vulnerabilidades relacionadas con la informacin .................................................... 63

6.2.8 Vulnerabilidades relacionadas con el personal .......................................................... 63
6.2.9 Vulnerabilidades relacionadas con el patrimonio ...................................................... 64
6.2.10 Vulnerabilidades relacionadas con la legislacin ..................................................... 64
6.2.11 Otras vulnerabilidades ............................................................................................. 64
6.3 Valoracin de las vulnerabilidades .................................................................................... 65
7. PLAN DE SEGURIDAD ............................................................................................................... 68
7.1 Introduccin ...................................................................................................................... 68
7.2 Plan de seguridad .............................................................................................................. 68
7.2.1 Medidas aplicadas a desastres naturales ................................................................... 69
7.2.2 Medidas aplicadas a problemas estructurales .......................................................... 69
7.2.3 Medidas aplicadas a problemas de Hardware .......................................................... 70
7.2.4 Medidas aplicadas a problemas de Software............................................................ 71
7.2.5 Medidas aplicadas a problemas de red ..................................................................... 71
7.2.6 Medidas aplicadas a problemas de las copias de seguridad ..................................... 72
7.2.7 Medidas aplicadas a problemas con la informacin ................................................. 73
7.2.8 Medidas aplicadas a problemas con el personal....................................................... 74
7.2.9 Medidas aplicadas a problemas con el patrimonio................................................... 74
7.2.10 Medidas aplicadas a informacin que debe ser declarada ante la Agencia de
Proteccin de Datos ............................................................................................................ 75
7.2.11 Medidas aplicadas a problemas provocados por otros riesgos ............................... 76
7.3 Resumen de medidas de seguridad .................................................................................. 77
8. RECOMENDACIONES FINALES ................................................................................................. 80
8.1 Introduccin ...................................................................................................................... 80
8.2 Recomendaciones ............................................................................................................. 80
9. PLANIFICACION........................................................................................................................ 81
10. PRESUPUESTO ....................................................................................................................... 86
IX
11. CONCLUSIONES ..................................................................................................................... 87

BIBLIOGRAFA .............................................................................................................................. 89
ANEXOS ....................................................................................................................................... 90
ANEXO 1. WinAudit ................................................................................................................. 90
ANEXO 2. ISO 17799 ................................................................................................................ 93
ANEXO 3. Diagnstico de la empresa ...................................................................................... 94
NDICE DE FIGURAS
Figura 1.1: Planta de la oficina.5
Figura 2.1: Equipo 1.7
Figura 2.4: Impresora 1.9
Figura 2.5: Impresora 2.9
Figura 2.6: Escner9
Figura 2.7: Fotocopiadora9
Figura 2.8: Telfono 1.10
Figura 2.9: Telfono 2.11
Figura 2.10: Mvil 1..11
Figura 2.13: Fax11
Figura 2.14: Router12
Figura 2.15: Destructora12
Figura 9.1: Paquetes de trabajo...81
Figura 9.2: Inventario Hardware..82
Figura 9.3: Inventario Software82
Figura 9.4: Plan de recuperacin existente.83
Figura 9.5: Anlisis de riesgos83
Figura 9.6: Planificacin.84
Figura A.1: Pantalla principal WinAudit..90
Figura A.2: Pantalla de anlisis WinAudit..91
Figura A.3: Informacin recolectada WinAudit.92
XI
NDICE DE TABLAS
Tabla 3.1: Terremotos.24
Tabla 6.1: Valoracin de vulnerabilidades65
Tabla 7.1: Medidas preventivas77
Tabla 7.2: Medidas correctoras78
Tabla 7.3: Riesgos asumibles..79
Tabla 10.1: Presupuesto86
Tabla A.1: Diagnstico de la empresa..94
XII
INTRODUCCIN
La informacin es hoy en da uno de los activos ms importantes con los que
cuenta cualquier empresa; un activo que no siempre tiene la consideracin e
importancia necesaria dentro de algunas empresas.
Antiguamente toda la informacin era almacenada en papel, por lo que toda
su seguridad se limitaba a una seguridad fsica, actualmente existen multitud
de dispositivos en los que se puede almacenar la informacin, por lo tanto la
forma de evitar accesos a esa informacin ha cambiado.
El primer ataque informtico considerado como tal ocurri un viernes 13 de
1989 en el que una revista especializada distribuyo disquetes promocionales,
los cuales estaban infectados con un virus que afecto a multitud de empresas
y particulares.
Actualmente la naturaleza y la forma de difusin de los ataques ha cambiado;
antes los hackers buscaban producir daos en los sistemas por el simple hecho
de conseguir un poco de fama, actualmente slo buscan obtener informacin
y dinero levantando el menor revuelo posible y siempre aprovechando los
recursos disponibles en la Web.
Al da se producen ms de 6.000 ataques informticos; las empresas que se
llevan la peor parte de estos ataques suelen sufrirlos mediantes troyanos que
intentan robar informacin de los sistemas en los que se instalan. La mayora de
estos ataques (se calcula que en torno al 60%) provienen de la propia
organizacin por parte de algn empleado descontento y que quiere infligir
dao a la empresa. [Web 6]
Es necesario hacer ver a las empresas la importancia que tiene la seguridad de
su informacin dentro de sus procesos de negocio puesto que una prdida de
informacin puede comprometer negocios que en algunos casos podran
llegar a suponer prdidas millonarias para las empresas.
Las grandes empresas (varias sucursales y mucho personal) suelen ser muy
sensibles a aplicar tcnicas de seguridad informtica en su organizacin
puesto que en general son conscientes del peligro que supone tener su red
interna, sus equipos, etc. abiertos al exterior, o a un posible ataque interno. Sin
embargo en el caso de empresas pequeas (pequeas sucursales y poco
personal) la seguridad informtica no suele ser un tema de mxima prioridad
por lo que pueden llegar a tener problemas de prdidas de informacin o de
intrusismos en su red.
Por ello es necesario poner nfasis en esas medianas y pequeas empresas
para conseguir hacer ver a sus responsables que los datos de su negocio
1
pueden verse comprometidos intencionada o accidentalmente en cualquier

momento y sin que ellos puedan hacer nada para remediarlo si no disponen
de un correcto sistema de seguridad y respaldo.
1. ANLISIS DE LA EMPRESA
1.1 Historia
Arroyo-Fuensaldaa naci el 21 de febrero de 2001 como empresa promotora.
Ubicada originalmente en el nmero 20 de la calle Santiago de Valladolid
inicia su actividad realizando una pequea promocin de 3 viviendas
unifamiliares adosadas en la localidad de Fuensaldaa, ubicada a 6 kilmetros
de Valladolid.
Tras el xito de esa primera promocin Arroyo-Fuensaldaa realiz otra
promocin en esa misma localidad de 10 viviendas unifamiliares pareadas y
plane la construccin de 100 viviendas en altura tambin ubicadas en dicha
poblacin.
En la misma poca en la que se inici la promocin de las 10 viviendas
unifamiliares pareadas, Arroyo-Fuensaldaa inici otra actividad relacionada
con el sector, como es la gestin de suelo para la construccin de viviendas.
El 16 de junio de 2004 Arroyo-Fuensaldaa traslad su sede del nmero 20 al
nmero 13 de la calle Santiago; una sede mucho ms grande y ms
confortable.
La empresa ha llegado a la actualidad dedicndose principalmente a los
negocios de suelo para construccin y en los ltimos tiempos, sobre todo para
intentar salvar la crisis que est afectando al sector, ha comenzado a invertir
en el negocio de las obras de arte con la apertura de una galera, que sirve
para potenciar a nuevos artistas, en la calle Claudio Moyano nmero 5 de
Valladolid.
1.2 Actividades
Arroyo-Fuensaldaa naci como una empresa promotora de viviendas
principalmente en la localidad de Fuensaldaa, con la experiencia y los
buenos resultados de las promociones los administradores de la empresa
decidieron cambiar la principal actividad de la misma para dedicarse
principalmente al negocio del suelo para construccin.
En el ltimo ao, la empresa ha decidido introducirse tambin en el negocio
del arte con la apertura de una galera para exposicin de pintura y escultura.
1.3 Sede de la empresa

La empresa se localiza en el 2 G del nmero 13 de la calle Santiago en
Valladolid. sta es la nica sede con la que cuenta la empresa.
1.4 Balance econmico 2007

Gracias a los negocios que mantiene la empresa, y a pesar de la crisis que
est viviendo el sector, Arroyo-Fuensaldaa consigui una facturacin en el
ao 2007 de 987 M.
1.5 Personal
La empresa cuenta con pocos empleados, nicamente dos personas trabajan
en ella a diario.
A pesar del escaso personal con el que cuenta es una de las empresas
importantes en el sector en la zona de Valladolid (Castilla y Len).
1.6 Arquitectura
Al tratarse de una empresa pequea (con pocos empleados) y contar
nicamente con una sede, su arquitectura de red no es muy complicada pues
tiene pocos puestos de trabajo.
Figura 1.1: Planta de la oficina
La empresa cuenta nicamente con tres estaciones de trabajo, dos fijas

situadas cada una en uno de los despachos y una mvil que suele estar en la
sala de reuniones.
La empresa cuenta con conexin exterior a Internet mediante banda ancha,
pero no dispone de una arquitectura de red local.
En la figura se puede ver la ubicacin de los elementos fsicos que componen
la empresa.
1.7 Estrategia a seguir

Para conseguir dotar a la empresa de un nivel de seguridad de su informacin
aceptable se van a seguir los siguientes pasos:
-
Obtencin de una fotografa del estado actual de la seguridad de la

informacin dentro de la empresa, poniendo especial atencin a la
informacin ms delicada para el negocio.
Evaluacin de material Hardware y Software con que cuenta la empresa

para proteger la informacin de su negocio.
Evaluacin de los riesgos que pueden afectar a la empresa. Midiendo en

qu grado pueden afectar cada uno de esos riesgos, cul sera su
impacto, que probabilidades reales existen de que ese riesgo se
materialice y cmo evitar que el riesgo llegue a producirse o cmo
minimizar su impacto.
Elaboracin de recomendaciones de cara a mantener la seguridad de

la informacin dentro de la empresa.
2. INVENTARIO HARDWARE
2.1 Introduccin
A continuacin se va a detallar todo el Hardware del que dispone la empresa
para llevar a cabo sus procesos informticos.
En este apartado se va a realizar un inventario de todo el Hardware instalado,
poniendo especial atencin en si existe Hardware especfico dedicado a
Backup o elementos de seguridad similares.
Tambin se realizar un inventario de las comunicaciones existentes, tanto con
el exterior como dentro de la misma oficina as como los elementos de
seguridad fsica existentes dentro de la oficina tales como alarmas, cerraduras,
etc.
2.2 Hardware instalado

Para realizar el inventario del Hardware instalado de forma adecuada se ha
usado el programa WinAudit [Web 2] con el que se puede realizar una
auditora completa de los equipos informticos.
- Equipo 1. Ordenador en torre.
Procesador: Intel(R) Pentium(R) 4 CPU 3.00GHz, 2998MHz.
Placa base: ASUSTeK Computer Inc.
Memoria SDRAM: 512 MB.
Memoria cach L1: 16 KB.
Memoria cach L2: 2.048 KB.
Disco duro: Maxtor 6V160E0 de 149 GB.
Unidades DVD: BENQ DVDDD DW1640.
Figura 2.1: Equipo 1
HL-DT-ST DVD-ROM G0R8164B.

Tarjetas de red: Intel PRO/1000 MT Network Connection.
Linksys Wireless-B usb Network Adapter v2.8.
Monitor: LG Flatron L1717S.
Equipo 2. Ordenador en torre.
Procesador: Intel(R) Pentium(R) 4 CPU 1.80GHz, 1793MHz.

Placa base: Quntumn Designs Limited.
Memoria DRAM: 256 MB.
Disco duro: ST360020A de 55,9 GB.
Unidades DVD: LG DVD-ROM DRD8160B.
Unidades CD: HL-DT-ST CD-RW GCE-8400B.

Tarjetas de red: NIC Fast Ethernet PCI Familia RTL8139 de Realtek.
Monitor: LG Studioworks 700S.
Equipo 3. Ordenador porttil.
Procesador: Intel(R) Pentium(R) M processor 1.73GHz, 1728MHz.

Placa base: HTW00 de Toshiba.
Memoria SDRAM: 1022MB.
Memoria cach L2: 2.048 KB.
Disco duro: TOSHIBA MK6034GSX de 55.9GB.
Unidades DVD: Pioneer DVD-RW DVR-K165.
Tarjetas de red: Realtek RTL8139/810x Family Fast Ethernet NIC.

Intel(R) PRO/Wireless 2915ABG Network Connection.
Bluetooth Personal Area Network from Toshiba.
Impresoras
HP Deskjet 5657.
Figura 2.4: Impresora 1
HP Laserjet 1160.
Figura 2.5: Impresora 2
Escner
Color page-Vivid III v2 de Genius.
Figura 2.6: Escner
Fotocopiadora
Gestenter 1802d de Aticio.
Figura 2.7: Fotocopiadora
2.3 Comunicaciones
A continuacin se van a detallar los distintos tipos de comunicaciones de los
que dispone la empresa, tanto dentro de los equipos informticos como
telfonos, etc.
-
Equipo 1
Dispone de dos tarjetas de red:

o Intel PRO/1000 MT Network Connection.
o Linksys Wireless-B usb Network Adapter v2.8.
Equipo 2
Dispone de una nica tarjeta de red:

o NIC Fast Ethernet PCI Familia RTL8139 de Realtek.
Equipo 3
Dispone de tres tarjetas de red:

o Realtek RTL8139/810x Family Fast Ethernet NIC.
o Intel(R) PRO/Wireless 2915ABG Network Connection.
o Bluetooth Personal Area Network from Toshiba.
Telfonos
En la oficina se dispone de varios terminales fijos as como varios mviles.

o Telfono fijo Siemens euroset 2015 (2 unidades).
Figura 2.8: Telfono 1
10
o Telfono fijo inalmbrico Telcom SPC-Solac.
Figura 2.9: Telfono 2
o Telfono mvil Nokia 6230. [Web 5]
Figura 2.10: Mvil 1
o Telfono mvil Nokia 6220 (2 unidades). [Web 5]
Figura 2.11: Mvil 2
o Telfono mvil-pda Htc p3300. [Web 9]
Figura 2.12: Mvil 3
Fax
o Brother FAX-T74.
Figura 2.13: Fax
11
Router
o Zyxel proporcionado por Telefnica.
Figura 2.14: Router
Conexin a Internet [Web 11]

o Conexin ADSL de 3 MB contratada con Telefnica.
2.4 Seguridad fsica

En este apartado se van a detallar los elementos de seguridad fsica con los
que cuenta la oficina para hacer frente a posibles accesos no deseados a sus
equipos o a informacin confidencial de su negocio.
-
Destructora de documentos ABC Shredmaster. Todos

los documentos que se tiran a la basura han de ser
pasados primeramente por la destructora de
documentos.
Figura 2.15: Destructora
Alarma SERURMAP de MAPFRE seguridad. La oficina cuenta con 7 detectores

de alarma:
o 1 en cada una de las 5 habitaciones.
o 1 en el pasillo.
o 1 en la entrada.
-
Puerta de acceso blindada de seguridad.
Todos los despachos donde hay equipamiento

documentacin crtica cuentan con cerradura.
La oficina tambin cuenta con mquinas de aire acondicionado en

cada una de las salas donde hay instalado un equipo.
informtico
12
2.5 Conclusiones
La empresa cuenta con un equipamiento informtico tal vez un poco obsoleto
para el tipo de equipos que existen hoy en da. Los equipos estn escasos,
sobre todo, en memoria RAM.
Las medidas de seguridad fsicas son correctas puesto que son adecuadas
para evitar el acceso a personal ajeno a la empresa al equipamiento y
documentacin de la misma.
Tal vez un punto dbil es el Router de conexin a Internet pues ese modelo es
un poco anticuado y puede ser vulnerable a ataques externos.
13
3. INVENTARIO SOFTWARE
3.1 Introduccin
A continuacin se van a detallar todos los elementos Software de los que est
provista la empresa, poniendo especial atencin en aquellos que estn
destinados especficamente a la seguridad de los datos almacenados dentro
de la empresa.
Tambin se intentar especificar el nivel de proteccin Software con que
cuenta la empresa para poder analizar posteriormente los riesgos a los cuales
puede estar expuesta.
3.2 Software instalado

Para realizar el inventario de del Software instalado de forma adecuada se ha
usado el programa WinAudit con el que se puede realizar una auditora
completa de los equipos informticos.
-
Equipo 1
El equipo 1 cuenta con el siguiente Software instalado:

o Sistema Operativo Windows XP Home Edition con Service pack 2
o Acrobat Reader 7.0
o Adobe Photoshop Album Startes Edition 3.0
o ATI catayst control center
o Avast! Antivirus [Web 3]
o Barra Yahoo
o Google toolbar para Internet Explorer
o Java SE runtime enviroment 6
o Macromedia Flash player 8
o Macromedia Shockwave player
o Microsoft .NET Framework 1.1
o Microsoft Office Professional Edition 2003
o Mozilla Firefox
14
o Nero 6 ultra edition

o Omni Mouse driver 4.0
o Power DVD
o Software de conexiones de red Intel(R) PRO v9.2.4.9
o Windows installer 3.1
o Windows media 11
Equipo 2

o Sistema Operativo Windows XP Home Edition con Service pack 2
o AD-Aware SE Professional
o Acrobat Reader 5.0
o Adobe Flash player activex
o Boleto de condicionadas (Software que realiza Quinielas)
o Google toolbar para Internet Explorer
o HP Laserjet 116/1320 series
o HP print scren utility
o IVA 2002 (Programa de la Agencia Tributaria)
o IVA 2003 (Programa de la Agencia Tributaria)
o J2SE Runtime enviroment 5.0
o Java 6
o Modelo 180. De los aos 2002, 2003, 2004 (Programa de
Agencia Tributaria)
la
o Modelo 190. De los aos 2002, 2003, 2004, 2005 (Programa de la

Agencia Tributaria)
o Modelo 347. De los aos 2002, 2003, 2004, 2005 (Programa de la
Agencia Tributaria)
o Nero burning room
15
o McAfee security center

o McAfee VirusScan Professional
o Microsoft Office 2000 Premium
o Olympus Camedia master 4.1
o Power DVD
o Quick Time
o Windows media 11
o Sociedades. De los aos 2002, 2003, 2004, 2005, 2006 (Programa
de la Agencia Tributaria)
o Sociedades. En sus versiones 5.1, 5.2, 6.0, 6.1, 6.2, 7.0 (Programa de
la Agencia Tributaria)
Equipo 3

o Sistema Operativo Windows XP Professional Service pack 2
o AD-Aware SE Personal
o Adobe Photoshop CS
o Acorbat Reader 8.1
o Autocad 2006
o Autocad 2007
o Avg antivirus 7.5
o Avg antispyware 7.5
o Compresor WinRar
o Compresor WinZip
o Canon utilities PhotoStich 3.1
o Divx player
o Google earth
o Google talk
16
o WinDVD 4
o iTunes
o J2SE Runtime Environment 5.0
o Macromedia Studio MX
o Microsoft Office 2003 Professional
o Microsoft Office 2007 Enterprise
o Mozilla Firefox
o Nero 7
o Panel de control ATI
o PDF Creator
o Quick time
o Skipe
3.3 Seguridad software

A continuacin se va a detallar la seguridad Software con la que cuentan los
equipos.
-
Equipo 1
Este equipo cuenta con la versin 4.7 del antivirus avast [Web 3]. Este antivirus
dispone adicionalmente de antispyware y antirootkit y proporciona una
seguridad adecuada para el equipo.
Actualmente el antivirus de este equipo no se encuentra correctamente
actualizado por lo que puede ser una amenaza para la seguridad del equipo.
El equipo est protegido por el Firewall de Windows.
El equipo est conectado a la red de la empresa mediante una conexin
inalmbrica y configurada de forma que se le otorga la direccin IP
automticamente.
17
Equipo 2
Este equipo cuenta con la proteccin del sistema McAfee Virus Scan
Professional [Web 4] el cual cuenta con, adems del antivirus, antispyware y
antiHacker. Proporciona una seguridad adecuada al equipo aunque al igual
que en el caso del equipo 1 el antivirus no se encuentra correctamente
actualizado.
Este equipo tambin cuenta con la proteccin del antispyware AD-Aware SE
Professional el cual s se encuentra correctamente actualizado.
El equipo est protegido por el Firewall de Windows.
El equipo est conectado a la red mediante un cable RJ45 directamente
conectado con el Router de salida a Internet y configurado de forma que el
Router le asigna automticamente la direccin IP.
Equipo 3
El equipo 3 cuenta con la proteccin del antivirus Avg en su versin 7.5. Al

contrario que en el caso de los equipos actuales este antivirus est instalado
en su versin gratuita y se encuentra correctamente actualizado.
Tambin cuenta con el antispyware de Avg tambin en su versin 7.5. As
mismo cuenta con la proteccin del AD-Aware SE Personal. Ambos
antispyware se encuentran correctamente actualizados.
El equipo se conecta a la red de la empresa mediante la conexin
inalmbrica y est configurado para recibir automticamente la direccin IP
del Router cada vez que se conecte a la red.
Router
El Router ha sido proporcionado por la compaa distribuidora de la lnea ADSL

y su configuracin es:
o Servidor DHCP activado de forma que cada vez que un equipo
es conectado a la red se le concede una direccin IP privada
dentro del rango que tiene determinado.
o Para la conexin inalmbrica dispone de clave de acceso WEP.
o No dispone de ninguna poltica de encriptacin de los datos.
18
3.4 Conclusiones
Los equipos de la empresa no estn excesivamente cargados de Software
pero se aprecia un grave problema en la seguridad Software.
Se dispone de antivirus pero stos no estn correctamente actualizados lo que
puede ser un grave problema de seguridad.
El Firewall usado en todos los equipos es el que trae por defecto el Sistema
Operativo Windows y aunque no sea un mal Software puede no ser el ms
indicado para un entorno empresarial.
Dos de los tres equipos tienen instalada la versin Home edition del Sistema
Operativo Windows XP; puede ser mucho ms til disponer de la versin
Professional debido a sus caractersticas para conexiones en red.
El Router de acceso a la red est correctamente configurado en el sentido de
que dispone de una clave WEP para las conexiones inalmbricas pero sera
deseable algn mtodo de encriptacin de la informacin o que el Router no
asignara las direcciones IP automticamente.
Tambin se puede observar que todo el Software, y por lo tanto la informacin,
para la realizacin de las declaraciones a la Agencia Tributaria se encuentra
en un nico equipo lo cual no es muy recomendable debido a que si ese
equipo falla se perder toda la informacin relacionada con las ltimas
declaraciones de Hacienda, las cuales deben ser guardadas durante un
periodo estipulado.
19
4. PLAN DE RECUPERACIN EXISTENTE

4.1 Introduccin
En este apartado se determinar si la empresa cuenta con un plan de
recuperacin adecuado en caso de producirse una prdida accidental o
intencionada de los datos, especialmente los que puedan considerarse crticos
para su negocio.
4.2 Hardware de recuperacin

Dentro de la empresa no disponen de Hardware especfico de recuperacin
para casos de prdidas de equipamiento informtico o prdidas de
informacin accidental o intencionada.
4.3 Software de recuperacin

Como en el caso del apartado anterior, dentro de la empresa no existe ningn
Software especficamente dedicado a la recuperacin de informacin
perdida.
4.4 Recursos humanos

Dentro de la empresa no existe un responsable informtico ni de seguridad
que controle las polticas a seguir para realizar copias de respaldo de la
informacin o en caso de prdida de informacin para recuperarla.
Cuando surge algn problema relacionado con el equipamiento informtico,
desde la empresa se contacta con el proveedor que suministr los equipos
para que revise los posibles problemas.
4.5 Estrategias de respaldo

Dentro de la empresa no existe ningn tipo de estrategias de respaldo para
evitar prdidas importantes de informacin. Es un fallo muy importante de
seguridad pues ni siquiera se tienen copias de los archivos distribuidas en los
diferentes equipos con los que se cuenta por lo que un fallo en alguno de los
equipos podra resultar catastrfico pues se podra perder informacin valiosa
y que no fuera posible su recuperacin.
20
5. ANLISIS DE RIESGOS
5.1 Introduccin
En este apartado se va a realizar un anlisis de riesgos completo de todo el
sistema informtico de la empresa para ver las posibles amenazas que pueden
afectar a la empresa, las vulnerabilidades de sta con respecto a las
amenazas y el impacto que estas amenazas pudieran tener en la empresa en
el caso de llegar a materializarse.
En este apartado se van a tratar los siguientes temas:
Activo: Algo de valor al que afecta una amenaza.
Actor: Quin o qu puede violar los requisitos de seguridad.
Amenaza: Actor cuya intrusin en el sistema puede provocar una
violacin de los requisitos de seguridad de un activo (prdida de
confidencialidad, prdida de disponibilidad, destruccin, prdida de
integridad,). El motivo por que se produce una amenaza puede ser
accidental (por ejemplo un desastre natural) o intencionado (por
ejemplo una accin humana).
Impacto: Efecto que producir una amenaza en el sistema si sta llega
a hacerse realidad.
Vulnerabilidad: Debilidad del sistema, la cual propicia que una
amenaza se pueda hacer realidad.
Riesgo: Posibilidad de que una amenaza se materialice debido a una
vulnerabilidad del sistema sin corregir.
21
5.2 Identificacin de las amenazas

Las amenazas se van a clasificar en funcin de la importancia que pueden
tener a la hora de afectar a la empresa en el caso de que ocurran.
Se van a clasificar las amenazas en tres niveles:
-
Importancia Alta: Tendran una repercusin muy alta dentro de la

empresa en el caso de producirse; son las amenazas que se debern
evitarse a toda costa. Sern identificadas con una A.
Importancia Media: Tendran una repercusin importante aunque no

muy crtica dentro de la empresa en el caso de producirse; aunque no
resultan tan crticas como las clasificadas en Alta es conveniente tratar
de evitar que ocurran. Sern identificadas con una M.
Importancia Baja: No tienen una repercusin muy importante dentro del

sistema y de la empresa. Es recomendable que no se produzcan pero
tampoco sera necesario establecer medidas concretas para evitar este
tipo de amenazas. Sern identificadas con una B.
Cada amenaza va a ser clasificada en 5 niveles de gravedad:

-
Muy alta: Las prdidas para la empresa son importantsimas e

irreparables.
Alta: Las prdidas para la empresa son muy importantes pero pueden
tener un remedio a medio-largo plazo.
Media: Las prdidas son importantes pero tienen una solucin en corto
plazo.
Baja: Se producen prdidas mnimas sin gran impacto dentro de la

organizacin.
Muy baja: No se producen prdidas o stas son insignificantes y no

afectan en prcticamente ningn grado a la organizacin.
22
5.2.1 Desastres naturales

Acciones climatolgicas y por lo tanto incontrolables que pueden afectar al
sistema.
5.2.1.1 Tormentas y rayos

Una tormenta es una perturbacin atmosfrica violenta acompaada de
aparato elctrico y viento fuerte, lluvia, nieve o granizo. [Web 1]
Un rayo es una chispa elctrica de gran intensidad producida por descarga
entre dos nubes o entre una nube y la tierra [Web 1]
Las tormentas con alto contenido elctrico pueden provocar picos de tensin
lo que puede provocar prdidas de datos o daos irreparables en el
equipamiento elctrico.
Impacto dentro de la empresa
En la zona geogrfica donde se ubica la empresa son comunes las tormentas
en primavera y verano pero las tormentas elctricas se producen en contadas
ocasiones. Por lo tanto es una amenaza que tendr un impacto bajo en la
empresa y se podra englobar dentro de las amenazas de tipo B.
Impacto de la amenaza segn su nivel:
Tipo A: Se dara en el caso de que impactara un rayo directamente en el
edificio donde se encuentra la empresa. Esto podra provocar un dao
estructural en el edificio, daos severos en el Hardware de la empresa y
ocasionalmente incendios.
La gravedad de la amenaza sera muy alta, pero la probabilidad de que se
llegue a materializar es baja.
Tipo M: Se dara en el caso en que la tormenta afectara directamente al
suministrador de servicios de la empresa, como por ejemplo el suministrador de
energa elctrica, y que puede afectar al funcionamiento normal de la
empresa as como al funcionamiento de los equipos informticos de sta si los
problemas de la empresa suministradora son graves y los cortes del servicio se
prolongan demasiado en el tiempo.
La gravedad de la amenaza puede considerarse como media/alta, pero la
probabilidad de que se produzca es baja pues las empresas de servicios suelen
estar muy bien protegidas contra ese tipo de amenazas.
23
Tipo B: Se dara en el caso de cortes de electricidad de corta duracin por

problemas de la instalacin elctrica del edificio debidos a la tormenta o por
problemas de las lneas de la empresa suministradora.
La gravedad de esta amenaza puede considerarse como media/baja y la
probabilidad de que ocurra es media pues es frecuente que puedan
producirse cortes intermitentes de luz durante una tormenta.
Medidas preventivas contra los impactos dentro de la empresa
-
Instalacin en el edificio de elementos de proteccin contra las

tormentas como por ejemplo pararrayos.
Dispositivos de proteccin de las lneas elctricas contra sobrecargas.
Aplicacin de medidas contra incendios.
Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) que

garanticen que los equipos no sufrirn un corte brusco de energa y que
realizarn un apagado ordenado.
Polticas de Backup localizado fuera del edificio de la empresa.
5.2.1.2 Terremotos
Un terremoto es una sacudida del terreno ocasionada por el choque de las
placas tectnicas localizadas en la litosfera terrestre. [Web 1]
Los terremotos se miden segn la escala de magnitud local o de Richter la cual
mide la intensidad de un terremoto segn una escala que va desde -1,5 hasta
12.
Magnitud de Richter
Referencia
-1,5
Rotura de una roca en

un laboratorio
1,0
Pequea explosin en
un sitio en construccin
1,5
Bomba convencional de
la Segunda Guerra
Mundial
2,0
Explosin de un taque
de gas
24
2,5
Bombardeo a la ciudad
de Londres
3,0
Explosin de una planta

de gas
3,5
Explosin de una mina
4,0
Bomba atmica de baja

potencia
4,5
Tornado promedio
5,0
Terremoto de Albolote,
Granada (Espaa). 1956
5,5
Terremoto de Little Skull

Mountain, Nevada
(EEUU). 1992
6,0
Terremoto de Double
Spring Flat, Nevada
(EEUU). 1994
6,5
Terremoto de
Nortbridge, California
(EEUU). 1994
7,0
Terremoto de Hyogo-Ken
Nambu, Japon. 1995
7,5
Terremoto de Landers,
California (EEUU). 1992
8,0
Terremoto de Mxico.
1985
8,5
Terremoto de
Anchorage, Alaska
(EEUU). 1964
9,2
Terremoto del Ocano

Indico. 2004
9,6
Terremoto de Valdivia,
Chile. 1960
10,0
Estimado para el
25
choque de un meteorito
de 2 km de dimetro a
25 km/s
12,0
Fractura de la tierra por

el centro
Tabla 3.1: Terremotos
Un terremoto de alta graduacin en la escala de Richter puede producir

derrumbamientos de edificios as como cortes de electricidad o rotura de
material debido a cadas o golpes.
La zona donde se localiza la empresa es ssmicamente estable registrndose
movimientos ssmicos puntuales de poca intensidad. Por lo tanto es una
amenaza que tendr un impacto bajo en la empresa y se podra englobar
dentro de las amenazas de tipo B.
Tipo A: Se dara en el caso de un sesmo de intensidad superior a 6 en la escala
de magnitud local y puede afectar a la estructura del edificio provocando
incluso su derrumbe en casos extremos o incendios. Puede provocar graves
daos en los equipos informticos debidos a roturas y fuertes golpes.
La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se
llegue a materializar es muy baja.
Tipo M: Se dara en el caso de un sesmo de intensidad igual a 5 o inferior. Los
daos seran inferiores a los producidos en el tipo A.
probabilidad de que se produzca es muy baja.
Tipo B: Sesmo inferior que puede ocasionar desalojos en los edificios y que
producira una prdida mnima de tiempo de trabajo.
La gravedad de esta amenaza puede considerarse como baja/muy baja y la
probabilidad de que ocurra es baja pues es en la zona no se dan terremotos lo
suficientemente intensos como para propiciar un desalojo de edificios.
Medidas preventivas contra los terremotos dentro de la empresa
La nica medida posible para evitar los daos producidos por un terremoto es
la construccin de edificios con medidas antissmicas.
26
5.2.1.3 Inundaciones
Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o
edificios. [Web 1]
Una inundacin puede ser producida por un exceso de lluvias,
desbordamiento de ros, rotura de presas, rotura de caeras, exceso de
humedad
Una inundacin en la zona donde se encuentren los equipos informticos
puede producir daos materiales en los equipos.
La zona donde se localiza la empresa no es propicia a que se produzcan
lluvias torrenciales y tampoco existe ninguna presa cerca.
S existe cerca del edificio donde se ubica la empresa un ro y aunque se han
producido desbordamientos existen pocas posibilidades de que llegue a
desbordarse y que en tal caso que el agua llegue a las dependencias de la
empresa.
S podran producirse inundaciones en la empresa debido a rotura de tuberas
o humedades excesivas que pueden daar los equipos informticos y producir
prdida de datos e informacin crtica para la empresa.
Tipo A: Grave inundacin, que anegara todo el edificio y que afectara a los
equipos de forma que se podran perder datos crticos y se suspendera la
actividad de la empresa por un tiempo indefinido.
llegue a materializar es media/baja.
Tipo M: Inundacin de una zona donde se encuentre equipamiento
informtico con datos crticos para el funcionamiento de la empresa y que
producira una prdida parcial de informacin o de horas de trabajo.
probabilidad de que se produzca es media/baja.
Tipo B: Pequeas inundaciones debidas a roturas de tuberas o filtraciones de
agua debido a humedades en las paredes y que pueden daar algn equipo.
La gravedad de esta amenaza puede considerarse como media/alta y la
probabilidad de que ocurra es alta pues es relativamente fcil que ocurra
algn un problema en una tubera.
27
Medidas preventivas contra inundaciones dentro de la empresa

-
Detectores y alarmas de humedad.
Desages en perfecto estado.
Dispositivos de drenaje en falso techo o falso suelo.
28
5.2.2 Estructurales
Amenazas debidas a fallos en los elementos del edificio tales como cableado
elctrico, conductos del aire acondicionado, elementos de comunicacin
[Web 1]
Pueden ser controlados y evitados.
5.2.2.1 Incendios
Fuego no controlado que puede ser extremadamente peligroso para los seres
vivos y las estructuras, produciendo adems gases txicos.
Las causas de un incendio pueden ser diversas:
-
Existencia de una fuente de ignicin cercana a un material inflamable.
Problemas en cuadros elctricos.
Cortocircuitos.
Etc.
Un incendio puede daar gravemente el equipamiento informtico de la

empresa, pudiendo dejarlo completamente inservible, as como la
documentacin existente en formato papel.
Un incendio que afecte a la empresa puede deberse a causas naturales,
accidentales o ser premeditado para infligir dao.
Tipo A: Gran incendio que afecte a todo el edificio donde est ubicada la
empresa. Un incendio de estas caractersticas podra dejar inutilizadas
completamente todas las instalaciones de la empresa as como destruir todo el
equipamiento informtico y la informacin vital de sta que se encuentre en
cualquier tipo de soporte, lo que podra producir la paralizacin total de la
actividad de la empresa por un periodo de tiempo muy largo si no se dispone
de una copia de Backup convenientemente actualizada y que no se
localizara en las instalaciones que han sido afectadas por el fuego.
llegue a materializar es media/alta debido a que si se produce un incendio de
estas caractersticas debido a un descuido o de una forma intencionada
puede resultar muy difcil para los equipos de extincin conseguir controlar un
fuego tan grande y evitar que no se produzcan daos graves en el edificio.
29
Tipo M: Incendio en una parte localizada del edificio que aunque no afecte
directamente a la empresa y a su equipamiento puede dificultar las labores
normales de trabajo dentro de la empresa durante un periodo de tiempo
medio (entre 3 y 6 meses).
La gravedad de la amenaza puede considerarse como media/alta, y la
probabilidad de que se produzca es media/alta aunque en este caso los
equipos de extincin tendrn mucho ms fcil la labor de extinguir
rpidamente el fuego.
Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos
concretos. En el caso de disponer de copias de seguridad de esos equipos la
puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos
puede ser inmediata.
La gravedad de esta amenaza puede considerarse como media/alta porque
en el caso de que no se disponga de una copia de seguridad de los equipos
afectados se puede perder informacin valiosa. La probabilidad de que
ocurra es alta, pues es relativamente fcil que se produzca un cortocircuito
que provoque un fuego aunque como es centralizado sera de fcil y rpida
extincin.
Medidas preventivas contra incendios dentro de la empresa
-
Detectores y alarmas de humos.
Dispositivos automticos de extincin de incendios.
Revisiones peridicas de toda la instalacin elctrica.
Revisiones de todas las obras y trabajos que se realicen en el entorno de

la empresa para evitar posibles accidentes debido al manejo de
materiales inflamables.
Disponer de extintores repartidos por toda la empresa, especialmente

cerca de los equipos informticos.
30
5.2.2.2 Cortes elctricos

Corte temporal del suministro de energa elctrica por parte de la compaa
suministradora. El corte puede ser de corta duracin o puede llegar a ser de
varios das. [Web 1]
Un corte en la energa de alimentacin de los equipos de la empresa puede
llegar a provocar daos irreparables en algunos equipos.
Las causas para que la compaa elctrica corte el suministro elctrico
pueden ser naturales o provocadas.
Tipo A: Corte elctrico que se prolongue varios das. Afectar gravemente al
desarrollo normal de las actividades de la empresa durante un largo periodo
de tiempo.
La gravedad de la amenaza sera alta, aunque la probabilidad de que se
llegue a materializar es baja.
Tipo M: Corte elctrico de menor duracin que el de tipo A y que afectar al
desarrollo de las actividades de la empresa por un tiempo no superior a un
mes.
La gravedad de la amenaza puede considerarse como media, y la
probabilidad de que se produzca es baja.
Tipo B: Corte elctrico de poca duracin y que afectar al desarrollo de las
actividades de la empresa por 24 horas o menos.
La gravedad de esta amenaza puede considerarse como baja y la
probabilidad de que ocurra es media pues es relativamente fcil que se
produzca un pequeo corte en el suministro elctrico debido, por ejemplo a
una sobrecarga en la red del suministrador.
Medidas preventivas contra cortes elctricos dentro de la empresa
-
Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) que

garanticen que los equipos no sufrirn un corte brusco de energa y que
realizarn un apagado ordenado.
31
5.2.2.3 Agua
Corte temporal del suministro de agua por parte de la compaa
suministradora. El corte puede ser de corta duracin o incluso de varios das.
En el caso de esta empresa ninguno de los equipos tiene instalada ningn tipo
de refrigeracin mediante conductos de agua por lo que un corte en el
suministro de agua de la empresa no afectar en ninguna medida al
equipamiento informtico de la misma.
Medidas preventivas contra cortes de agua dentro de la empresa

Puesto que el corte del suministro de agua no afecta en ningn modo al
equipamiento informtico no ser necesaria la implantacin de ningn tipo de
medidas preventivas.
5.2.2.4 Refrigeracin
Fallos en el normal funcionamiento de la maquinaria de climatizacin que
existe dentro de la empresa.
Los fallos pueden ser debido a cortes en el suministro elctrico, fugas en los
aparatos de climatizacin, etc.
El equipamiento informtico de la empresa no est funcionando a ritmo
completo las 24 horas del da por lo que no necesita unas condiciones
especiales en lo que se refiere a la temperatura ambiente.
Los equipos informticos slo deben estar en funcionamiento durante el
horario de trabajo, por lo que, incluso con temperaturas excesivamente
elevadas debidas a un fallo en el sistema de refrigeracin, el correcto
funcionamiento de los equipos no se vera afectado, no es crtico que un
determinado puesto de trabajo deba ser desconectado durante un tiempo
para conseguir disminuir su temperatura y evitar fallos de Hardware.
Medidas preventivas contra cortes en la refrigeracin dentro de la empresa
-
Aunque no es necesario se podran instalar en los equipos elementos de

ventilacin ms potentes para conseguir una mejora en su refrigeracin.
32
5.2.2.5 Comunicaciones
Corte temporal en los sistemas de comunicacin de la empresa debido a un
problema externo (puede deberse a un fallo de la compaa telefnica
suministradora). El corte puede ser de corta duracin (un da) o ms extenso
(varios das).
Las causas para que se produzca un fallo en las comunicaciones por
problemas de la compaa telefnica puede deberse a factores naturales o a
factores humanos.
Un fallo en el sistema de comunicaciones puede producir un grave trastorno a
la empresa, pues depende en gran medida de stas para desarrollar su
negocio.
Debido a la naturaleza de la empresa puede no ser tan crtico un fallo en las
comunicaciones de los equipos informticos como en las comunicaciones de
voz.
Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo.
Hasta el momento, en lo que lleva constituida la empresa (constituida en
febrero 2001), no se han producido este tipo de cortes, por lo que se supone
que no llegarn a producirse.
Tipo M: Corte en las comunicaciones durante varios das lo que puede retrasar
y complicar ligeramente las actuaciones de la empresa.
Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o
micro cortes durante un periodo corto de tiempo.
probabilidad de que ocurra es tambin baja.
Medidas preventivas contra cortes en las comunicaciones dentro de la
empresa
-
Contratacin de varias lneas con suministradores diferentes.
Separacin de lneas de datos y lneas de voz para que no se pierda el

servicio de las dos al mismo tiempo.
33
5.2.3 Hardware
Amenazas debidas a problemas en el equipamiento fsico de la empresa.
Pueden ser controladas.
5.2.3.1 Fallo de servidores

Fallo temporal en alguno o todos de los servidores de la empresa.
El fallo puede deberse a un corte de la corriente elctrica de los servidores, un
fallo humano de la gestin de los mismos, errores en el Hardware o en el
Software, etc.
La empresa no dispone de servidores puesto que cuenta nicamente con
estaciones de trabajo por lo que esta amenaza no requiere ser tenida en
cuenta.
Medidas preventivas contra fallos en los servidores de la empresa
Ninguna.
5.2.3.2 Fallo de estaciones PC

Fallo temporal en alguna o todas las estaciones de trabajo de que dispone la
empresa.
El fallo puede deberse a un corte de la corriente elctrica de los equipos, un
Software, etc.
Fallos y prdidas de servicio en los equipos de trabajo pueden afectar al
trabajo normal de la empresa pudindose perder datos vitales para el
correcto funcionamiento del negocio.
Un fallo en los equipos de trabajo puede ocasionar prdidas de horas de
trabajo o algo mucho ms grave, prdidas de informacin crtica para el
correcto funcionamiento de la empresa.
Tipo A: Fallo en todos los equipos de trabajo de la empresa durante un periodo
de tiempo superior a una semana o prdida de informacin almacenada en
esos equipos.
34
La gravedad de la amenaza puede considerarse como muy alta porque

perjudicar gravemente el negocio de la empresa, aunque la probabilidad de
que se produzca es baja.
Tipo M: Fallo en alguno de los equipos durante un tiempo inferior a una
semana, sin prdida de ningn tipo de informacin crtica para la empresa.
Tipo B: Fallo en algn equipo durante un tiempo inferior a 24 horas o pequeos
fallos durante ese tiempo sin darse prdida de informacin.
probabilidad de que ocurra es media/baja.
Medidas preventivas contra fallos en los equipos de la empresa
-
Tener un sistema de Backup convenientemente actualizado para

prevenir la prdida de informacin crtica.
Tener contratado un buen sistema de servicio tcnico que sea rpido a

la hora de reparar posibles fallos en los equipos del sistema.
Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar

posibles fallos de los equipos debidos a cortes de energa repentinos.
5.2.3.3 Fallo de porttiles

Fallo temporal en alguna o todas las estaciones de trabajo porttiles de que
dispone la empresa.
El fallo puede deberse a un corte de la corriente elctrica de los equipos, un
Software, etc.
Fallos y prdidas de servicio en los equipos de trabajo porttiles pueden
afectar al trabajo normal de la empresa pudindose perder datos vitales para
el correcto funcionamiento del negocio.
Un fallo en los equipos de trabajo porttiles puede ocasionar prdidas de
horas de trabajo o algo mucho ms grave, prdidas de informacin crtica
para el correcto funcionamiento de la empresa.
35

Tipo A: Fallo en todos los equipos de trabajo porttiles de la empresa durante
un periodo de tiempo superior a una semana o prdida de informacin
almacenada en esos equipos.
perjudicar gravemente el negocio de la empresa aunque la probabilidad de
que se produzca es baja.
Tipo M: Fallo en alguno de los equipos porttiles durante un tiempo inferior a
una semana pero no se da prdida de ningn tipo de informacin crtica para
la empresa.
Tipo B: Fallo en algn equipo porttil durante un tiempo inferior a 24 horas o
pequeos fallos durante ese tiempo sin darse prdida de informacin.
probabilidad de que ocurra es media/baja.
Medidas preventivas contra fallos en los equipos porttiles de la empresa
-
Tener un sistema de Backup convenientemente actualizado para

prevenir la prdida de informacin crtica.
Tener contratado un buen sistema de servicio tcnico rpido y eficaz a

la hora de reparar posibles fallos en los equipos del sistema.

36
5.2.4 Software
Fallos debidos a amenazas que pueden afectar al Software que emplea la
empresa para desarrollar su actividad de negocio. Pueden ser evitados.
5.2.4.1 Errores en los SSOO

Errores internos de los Sistemas Operativos instalados en los equipos de los que
dispone la empresa.
El fallo se debe a errores de programacin o a la no instalacin de las
actualizaciones de seguridad que distribuye la empresa desarrolladora cada
cierto tiempo.
Un fallo en los Sistemas Operativos de la empresa puede provocar fallos en los
procesos informticos de la empresa, retrasos en los procesos que dependan
del equipamiento informtico, lo que constituira un grave agujero en la
seguridad informtica de la empresa.
Tipo A: Fallo en los Sistemas Operativos de todos los equipos informticos de la
empresa durante un tiempo superior a un da.
perjudicar gravemente el negocio de la empresa debido, sobre todo, a que
pueden producirse importantes agujeros de seguridad, aunque la
probabilidad de que se produzca es baja, pues los Sistemas Operativos estn
correctamente actualizados.
Tipo M: Fallo en el Sistema Operativo de algunos de los equipos informticos
durante un tiempo mximo de un da.
La gravedad de la amenaza puede considerarse como media/alta, pues si
falla el equipo en el que se encuentra toda la informacin referente a la
Agencia Tributaria es un dao grave, pero si falla otro equipo con informacin
menos crtica no es tan importante. La probabilidad de que se produzca es
baja pues los Sistemas Operativos estn correctamente actualizados.
Tipo B: Fallo en el Sistema Operativo de un equipo que no contenga
informacin muy crtica durante un periodo inferior a un da.
La gravedad de esta amenaza puede considerarse como baja puesto que si
el equipo no contiene informacin muy crtica para el correcto
funcionamiento de la empresa y el periodo del fallo es inferior a un da no
37
repercutir excesivamente en el correcto funcionamiento de la empresa. La

probabilidad de que ocurra es baja, pues los Sistemas Operativos estn
correctamente actualizados.
Medidas preventivas contra fallos el Sistemas Operativos de la empresa
-
Disponer de Software original y garantizado por el distribuidor.
Realizar las actualizaciones del Sistema Operativo que proporcione el

fabricante.
5.2.4.2 Errores en las Bases de Datos

Errores internos en las Bases de Datos instalados en los equipos de los que
dispone la empresa.
El fallo puede deberse a errores de programacin de los programas que
trabajan con las Bases de Datos, fallos puntuales en alguna de las tablas o
fallos en la creacin de las Bases de Datos.
La empresa no dispone de bases de datos; toda su informacin se guarda en
ficheros de texto almacenados en un directorio de las mquinas.
Por lo tanto esta amenaza no es aplicable.
Medidas preventivas contra fallos en las Bases de Datos de la empresa
Ninguna.
5.2.4.3 Errores en las aplicaciones

Errores internos en las diferentes aplicaciones instalados en los equipos de los
que dispone la empresa.
El fallo se debe a errores de programacin o a la no instalacin de las
actualizaciones que distribuye la empresa desarrolladora cada cierto tiempo.
38

Un fallo en las aplicaciones que se utilizan dentro la empresa puede provocar
problemas en el correcto funcionamiento de los procesos de la empresa.
Adems de aplicaciones comerciales, dentro de la empresa tambin se usan
aplicaciones especficamente desarrolladas para ella, como por ejemplo
programas de contabilidad. Al no ser aplicaciones comerciales con gran
respaldo pueden producirse ms fallos y, generar incluso problemas de
seguridad.
Tipo A: Fallo en aplicaciones consideradas crticas dentro la empresa durante
un tiempo superior a un da.
Aplicaciones crticas se pueden considerar por ejemplo las aplicaciones
desarrolladas a medida para la empresa y de las que es ms complicado
recibir soporte, pero son muy importantes para el correcto desarrollo de los
procesos de negocio de la empresa.
perjudicar gravemente el negocio de la empresa debido a que muchas
aplicaciones estn instaladas nicamente en un equipo y si fallan se perder
su utilidad durante el tiempo de fallo. La probabilidad de que se produzca es
media/baja pues las aplicaciones comerciales estn correctamente
actualizadas, pero las aplicaciones elaboradas a medida presentan un
mantenimiento ms complicado.
Tipo M: Fallo en aplicaciones consideradas crticas dentro de la empresa
La gravedad de la amenaza puede considerarse como alta pues aunque el
tiempo de fallo de la aplicacin no sea extenso, puede perjudicar al correcto
funcionamiento de la empresa. La probabilidad de que se produzca es
media/baja, como se ha comentado en el tipo A, las aplicaciones
comerciales estn correctamente actualizadas, pero las aplicaciones
elaboradas a medida tienen un mantenimiento ms complicado.
Tipo B: Fallo en aplicaciones no crticas, es decir, que no afecten al desarrollo
normal de los procesos de la empresa durante un periodo inferior a un da.
La gravedad de esta amenaza puede considerarse como baja puesto que si
el fallo se da en aplicaciones no crticas, o que estn instaladas en varios
equipos no se alterarn los procesos de la empresa. La probabilidad de que
ocurra es baja pues las aplicaciones no crticas son las comerciales y estn
correctamente actualizadas e instaladas en ms de un equipo.
39
Medidas preventivas contra fallos en las aplicaciones de la empresa

-
Disponer de Software original y garantizado por el distribuidor.
Realizar las actualizaciones del Software que proporcione el fabricante.
En el caso de Software a medida se deber acordar con el desarrollador

un plan de mantenimiento ante cualquier circunstancia.
5.2.4.4 Errores en los elementos de seguridad

Errores en los elementos de seguridad que dispone la empresa, puede tratarse
de errores Software tales como fallo de antivirus o firewall, o errores en los
elementos fsicos tales como fallo de las alarmas, etc.
Los fallos en los elementos de seguridad pueden deberse a fallos en las
actualizaciones de los antivirus o, por ejemplo, cortes de suministro elctrico
que afecten al correcto funcionamiento de la alarma.
Un fallo en las medidas de seguridad dentro la empresa puede provocar
graves problemas en el correcto funcionamiento de los procesos de la
empresa, as como prdidas de informacin importante.
Tipo A: Fallo en las medidas de seguridad Hardware o Software de la empresa
durante un tiempo superior a un da.
La gravedad de la amenaza puede considerarse como muy alta, porque un
fallo grave en las medidas de seguridad de la empresa perjudicar
gravemente el negocio de sta. Tambin pueden producirse robos que
afecten econmicamente a la empresa. La probabilidad de que se produzca
es media/baja, pues las medidas de seguridad fsica estn en correcto
funcionamiento, pero las medidas Software no tienen un control adecuado
sobre su actividad.
Tipo M: Fallo en las medidas de seguridad Hardware o Software de la empresa
La gravedad de la amenaza puede considerarse como alta pues aunque el
tiempo de fallo de la seguridad no sea extenso, compromete seriamente a la
empresa. La probabilidad de que se produzca es media/baja pues como se
ha comentado en el tipo A las medidas de seguridad fsica estn en correcto
funcionamiento, pero las medidas Software no tienen un control adecuado
sobre su actividad.
Tipo B: Fallos de seguridad leves durante un periodo inferior a un da.
40
Fallos de seguridad leves se puede considerar que el antivirus deje de

funcionar durante una hora, un corte elctrico breve que afecte a la alarma,
etc.
La gravedad de esta amenaza puede considerarse como media/baja puesto
que aunque el fallo de elementos de seguridad es grave, si estos sistemas
estn sin funcionamiento un tiempo mnimo el impacto en la empresa no ser
grave. La probabilidad de que ocurra es media/alta ya que pequeos errores,
como el fallo temporal de un antivirus suelen ser frecuente.
Medidas preventivas contra fallos en los elementos de seguridad de la
empresa
-
Controlar que las medidas de seguridad Software estn continuamente

funcionando y correctamente actualizadas.
Revisin peridica de los elementos de seguridad fsica para comprobar

su correcto funcionamiento.
41
5.2.5 Red LAN y WAN

Fallos debidos a amenazas que pueden afectar a las comunicaciones tanto
internas como externas de la empresa.
5.2.5.1 Red interna

Fallos en las comunicaciones de la red interna debidos a cadas temporales de
sta.
Las cadas en la red interna pueden deberse a fallos en el Router que da
servicio a la red, problemas con el cableado o el emisor inalmbrico.
Dentro de la empresa no existe una infraestructura de red interna, las nicas
comunicaciones de red que existen son hacia el exterior por lo tanto los fallos
en la red interna no tienen ningn tipo de impacto dentro de la empresa.
Medidas preventivas contra fallos en la red interna de la empresa
Ninguna.
5.2.5.2 Sistemas de seguridad de las comunicaciones

Errores en los sistemas que aseguran que las comunicaciones de la empresa se
van a poder realizar sin problemas y adems no existen terceras personas
ajenas a la organizacin que intercepten esas comunicaciones.
Los fallos en los sistemas de seguridad pueden deberse a fallos en las
actualizaciones de los antivirus, sobre todo en los antispyware y firewalls que no
detecten intrusos en la red o fallos en el acceso al Router de comunicaciones y
un intruso pueda modificar la configuracin del mismo e impedir que se
realicen las comunicaciones correctamente o interceptar las mismas.
Un fallo en los sistemas de seguridad en las comunicaciones de la empresa
puede provocar graves problemas de seguridad y cortes en las
comunicaciones lo que puede producir, desde prdidas importantes de
informacin a la imposibilidad de comunicar la empresa con el exterior, al
menos, va Web.
42

Tipo A: Fallo en los sistemas anti intrusos de la red lo que provoca un agujero de
seguridad del que se aprovecha alguien ajeno a la organizacin para
introducirse en el sistema, inutilizar los sistemas de comunicacin hacia el
exterior (inutilizar el Router de comunicacin) y, potencialmente, puede
provocar una prdida de informacin crtica para el negocio de la empresa.
La gravedad de la amenaza puede considerarse como muy alta porque un
fallo de este tipo en las medidas de seguridad de la empresa provocara un
grave perjuicio en el negocio de sta, no tanto por la imposibilidad de
comunicarse con el exterior como por la prdida de informacin valiosa. La
probabilidad de que se produzca es media pues dentro de la empresa se
tienen adecuadamente instaladas medidas anti intrusos pero no se presta
demasiada atencin a su mantenimiento y actualizacin.
Tipo M: No se contempla este tipo para esta amenaza.
Tipo B: Fallo de las medidas de seguridad de acceso al Router de la empresa
lo que puede provocar que alguien ajeno a la empresa intente colarse en la
configuracin del Router y la cambie para impedir el acceso desde dentro de
la empresa al exterior.
La gravedad de esta amenaza puede considerarse como baja pues aunque
se produjera la situacin no se produciran daos importantes en los procesos
de la empresa por el hecho de no poder comunicarse con el exterior va Web.
Por otra parte la amenaza es fcilmente solucionable, pues basta con realizar
un reinicio del Router para que vuelva a su configuracin inicial y pueda ser
nuevamente configurado con las caractersticas necesarias de la
organizacin.
La probabilidad de que ocurra es baja pues el acceso al Router est
perfectamente protegido mediante contraseas.
Medidas preventivas contra fallos en los sistemas de seguridad de las
comunicaciones de la empresa
-
Mantener correctamente actualizados los sistemas de seguridad para

que detecten, eviten e informen de posibles ataques externos e internos
a nuestro sistema.
43
5.2.5.3 Redes pblicas ajenas

Fallos de la empresa suministradora de servicios de red y que provoquen una
prdida en los servicios de conexin de la organizacin hacia el exterior.
Los fallos en el servicio de comunicaciones de la empresa son debidos a fallos
de la empresa suministradora y, por tanto, completamente ajenos a la
empresa.
Un fallo en el servicio de comunicaciones de la empresa puede provocar
algn retraso en alguno de los procesos de la empresa pero debido a la
naturaleza de la misma, en ningn momento este tipo de fallos afectarn
gravemente a sus negocios.
Tipo A: Fallo en los sistemas de comunicacin informtica durante un tiempo
superior a cuarenta y ocho horas.
La gravedad de la amenaza puede considerarse como media/baja porque
un fallo en las comunicaciones informticas no afectar especialmente a la
empresa salvo que el fallo se produzca en pocas del ao determinadas, en
las que por ejemplo debido al fallo en las comunicaciones se imposibilite el
envi de la documentacin a la Agencia Tributaria va Web desde la
organizacin. La probabilidad de que se produzca es baja.
Tipo M: Fallo en los sistemas de comunicacin informtica durante un tiempo
no superior a veinticuatro horas.
La gravedad de la amenaza puede considerarse como media/baja porque
igual que ocurre en el tipo A, un fallo en las comunicaciones informticas no
afectar especialmente a la empresa, salvo que el fallo se produzca en
pocas del ao determinadas, en las que, por ejemplo, debido al fallo en las
comunicaciones se imposibilite el envi de la documentacin a la Agencia
Tributaria va Web desde la organizacin. La probabilidad de que se produzca
es baja.
Tipo B: Fallo en los sistemas de comunicacin intermitentes durante un periodo
inferior a un da.
La gravedad de esta amenaza puede considerarse como baja puesto que
cortes intermitentes en las comunicaciones no afectan en ninguna forma a los
procesos realizados en la empresa. La probabilidad de que ocurra es
media/baja pues debido a problemas del suministrador es frecuente sufrir
cortes leves de servicio a lo largo de un da.
44
Medidas preventivas contra fallos de las redes pblicas ajenas a la empresa

-
Contratar con la empresa suministradora un servicio de mantenimiento

que asegure una rpida reparacin en caso de prdida del servicio.
En el caso de que fuera necesario disponer siempre de un servicio de

conexin, contratar una lnea adicional con otra compaa para evitar
prdidas de servicio.
45
5.2.6 Copias de seguridad

Problemas en los soportes de Backup que tengan como consecuencia el dao
o la prdida de la informacin que ha sido duplicada en esos soportes de
copias de seguridad.
5.2.6.1 Fallos en soportes de copias de seguridad

Fallos en los soportes donde han sido almacenadas copias de seguridad,
debido a los cuales se produce un dao o una prdida de informacin til
para el negocio de la empresa.
Los fallos en los soportes de Backup pueden ser debidos a fallos de
fabricacin, a un mal almacenamiento o simplemente un fallo del soporte.
Dentro de la empresa no existen polticas de Backup, por lo tanto no se
dispone de soportes de copias de seguridad. Por lo que esta amenaza no
tiene ningn tipo de impacto dentro de la empresa.
Medidas preventivas contra fallos en los soportes de copias de seguridad de la
empresa
Ninguna.
46
5.2.7 Informacin
Qu problemas pueden afectar a la informacin almacenada dentro de la
empresa, la cual es valiosa para llevar a cabo los procesos de negocio.
5.2.7.1 Ficheros
Fallos o prdidas de los ficheros donde se almacena la informacin valiosa de
la empresa.
Los problemas con los ficheros pueden ser debidos a una mala gestin de los
mismos, a fallos en los equipos donde estn almacenados los ficheros, etc.
Debido a la no existencia de Bases de Datos dentro de la empresa, toda la
informacin se encuentra almacenada en ficheros, por lo tanto si se producen
fallos en ficheros con informacin, los cuales no se encuentran replicados, los
problemas para la empresa pueden ser muy graves.
Tipo A: Prdida de ficheros con informacin muy crtica sobre los negocios que
mantiene la empresa.
La gravedad de la amenaza puede considerarse como muy alta debido a
que la informacin no est replicada en ningn otro equipo, ni generalmente,
en ningn otro soporte, la prdida del fichero es irreparable. La probabilidad
de que se produzca es media debido a que, generalmente, dentro de la
empresa nicamente se cuenta con una copia de cada fichero almacenado.
Tipo M: Prdida temporal (no superior a cuarenta y ocho horas) del acceso a
ficheros con informacin crtica para la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que
puede afectar al retraso de alguna de las operaciones de la empresa si no
puede acceder momentneamente a informacin importante. La
probabilidad de que se produzca es media.
Tipo B: Prdida temporal (no superior a veinticuatro horas) del acceso a
ficheros sin demasiada importancia para los negocios de la empresa.
La gravedad de esta amenaza puede considerarse como baja puesto que la
importancia de la informacin almacenada en esos ficheros no es extremada
y no repercutira en el correcto funcionamiento de la empresa. La
probabilidad de que ocurra es media.
47
Medidas preventivas contra fallos en los ficheros de la empresa

-
Tener copias de seguridad de los ficheros importantes en diferentes

soportes.
El uso de bases de datos centralizadas en un equipo independiente de

los que usan los empleados habitualmente favorecera la posibilidad de
que aunque se den fallos en un equipo no se pierda informacin
importante.
5.2.7.2 Procedimientos de seguridad de la informacin

Fallos en los procedimientos de seguridad para salvaguardar la informacin y
evitar daos o prdidas.
Los fallos en los procedimientos de seguridad generalmente son debidos a una
aplicacin incorrecta de los mismos.
Dentro de la empresa no se dispone de procedimientos de seguridad para la
informacin por lo tanto esta amenaza no es aplicable.
Medidas preventivas contra fallos en los procedimientos de seguridad de la
informacin de la empresa
Ninguna.
5.2.7.3 Planes de contingencia

Fallos en los planes de contingencia ideados para salvaguardar la informacin
y evitar daos o prdidas.
Los fallos en los planes de contingencia generalmente son debidos a una
aplicacin incorrecta de los mismos.
Dentro de la empresa no se dispone de un plan de contingencia para la
informacin por lo tanto esta amenaza no es aplicable.
Medidas preventivas contra fallos en los planes de contingencia de la empresa
Ninguna.
48
5.2.8 Personal
La mayora de los ataques informticos a una empresa provienen desde
dentro de la misma perpetrados por sus propios empleados. Es importante
contar con estrategias de control de los empleados, as como de las acciones
que realizan en el sistema.
5.2.8.1 Errores y ataques de personal interno

El personal que trabaja en la empresa puede provocar fallos en los sistemas de
la empresa o prdidas de informacin debido a falta de formacin, falta de
conocimiento, mala intencionalidad
La empresa nicamente cuenta con dos empleados los cuales tienen
participacin dentro de la empresa por lo que ninguno de ellos va a atentar
intencionadamente contra su propia empresa. Por ello esta amenaza no es
aplicable.
Medidas preventivas contra fallos del personal de la empresa
Ninguna.
5.2.8.2 Errores y ataques de personal externo

Personas ajenas a la empresa pueden querer daarla por algn motivo por lo
que es necesario preparar a la organizacin para evitar ataques externos a sus
sistemas.
Los ataques externos pueden provenir de ex empleados descontentos,
personas que desean obtener informacin confidencial para su propio
beneficio, etc.
Existe la posibilidad de que personal ajeno a la empresa desee hacerse con
informacin confidencial de ella para usarla en su propio beneficio.
En el mundo en el que realiza sus operaciones la empresa, la informacin es un
activo muy importante y una posible prdida de esa informacin a favor de
otra empresa puede suponer la prdida de varios millones de Euros.
49

Tipo A: Acceso al sistema de la empresa y prdida de informacin de la
operacin en marcha, la cual es crucial para una buena finalizacin del
negocio para la empresa.
que la informacin sustrada es de mxima utilidad para la empresa. La
probabilidad de que se produzca es baja debido a que la empresa cuenta
con las medidas de proteccin necesarias para que su informacin este
protegida.
Tipo M: Acceso a los sistemas de la empresa y prdida de informacin de
negocios ya concluidos por la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que a
pesar de que el negocio ya ha sido finalizado la informacin del mismo es un
importante activo para futuros negocios. La probabilidad de que se produzca
es baja debido a que la empresa cuenta con las medidas de proteccin
necesarias para que su informacin este protegida.
Tipo B: Acceso a los sistemas de la empresa y prdida de informacin de poca
importancia para la empresa.
importancia de la informacin perdida no es de gran importancia por lo que
no tendr ningn efecto negativo en la empresa. La probabilidad de que se
produzca es baja debido a que la empresa cuenta con las medidas de
proteccin necesarias para que su informacin este protegida.
Medidas preventivas contra los ataques de personal externo a la empresa
-

soportes.
Ser especialmente cuidadosos con la informacin crtica de los negocios

y que sta nunca est fcilmente al alcance.
50
5.2.9 Riesgos contra el patrimonio
5.2.9.1 Robo
Cualquier empresa puede ser objetivo de un robo debido a que en sus
dependencias suelen tener material valioso e incluso dinero.
Al igual que cualquier otra empresa o domicilio particular est expuesta a
intentos de robos que pueden provocar la prdida de equipamiento
informtico, documentacin importante, etc.
Tipo A: Robo de activos de la empresa en el cual son sustrados equipamientos
y documentos en los que se almacenaba informacin importante para el
negocio de la empresa.
que la informacin sustrada es de mxima utilidad para la empresa. La
con las medidas de proteccin necesarias contra robos.
Tipo M: Robo de activos de la empresa en el cual son sustrados equipamiento
y documentacin con informacin que, aun siendo importante, no es crucial
para llevar a cabo correctamente el negocio de la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que, a
pesar de que la informacin sustrada no es crtica, s es muy importante y
puede llegar a causar algn prejuicio la falta de esa informacin o equipo. La
con las medidas de proteccin necesarias contra robos.
Tipo B: Robo de activos de la empresa en el cual son sustrados equipamiento y
documentacin con informacin irrelevante para los negocios de la empresa.
importancia de la informacin perdida no es importante para llevar a cabo los
negocios de la empresa. La probabilidad de que se produzca es baja debido
a que la empresa cuenta con las medidas de proteccin necesarias contra
robos.
51
Medidas preventivas contra robos a la empresa

-

soportes.
Tener siempre conectada la alarma de la empresa cuando no se

encuentre nadie dentro de la oficina.
5.2.9.2 Prdida no intencionada de activos

A pesar de que en todas las empresas intentan proteger al mximo sus activos,
stos pueden estar en peligro debido a fallos no intencionados del personal.
Estas prdidas pueden acarrear a la empresa muchos gastos en reponer los
activos perdidos e incluso prdidas irreemplazables.
Puesto que los dos nicos empleados de la empresa son socios de la misma,
no tendrn inters en que se pierdan activos importantes para su negocio, sin
embargo, a pesar del empeo que pueden poner dichos empleados en
evitar el extravo de sus activos, siempre ocurren accidentes que pueden
producir su prdida.
Tipo A: Prdida no intencionada de activos muy crticos para la empresa
debido a fallos del personal.
que los activos perdidos tienen una gran importancia para la empresa. La
probabilidad de que se produzca es baja debido a que los empleados de la
empresa ponen especial cuidado en la informacin ms importante de su
negocio.
Tipo M: Prdida no intencionada de activos importantes para la empresa pero
que no llegan a ser crticos para el desarrollo de su negocio.
pesar de que los activos son importantes para la empresa no se corre un riesgo
extremo con su prdida. La probabilidad de que se produzca es baja debido
a que los empleados de la empresa ponen especial cuidado en la
informacin importante de su negocio.
Tipo B: Prdida de activos no importantes para la empresa debido a fallos del
personal.
52
La gravedad de esta amenaza puede considerarse como baja, puesto que la

importancia de la informacin perdida no es importante para llevar a cabo los
negocios de la empresa. La probabilidad de que se produzca es baja debido
a que los empleados de la empresa ponen especial cuidado en la
informacin de su negocio.
Medidas preventivas contra prdidas no intencionadas de activos de la
empresa
-

soportes.
Tener siempre mucho cuidado con la informacin que se trabaja para

que no se produzcan prdidas.
53
5.2.10 Legislacin
La informacin que manejan las empresas est sujeta al cumplimiento de las
actuales leyes nacionales y europeas sobre la proteccin de datos de
carcter personal. [Web 8]
En Espaa la Agencia de Proteccin de Datos se encarga de velar para que
se cumplan las diferentes leyes que conciernen a los datos que manejan las
empresas.
Algunas de las leyes que afectan a los datos manejados por las organizaciones
son:
-
Ley Orgnica de Proteccin de Datos: ley aprobada en el ao 1999 y

actualizada en el ao 2008. Todas las empresas han de declarar sus
ficheros que contengan datos personales ante la AGPD.
La ley contempla tres niveles de seguridad de los datos y duras
sanciones dependiendo del grado de incumplimiento de la ley.
Ley de Servicios de la Sociedad de la Informacin y del Comercio

Electrnico: establece la regulacin para la realizacin de actividades
comerciales en Internet as como la distribucin de correo electrnico
con carcter comercial.

La empresa, debido a su actividad, no debe someterse a la LSSI-CE puesto que
no acta en Internet.
La LOPD s afecta a la organizacin; en la empresa trabajan dos empleados
por lo que sus datos personales y fiscales estn sometidos al nivel bajo de la
LOPD y deben ser protegidos y declarados ante la AGPD.
54
5.2.11 Otros riesgos

Existen otro tipo de riesgos que son ajenos a la empresa, pero que aun as
pueden afectar a su correcto funcionamiento.
5.2.11.1 Terrorismo
Los actos de terrorismo son actos de violencia para infundir terror. [Web 1]
En el mundo actual el terrorismo se est convirtiendo en una de las grandes
amenazas para todo el conjunto de la sociedad.
Valladolid, ciudad donde se ubica la empresa, no ha sido histricamente
objetivo de grandes atentados terroristas como puede haber sido Madrid pero
sin embargo s se ha perpetrado alguno y en especial dirigido a negocios,
sobre todo de hostelera, de la ciudad.
Tipo A: Destruccin completa del edificio donde se localiza la sede de la
empresa debido a un atentado terrorista con la consiguiente prdida de todos
los activos de la empresa que estuvieran ubicados all.
que se perdern todos los activos ms importantes de la empresa. La hiptesis
de que se produzca es baja debido a que existen pocas probabilidades de
que se lleve a cabo un atentado de esa magnitud en Valladolid.
Tipo M: Atentado terrorista que afecte a parte del edificio e impida el acceso
a la empresa durante un tiempo no superior a 1 mes.
paralizara parte de la actividad de la empresa durante el tiempo que no se
pudiera acceder a su sede. La hiptesis de que se produzca es baja debido a
que existen pocas probabilidades de que se lleve a cabo un atentado de esa
magnitud en Valladolid.
Tipo B: Atentado terrorista que afecte a parte del edificio e impida el acceso a
la empresa durante un tiempo no superior a 1 semana.
La gravedad de esta amenaza puede considerarse como media/baja puesto
que podra paralizar parte de la actividad de la empresa durante el tiempo
que no se pueda acceder a su sede. La probabilidad de que se produzca es
media/baja.
55
Medidas preventivas contra riesgo de ataques terroristas

-
Polticas de Backup localizado fuera del edificio de la empresa.
La nica medida contra actos terroristas es la lucha de los cuerpos de

seguridad del estado.
5.2.11.2 Imagen de empresa

Su imagen es uno de los activos ms importantes que tiene una empresa, si por
alguna razn la imagen de una empresa resulta daada, puede conllevar
prdidas millonarias para ella.
Una prdida de imagen puede deberse a diversas causas como pueden ser
prdidas graves de informacin por parte de la empresa, problemas en
negocios, publicidad inadecuada, etc.
El mundo empresarial en el que desarrolla su actividad la empresa es un sector
en el que todas las empresas se conocen entre s, pero el pblico general no
suele reconocer.
En el mundo inmobiliario la imagen de empresa la forman ms los negocios
que realizas o los activos inmobiliarios que posees.
Centrndose en el tema informtico, una posible prdida de informacin de la
empresa no afectara excesivamente a su imagen por lo tanto esta amenaza
no es aplicable.
Medidas preventivas contra prdidas de imagen de la empresa
Ninguna.
56
5.2.11.3 Insolvencia de servicios externos

Cualquier empresa, por pequea que sea, depende en parte de terceras
empresas que le suministran sus productos o servicios. Por ello si una empresa
suministradora sufre algn contratiempo, ese contratiempo tambin afectar
en mayor o menor medida a la empresa suministrada.
Para llevar a cabo la contabilidad de la empresa, se dispone de un Software
elaborado a medida por una pequea empresa externa que se encarga
tambin de su mantenimiento.

Tipo A: Que la empresa externa que ha desarrollado y mantiene el Software de
contabilidad desaparezca con el consiguiente perjuicio de la prdida del
mantenimiento del Software.
La gravedad de la amenaza puede considerarse como media/alta debido a
que el Software de contabilidad es muy importante para el desarrollo normal
de las actividades de la empresa. La probabilidad de que se produzca es
media/baja.
Tipo M: Problemas de la empresa externa que ha desarrollado y mantiene el
Software de contabilidad que imposibilitan que den un servicio adecuado
durante un periodo no superior a un mes.
La gravedad de la amenaza puede considerarse como baja debido a que el
mantenimiento del Software no se requiere todos los meses. La probabilidad
de que se produzca es media/baja.
Tipo B: Problemas de la empresa externa que ha desarrollado y mantiene el
Software de contabilidad que imposibilitan que den un servicio adecuado
durante un periodo no superior a una semana.
La gravedad de la amenaza puede considerarse como baja debido a que el
mantenimiento del Software no se requiere todas las semanas. La probabilidad
de que se produzca es media/baja.
Medidas preventivas contra prdidas de solvencia de los servicios externos a
la empresa
-
Establecer con el proveedor un contrato que exija el cumplimiento de

unas condiciones de mantenimiento o en su defecto una
compensacin.
57
Usar Software comercial que asegure actualizaciones y mantenimiento

con periodicidad.
58
6. ANLISIS DE VULNERABILIDADES
6.1 Introduccin
En el apartado anterior se han enumerado una por una todas las amenazas
que podran afectar a la empresa y se ha descrito el posible impacto que esa
amenaza tendra dentro de la empresa en el caso de producirse.
En este apartado, se van a identificar las vulnerabilidades que tiene la
empresa y que pueden ser aprovechadas por alguna amenaza para producir
algn tipo de dao en la misma.
6.2 Identificacin de vulnerabilidades

En este apartado se van a identificar todas las vulnerabilidades de la empresa.
Para evaluar las distintas vulnerabilidades, se van a seguir las mismas
categoras usadas para el anlisis de riesgos del captulo 5.
La mayor parte de las intrusiones a los sistemas que se producen hoy en da se
deben a la explotacin de vulnerabilidades, por ello es de vital importancia
poder identificar todas aquellas vulnerabilidades susceptibles de ser
aprovechadas por una amenaza, para evitar que sta llegue a materializarse.
La vulnerabilidades pueden deberse a fallos de seguridad de la propia
empresa o fallos de seguridad en los productos suministrados por terceras
empresas.
6.2.1 Vulnerabilidades relacionadas con desastres naturales

Los desastres naturales pueden llegar a ser, como se ha visto en el captulo 5,
amenazas muy graves para la empresa en el caso de que llegasen a
materializarse en su tipo de impacto ms alto.
Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de
riesgos:
Tormentas y rayos.
Terremotos.
Inundaciones.
59
Se pueden identificar las siguientes vulnerabilidades:

- Falta de pararrayos en el edificio.
- Falta de polticas de Backup.
6.2.2 Vulnerabilidades relacionadas con amenazas estructurales

Las amenazas debidas a fallos estructurales son muy graves debido a que
afectaran a todos los activos de la empresa provocando graves problemas
de continuidad para la misma.
riesgos:
- Incendios.
- Cortes elctricos.
- Agua.
- Refrigeracin.
- Comunicaciones.
- Falta de detectores de humos.
- Falta de dispositivos SAI que garanticen el suministro elctrico.
- Dependencia exclusiva de un nico proveedor de comunicaciones.
6.2.3 Vulnerabilidades relacionadas con el Hardware

Los problemas con el Hardware afectan directamente a los procesos
informticos de la empresa lo que puede provocar graves problemas en el
transcurso normal de los negocios de la empresa.
riesgos:
- Fallo de servidores.
- Fallo de estaciones PC.
60
- Fallo de porttiles.
- Falta de dispositivos SAI que garanticen el suministro elctrico.
6.2.4 Vulnerabilidades relacionadas con el Software

Los fallos y errores de Software son muy perjudiciales, y son stos los que ms
fcilmente pueden llegar a producirse si no se tiene cuidado con su correcto
mantenimiento.
Las vulnerabilidades del Software son las ms sensibles de ser aprovechadas
por amenazas para infligir algn tipo de dao dentro de una organizacin.
riesgos:
- Errores en los Sistemas Operativos.
- Errores en las Bases de Datos.
- Errores en las aplicaciones.
- Errores en los elementos de seguridad.
- Mala actualizacin de los sistemas antivirus, firewalls y dems Software
de seguridad
- Mala actualizacin de Software de gestin.
- Se dispone de Software elaborado a medida para la empresa por
personal externo a sta, pero que no responde adecuadamente del
mantenimiento del mismo.
61
6.2.5 Vulnerabilidades relacionadas con las redes de comunicacin

Las redes de comunicacin son uno de los elementos ms vulnerables a ser
explotados por una amenaza, si no se cuida correctamente su mantenimiento
y proteccin.
riesgos:
- Red interna.
- Sistemas de seguridad de las comunicaciones
- Redes pblicas ajenas.
-
Dependencia exclusiva de un nico proveedor de comunicaciones.
Bajo nivel de seguridad a la hora de realizar accesos a la red interna de

la empresa.
Mala actualizacin de Software de seguridad.
No disponer de una red interna para realizar las comunicaciones dentro

de la empresa y poder acceder a informacin interna sin necesidad de
salir al exterior.
6.2.6 Vulnerabilidades relacionadas con las copias de seguridad

Para el correcto mantenimiento de la informacin generada por la empresa es
recomendable que sta sea replicada en diferente formato y en diferente
lugar de donde se ha generado para salvaguardarla.
riesgos:
-
Fallos en los soportes de copias de seguridad.

-
No existe una poltica de copias de seguridad por lo que una prdida de

datos sera irreparable.
62
6.2.7 Vulnerabilidades relacionadas con la informacin

La informacin es el activo ms importante con que cuenta la empresa y por
lo tanto en donde se debe poner ms atencin para evitar que tenga
vulnerabilidades.
riesgos:
-
Ficheros.
Procedimientos de seguridad de la informacin.
Planes de contingencia.

-
No existen polticas de backup de la informacin.
No existe una ubicacin centralizada de almacenamiento de la

informacin; sta se encuentra repartida en los diferentes equipos de la
empresa.
No existen polticas ni medios de cifrado de la informacin crtica.
No existen planes de contingencia para casos de prdidas de

informacin.
6.2.8 Vulnerabilidades relacionadas con el personal

El personal de la empresa es una de las vulnerabilidades ms importantes que
puede tener una organizacin debido a que es un punto de fuga de
informacin o un foco de ataques a la organizacin.
riesgos:
-
Errores y ataques de personal interno.
Errores y ataques de personal externo.

-
No existe una poltica de contraseas para el acceso a los equipos.
No existe una poltica de restriccin de acceso a los datos.
63
6.2.9 Vulnerabilidades relacionadas con el patrimonio

Proteger los activos de la empresa ante terceros o prdidas accidentales, es
de vital importancia para no sufrir prdidas graves de activos.
riesgos:
-
Robo.
Prdida no intencionada de activos.

En la empresa existe un buen sistema de seguridad fsica que evita la
prdida de activos debido a robos, pero los sistemas Software de seguridad no
estn lo suficientemente bien adaptados a las necesidades de la empresa.
6.2.10 Vulnerabilidades relacionadas con la legislacin

Todos los ficheros tanto de nivel bajo, medio o alto han de ser declarados ante
la Agencia de Proteccin de Datos as como establecer una proteccin
adecuada para los datos bajo penas de multas econmicas que van desde
los 600 hasta los 600.000 .
En el caso de la empresa, los datos que maneja se engloban dentro del nivel
bajo de proteccin por los que la empresa est expuesta a sanciones desde
600 hasta los 60.000 si se comete alguna de las siguientes infracciones: [Web
8]
No solicitar la inscripcin del fichero en la AGPD.
No atender a las solicitudes de los interesados sobre datos que les

conciernen.
Recoger los datos sin informar a los interesados sobre: la existencia del
fichero, el uso que se va a dar a los datos, el responsable del fichero, los
derechos de los interesados.
6.2.11 Otras vulnerabilidades

Otras vulnerabilidades que se pueden apreciar en la empresa:
- Falta de conciencia por parte de los responsables de la empresa de
que es necesaria una buena poltica de seguridad informtica.
64
6.3 Valoracin de las vulnerabilidades

En este apartado se van a valorar las diferentes vulnerabilidades encontradas
en la empresa.
Para analizar las vulnerabilidades se usara el siguiente criterio de valoracin:
-
Alta: La vulnerabilidad es grave debido a que es muy probable que sea

aprovechada por una amenaza para infligir dao a la organizacin y
provocar una prdida de activos irreparable.
Media: La vulnerabilidad es importante pero tiene poca probabilidad de

ser aprovechada por una amenaza.
Baja: Existe una vulnerabilidad pero no hay una amenaza que la pueda
explotar o existen muy pocas posibilidades que la amenaza llegue a
materializarse en esa vulnerabilidad.
Cdigo
Vulnerabilidad
Activos a los que

afecta
Valoracin
Falta de polticas
de Backup
Informacin de la
empresa
Alta
Falta de
detectores de
humos
Activos materiales
(Equipos,
documentacin
fsica,)
Media
Falta de
dispositivos SAI
Equipamiento
informtico
Media
Dependencia
exclusiva de un
nico proveedor
de
comunicaciones
Comunicaciones
de la empresa
Baja
Mala
actualizacin de
Software de
seguridad
Informacin de la
empresa
Alta
Mala
actualizacin de
Software de
gestin
Informacin de la
empresa
Media
65
Mal
mantenimiento
de Software a
medida
Informacin de la
empresa
Baja
No disponer de
red interna
Informacin de la
empresa y
comunicaciones
Baja
No existe una
poltica de copias
de seguridad
Informacin de la
empresa
Alta
10
No existe un
almacenamiento
centralizado de la
informacin
Informacin de la
empresa
Media
11
No existen
polticas ni medios
para el cifrado de
la informacin
Informacin de la
empresa
Media
12
No existen planes
de contingencia
Informacin de la
empresa
Alta
13
No existe poltica
de contraseas
Informacin de la
empresa
Baja
14
No existe polticas
de restriccin de
acceso a datos
Informacin de la
empresa
Baja
15
Software de
seguridad no
adaptado
correctamente a
la empresa
Informacin de la
empresa
Media
16
No declaracin
de los ficheros de
informacin
personal ante la
AGPD
Informacin de la
empresa
Baja
66
17
Falta de
conciencia de los
encargados de la
empresa
Informacin de la
empresa,
equipamiento
informtico y
comunicaciones
Alta
Tabla 6.1: Valoracin de vulnerabilidades
67
7. PLAN DE SEGURIDAD
7.1 Introduccin
Hasta este punto se ha realizado un completo anlisis de la situacin de la
empresa en lo que se refiere a la seguridad de la informacin.
A continuacin se van a detallar las posibles soluciones que debe implantar la
empresa para conseguir establecer un nivel de seguridad de su informacin
adecuado para evitar prdidas y daos de activos.
7.2 Plan de seguridad

A la hora de realizar el anlisis de la empresa, se han detectado ciertas
vulnerabilidades graves como por ejemplo que no exista un replicado de la
informacin, que no existan polticas de acceso a la informacin o la ms
importante, que los responsables de la empresa no tengan conciencia de la
importancia de dotar a su empresa de unas adecuadas medidas de
seguridad para proteger la informacin de la misma.
Para conseguir reducir el riesgo de la empresa se van a detallar las medidas
que se debern emplear para conseguir que consiga ponerse al da en la
seguridad de su informacin y elementos informticos.
Dentro de las medidas a emplear para eliminar las vulnerabilidades y dotar a
la empresa de una seguridad adecuada, se pueden distinguir varios tipos:
-
Medidas preventivas: Medidas que se debern implantar en la empresa

para prevenir la posible explotacin de una vulnerabilidad por parte de
una amenaza.
Medidas correctoras: Medidas que se debern implantar en la empresa

para corregir problemas o fallos debidos a amenazas que se han
materializado.
Riesgos asumibles: Pueden existir vulnerabilidades de la empresa que no

sean sensibles a que un riesgo las explote, por lo que esa vulnerabilidad
no es necesario que sea tenida en cuenta a la hora de establecer las
medidas de seguridad.
68
7.2.1 Medidas aplicadas a desastres naturales

A la hora de establecer medidas para proteger a la empresa de daos
debidos a desastres naturales hay que tener en cuenta que no se puede
controlar que lleguen, o no, a materializarse por lo que la empresa est
expuesta a ellos y nicamente se pueden establecer medidas preventivas
para intentar minimizar en lo posible el dao.
Medidas preventivas a adoptar dentro de la empresa:
-
Instalacin de dispositivos de proteccin de lneas elctricas contra

sobrecargas.
Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida)

para garantizar el suministro elctrico en caso de cada del sistema
elctrico general.
Realizacin peridica de copias de Backup localizadas en servidores

externos a la empresa.
Aunque antes se ha comentado que para tratar los desastres naturales slo se
pueden establecer medidas preventivas, la realizacin de copias de Backup
se puede incluir tambin dentro de medidas correctoras.
7.2.2 Medidas aplicadas a problemas estructurales

Los posibles daos estructurales que se den en la empresa, an siendo ajenos
a la propia empresa s pueden ser controlados mediante revisiones peridicas
o mediante la contratacin de servicios alternativos.
-
Revisin peridica de la instalacin elctrica.
Instalacin de dispositivos automticos de extincin de incendios.
Distribucin de extintores a lo largo de toda la dependencia de la

empresa, en especial cerca de elementos informticos crticos.
Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida)

para garantizar el suministro elctrico en caso de cada del sistema
elctrico general.
Contratacin de dos lneas exteriores con suministradores de internet

para garantizar siempre una conexin mnima a la red.
69
Medidas correctoras a adoptar dentro de la empresa:

-
Restauracin de copias de Backup en el caso de haberse producido

una prdida de datos.
Riesgos asumibles en la empresa:

-
Prdida de las comunicaciones durante un periodo inferior a 24 horas.
7.2.3 Medidas aplicadas a problemas de Hardware

En el anlisis realizado dentro de la empresa se han detectado varios fallos en
el correcto mantenimiento y seguridad del equipamiento Hardware disponible,
sobre todo debido a la ausencia de un sistema de almacenamiento
centralizado, lo que pone en grave riesgo la integridad de la informacin
almacenada dentro de dicho Hardware.
Algunas medidas aplicables para evitar prdidas:
-
Instalacin de un servidor de almacenamiento centralizado donde se

almacene toda la informacin generada dentro de la empresa y que
garantice un acceso adecuado, y seguro, a la misma cuando sea
necesario.
Disponer de copias de respaldo almacenadas en servidores exteriores a

la empresa para prevenir posibles fallos de Hardware.

Tener contratado un buen servicio tcnico que asegure una rpida

reparacin y puesta en marcha de los equipos si se produce un fallo.

-



-
Fallo en alguna estacin PC o porttil durante un periodo inferior a 24

horas.
70
7.2.4 Medidas aplicadas a problemas de Software

El Software es el elemento ms crtico de la empresa, pues debido a la falta de
concienciacin de seguridad de los responsables de la misma; los elementos
Software que componen los activos de la empresa no estn siempre
correctamente actualizados y preparados para evitar posibles prdidas de
informacin no deseadas.
-
Realizar peridicamente, o cuando sea requerido por el distribuidor del

Software, las actualizaciones oportunas para mantener al da los distintos
programas y Sistemas Operativos.
Instalacin de bases de datos centralizadas donde se almacenen todos

los datos importantes generados por la empresa para facilitar el
almacenamiento, accesibilidad y seguridad de los datos.
Disponer de Software de calidad y debidamente revisado.
Establecer una poltica de contraseas para acceder a los diferentes

equipos de la empresa.

-

7.2.5 Medidas aplicadas a problemas de red

La red es uno de los elementos ms sensibles de la empresa, puesto que
dentro de la misma no son conscientes de lo perjudicial que puede llegar a ser
un ataque exterior y tampoco saben aprovechar las oportunidades que sta
puede proporcionar.
-
Montaje de una red interna en la empresa para garantizar que todas las
comunicaciones internas y de carcter confidencial no salen de la
estructura de la propia empresa.
Mantener correctamente instalados y actualizados los sistemas de

seguridad Software de los que dispone la empresa.
Instalacin en la totalidad de equipos de la empresa igual Software de

seguridad que garantice la seguridad de los equipos.
71
Establecimiento de polticas de seguridad de acceso a la red mediante

el empleo de contraseas.
Instalacin de un Router de acceso gestionable, ms adecuado para la

empresa que el proporcionado por la empresa suministradora del
servicio.
Establecer una correcta configuracin de seguridad para la red

inalmbrica que evite accesos indeseados.

-
Disponer de un correcto servicio de mantenimiento por parte de la

empresa suministradora de servicios de comunicaciones que aseguren
una rpida reparacin y restablecimiento del servicio en caso de
problemas con la lnea.


-
Fallo en los sistemas de comunicacin de red durante un periodo no

superior a 24 horas.
7.2.6 Medidas aplicadas a problemas de las copias de seguridad

La poltica de copias de seguridad es sin duda el taln de Aquiles de la
empresa, pues dentro de la misma no se dispone de ningn sistema que
garantice que se realicen copias de los datos crticos, ni que estas copias estn
a salvo y replicadas en algn sistema de almacenamiento exterior a la
empresa.
En este punto, tambin se detecta una falta de concienciacin de los
responsables de la empresa de lo importante que resulta tener la informacin
replicada.
Como nota de la importancia de este punto cabe resear que durante la
elaboracin del presente proyecto se perdieron en la empresa los datos
fiscales que se encontraban informatizados del ltimo ao.
-
Instalacin de un servidor centralizado de copias de seguridad en el cual

se almacenen peridicamente copias de los datos actualizados.
72
Realizacin peridica de copias de seguridad de los datos, en especial

de los datos crticos, generados en la empresa.

externos a la empresa para garantizar la disponibilidad de los datos ante
cualquier contratiempo en la empresa.

-

7.2.7 Medidas aplicadas a problemas con la informacin

La informacin es uno de los activos ms importantes con los que cuenta la
empresa y por tanto uno de los ms crticos y que ms habra que proteger.
-
Disponibilidad de copias de seguridad de los ficheros ms importantes

en diferentes soportes.
Instalacin de bases de datos centralizadas donde se almacenen todos

los datos importantes generados por la empresa para facilitar el
almacenamiento, accesibilidad y seguridad de los datos.
Establecimiento de procedimientos de seguridad que establezcan las

acciones a realizar en caso de prdidas de informacin.
Establecimiento de planes de contingencia para salvaguardar la

informacin y evitar daos o prdidas de la misma.

-
Seguimiento de los procedimientos de seguridad establecidos para

cada caso.

Seguimiento del plan de contingencia especificado para cada caso.
73
7.2.8 Medidas aplicadas a problemas con el personal

En cualquier organizacin el personal es un punto crtico pues un empleado
descontento puede provocar graves daos desde dentro de la organizacin.
Cabe recordar que el 80% de los ataques informticos que sufren las empresas
proceden de dentro de la misma.
En este caso un ataque desde dentro no es aplicable pues el personal que
trabaja en la empresa es a la vez dueo de la misma y no realizar acciones
conscientes que daen a su propia empresa; an as, como se ha comentado
ya con anterioridad, el personal est muy poco concienciado con disponer de
una adecuada seguridad y poltica de respaldo dentro de la empresa para
garantizar la salvaguarda de su informacin.
-
Conseguir una adecuada concienciacin del personal de la empresa

sobre lo importante que es mantener un cierto nivel de seguridad en los
procesos que se realizan dentro de la empresa. As como establecer una
adecuada poltica de respaldo de informacin.

Establecer una poltica de contraseas para el acceso a los recursos del

sistema.

-

Realizacin de cursos de concienciacin sobre la importancia de la

seguridad de los datos para el personal de la empresa.
7.2.9 Medidas aplicadas a problemas con el patrimonio

En cualquier momento se puede estar sujeto a un robo o a una prdida no
intencionada de activos que provoque un problema de disponibilidad de
datos importantes o una prdida irrecuperable de los mismos.
-

Disponer de un completo inventario de todos los activos de la empresa.

74
Tener la alarma conectada cuando no hay personal dentro de las

instalaciones de la empresa.

-

7.2.10 Medidas aplicadas a informacin que debe ser declarada ante la

Agencia de Proteccin de Datos
Los ficheros con informacin de carcter personal, como lo son por ejemplo las
nminas, entran dentro del nivel bajo de la LOPD por lo que adems de
declarar esos ficheros a la Agencia de Proteccin de Datos se deben
establecer las siguientes medidas de seguridad para los ficheros: [Web 8]
-
Creacin de un documento de seguridad, de obligado cumplimiento

para el personal que tenga acceso a los datos.
Adopcin de medidas para que el personal conozca las normas de

seguridad.
Creacin de un registro de incidencias.
Creacin de una relacin de usuarios (procesos o personas) que tengan

acceso al sistema de informacin.
Establecer mecanismos de control de acceso.
Establecer mecanismos de control de soporte.

-
Se deben declarar ante la Agencia de Proteccin de Datos los ficheros

que contienen las nminas de los empleados de la organizacin.
Se deben establecer las medidas de seguridad establecidas dentro de

la LOPD para adecuarse a lo establecido dentro de la ley.
75
7.2.11 Medidas aplicadas a problemas provocados por otros riesgos

Otros factores que pueden afectar a la seguridad de los activos de la empresa
pueden ser problemas de terrorismo, problemas con la imagen de la empresa,
problemas de solvencia de los servicios externos, etc.
-
Disponer de copias de respaldo almacenadas en servidores exteriores a

la empresa.
Uso de Software comercial

mantenimiento con periodicidad.
que
asegure
actualizaciones

-

Trabajar nicamente con proveedores de probada solvencia y que

garanticen una rpida reparacin y restitucin del servicio en caso de
fallos.
76
7.3 Resumen de medidas de seguridad

En este apartado se van a detallar en resumen las medidas correctoras que se
recomiendan para dotar a la empresa de un nivel de seguridad adecuado
para sus activos.
Medidas preventivas
Instalacin de dispositivos de proteccin de lneas elctricas contra

sobrecargas.
Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida).

externos a la empresa.
Revisin peridica de la instalacin elctrica.
Instalacin de dispositivos automticos de extincin de incendios.
Distribucin de extintores a lo largo de toda la dependencia de la

empresa, en especial cerca de elementos informticos crticos.
Contratacin de dos lneas exteriores con suministradores de internet

para garantizar siempre una conexin mnima a la red.
Instalacin de un servidor de almacenamiento centralizado.
Realizar peridicamente, o cuando sea requerido por el distribuidor del

Software, las actualizaciones oportunas para mantener al da los
distintos programas y Sistemas Operativos.
Instalacin de bases de datos centralizadas.
Disponer de Software de calidad y debidamente revisado.
Establecer una poltica de contraseas.
Montaje de una red interna en la empresa.
Mantener correctamente instalados y actualizados los sistemas de

seguridad Software de los que dispone la empresa.
Instalacin en la totalidad de equipos de la empresa igual Software de

seguridad que garantice la seguridad de los equipos.
Instalacin de un Router de acceso gestionable ms adecuado para la

empresa que el proporcionado por la empresa suministradora del
77
servicio.
Establecer una correcta configuracin de seguridad para la red

inalmbrica.
Instalacin de un servidor centralizado de copias de seguridad.
Realizacin peridica de copias de seguridad.
Establecimiento de procedimientos de seguridad.
Establecimiento de planes de contingencia.
Conseguir una adecuada concienciacin del personal de la empresa.
Disponer de un completo inventario de todos los activos de la empresa.
Tener la alarma conectada cuando no hay personal dentro de las

instalaciones de la empresa.
Uso de Software comercial que

mantenimiento con periodicidad.
asegure
actualizaciones
Tabla 7.1: Medidas preventivas
Medidas correctoras


Disponer de un correcto servicio de mantenimiento por parte de la

empresa suministradora de servicios de comunicaciones.
Seguimiento de los procedimientos de seguridad establecidos para

cada caso.
Seguimiento del plan de contingencia especificado para cada caso.
Trabajar nicamente con proveedores de probada solvencia y que

garanticen una rpida reparacin y restitucin del servicio en caso de
fallos.
Realizacin de cursos de concienciacin sobre la importancia de la

78
seguridad de los datos para el personal de la empresa.
Dar de alta los ficheros con informacin del personal en la Agencia de

Proteccin de Datos.
Establecer las medidas de seguridad recogidas en la LOPD para los

ficheros que lo requieran.
Tabla 7.2: Medidas correctoras
Riesgos asumibles
Prdida de las comunicaciones durante un periodo inferior a 24 horas.
Fallo en alguna estacin PC o porttil durante un periodo inferior a 24

horas.
Fallo en los sistemas de comunicacin de red durante un periodo no

superior a 24 horas.
Tabla 7.3: Riesgos asumibles
79
8. RECOMENDACIONES FINALES
8.1 Introduccin
La seguridad es un proceso continuo, no se pueden establecer unas medidas
de seguridad extremas para mantener la integridad de los datos y procesos de
la empresa y luego, olvidar que es necesario realizar un seguimiento continuo
de las medidas implantadas, actualizacin de Software, revisin peridica del
Hardware, etc.
Por ello una vez realizado el anlisis de la empresa y dadas las
recomendaciones necesarias para conseguir dotar a la empresa de las
medidas de seguridad necesarias que cubran las precariedades con las que
cuenta la empresa en materia de seguridad informtica, se van a detallar
unas recomendaciones finales, sobre todo de cara al futuro, para que la
empresa consiga mantener el nivel de seguridad alcanzado gracias a las
recomendaciones dadas.
8.2 Recomendaciones
-
Mantener correctamente actualizado todo el Software de la empresa,

antivirus, Sistema Operativo, Software de gestin, etc.
Realizar, al menos una vez a la semana, copias de respaldo de todos los

datos generados durante el periodo desde la ltima copia de seguridad.
Realizar auditoras peridicas, recomendablemente bienales, del nivel

de seguridad en que se encuentra la empresa.
Se recomienda la contratacin de personal adecuado para el

mantenimiento de los sistemas y los procedimientos de seguridad (al
menos una).
Cumplir correctamente con todo lo referente a la Ley Orgnica de

Proteccin de Datos.
Que el personal de la empresa siga las recomendaciones dadas en este

documento.
80
9. PLANIFICACIN
Para llevar a cabo este proyecto se ha realizado una planificacin dividiendo
el proyecto en diferentes paquetes de trabajo.
Para identificar los diferentes paquetes de trabajo se seguir la siguiente
nomenclatura: WP x; donde x ser el nmero del paquete de trabajo y en
el caso de los subpaquetes se definirn: WP x.y donde x ser el nmero del
paquete e y sea el nmero de subpaquete.
PROYECTO
WP 1. Gestin
del proyecto
WP 1.1 Reuniones
de seguimiento
WP 2. Planificacin
del proyecto
WP 3.Ejecucin del
proyecto
WP 4. Cierre del
proyecto
WP 3.1 Anlisis de
la empresa
WP 3.2 Inventario
Hardware
WP 3.3 Inventario
Software
WP 3.4 Plan de
recuperacin
existente
WP 3.5 Anlisis de
riesgos
WP 3.6 Anlisis de
vulnerabilidades
WP 3.7 Plan de
seguridad
WP 3.8
Recomendaciones
finales
81
Figura 9.1: Paquetes de trabajo
WP 3.2 Inventario
Hardware
WP 3.2.1 Hardware
instalado
WP 3.2.2 Comunicaciones
WP 3.2.3 Seguridad fsica
Figura 9.2: Inventario Hardware
WP 3.3 Inventario
Software
WP 3.3.1 Software
instalado
WP 3.3.2 Seguridad
Software
Figura 9.3: Inventario Software
82
WP 3.4 Plan de recuperacin

existente
WP 3.4.1 Hardware de
recuperacin
WP 3.4.2 Software de
recuperacin
WP 3.4.3 Recursos
humanos
WP 3.4.4 Estrategias de
respaldo
Figura 9.4: Plan de recuperacin existente
WP 3.5 Anlisis de
riesgos
WP 3.5.1 Identificacin de
riesgos
WP 3.5.2 Valoracin de
riesgos
Figura 9.5: Anlisis de riesgos
La gestin del proyecto abarcar toda su vida con la realizacin de reuniones

de seguimiento mensuales con el cliente para informarle de los avances del
anlisis de la empresa.
Los paquetes de trabajo definidos en la ejecucin del proyecto se realizarn
de forma secuencial.
83
84
Figura 9.6: Planificacin
Como se puede ver en la planificacin, la duracin del proyecto se estima en

8 meses siendo los paquetes de trabajo con mayor duracin:
-
El anlisis de riesgos que tiene una duracin de 40 das.
El anlisis de vulnerabilidades que tiene una duracin de un mes.
La realizacin del plan de seguridad que tiene una duracin de un mes.
La realizacin de las recomendaciones futuras que tiene una duracin

de un mes.
85
10. PRESUPUESTO
A continuacin se va a detallar el presupuesto necesario para la realizacin de
este proyecto.
Para llevar a cabo este proyecto nicamente ser necesaria la contratacin
de un auditor a tiempo completo durante la duracin del proyecto.
Para realizar la valoracin econmica se considerara:
-
Tarifa auditor: 50 la hora.
Media de horas laborables al mes: 160.
Tiempo de desarrollo del proyecto: 8 meses.
Tarifa
Horas mes
Total
Analista Junior
35 /hora
240 horas
8.400
Auditor
50 /hora
60 horas
3.000
Total
11.400
Tabla 10.1: Presupuesto
86
11. CONCLUSIONES
Una vez concluido el trabajo de anlisis de la empresa y dadas las
recomendaciones de seguridad oportunas se finaliza el proyecto detallando
las conclusiones obtenidas.
1. Los responsables de la empresa no tienen una buena conciencia de
lo importante que es la seguridad informtica.
A lo largo de la realizacin del proyecto se ha comprobado en numerosas
ocasiones que los responsables de la empresa no son conscientes de lo
importante que es la seguridad informtica para su proceso de negocio y lo
vulnerable que es la empresa a posibles prdidas de informacin.
2. La naturaleza de las amenazas que pueden afectar a una

organizacin ha cambiado.
Tal y como se comenta en la introduccin la naturaleza de las amenazas ha
cambiado, los creadores de virus ya no tratan de propagarlos rpidamente y
conseguir con ello un record de infecciones y cierta notoriedad sino que
ahora tratan de colarse en sistemas para robar el mayor nmero de
informacin posible sin ser detectados.
3. La empresa se encuentra muy desprotegida ante posibles ataques

informticos
Tal y como se ha visto a lo largo del proyecto en los anlisis que se han
realizado dentro de la empresa, reflejan una falta de preocupacin por los
sistemas de seguridad con los que ya se cuenta (la mayora del Software de
seguridad no se encuentra actualizado) y por mejoras que se puedan
implantar en los sistemas.
4. A pesar de ser una pequea empresa requiere una gran atencin en

lo referente a la seguridad de su informacin.
Arroyo-Fuensaldaa es una empresa con una nica sede y con poco personal,
pero aun as requiere un gran esfuerzo, control y supervisin de todos los
procesos informticos que se producen para asegurar que no tengan lugar
perdidas de informacin.
87
5. Con las recomendaciones dadas en el presente documento se

conseguir dotar a la empresa de la seguridad que necesita.
Si se siguen todas las pautas dadas en el presente documento, la empresa
podr ponerse al da en la seguridad de sus sistemas y estar adecuadamente
protegida.
88
BIBLIOGRAFIA
[HOWA06]
Howard. 19 Puntos clave sobre seguridad de Software

Editorial McGraw-Hill, Madrid, 2006
[MAIW04]
Maiwald, Eric. Fundamentos de seguridad de redes

[ALVA04]
lvarez Maran, Gonzalo y Prez Garca, Pedro.

Seguridad informtica para la empresa y particulares
[GOME06]
Gmez Vieites, A. Enciclopedia de la Seguridad

Informtica
Editorial Ra-Ma, Madrid, 2006
[Web 1]
www.rae.es
[Web 2]
www.abcdatos.com
[Web 3]
www.avasthome.com
[Web 4]
www.McAfee.es
[Web 5]
www.nokia.es
[Web 6]
www.bsecure.com
[Web 7]
www.iso27000.es
[Web 8]
www.agpd.es
[Web 9]
www.htc.es
[Web 10]
www.telefonica.es
89
ANEXOS
ANEXO 1. WinAudit
[Web 2]
WinAudit es un completo programa bajo licencia Freeware con el que se
puede realizar una completa auditoria de cualquier estacin informtica.
WinAudit analiza completamente el equipo y realiza un informe completo
incluyendo todo el Software instalado, configuracin de seguridad,
configuracin de red, Hardware instalado, mapeo de puertos, configuracin
de Firewall, incluso diagnsticos de fallo de Hardware.
Los informes elaborados por WinAudit pueden imprimirse en diferentes formatos
como html, pdf, txt, xml, etc.
Requisitos mnimos
WinAudit funciona bajo cualquier Sistema Operativo Windows, desde el 95 al
Vista.
No requiere de instalacin pues funciona simplemente con ejecutar el archivo
.exe del programa.
Figura A.1: Pantalla principal WinAudit
90
Pantalla principal
En la pantalla inicial del programa se puede seleccionar el idioma para realizar
el inventario y a continuacin iniciar la recoleccin de datos de la estacin.
Figura A.2: Pantalla de anlisis WinAudit
Pantalla de anlisis
Una vez iniciado el anlisis, y mientras ste se realiza, se puede detener en
cualquier momento, as como elegir el formato en el que se mostrar la
informacin.
91
Figura A.3: Informacin recolectada WinAudit
Informacin recolectada
Una vez finalizado el anlisis WinAudit muestra toda la informacin que ha
recolectado de la estacin.
En la parte derecha se muestra un men desplegable gracias al cual es
posible navegar a travs de las distintas informaciones recopiladas del equipo.
Al realizar el guardado del documento, ste se almacenar en el formato
escogido.
92
ANEXO 2. ISO 17799

La norma ISO 17799 es un cdigo de buenas prcticas en la seguridad de la
informacin que estandariza el correcto tratamiento de la seguridad de la
informacin dentro de la organizacin.
La norma establece 10 reas de seguridad que hay que tener en cuenta:
-
Polticas de seguridad.
Organizacin de la seguridad.
Clasificacin y control de activos.
Seguridad ligada al personal.
Seguridad fsica.
Seguridad lgica.
Control de accesos.
Mantenimiento y desarrollo de los sistemas.
Continuidad del negocio
Cumplimiento con la legislacin vigente.
La norma tiene en cuenta 36 objetos de seguridad as como 127 controles de

seguridad.
La norma:
-
Especifica los requisitos para establecer, implantar, documentar y

evaluar un sistema de gestin de seguridad de la informacin segn la
norma ISO 17799.
Define los controles de seguridad a revisar.
Define el marco general del sistema gestin de seguridad de la

informacin.
Define como implantar el sistema de gestin de seguridad de la

informacin.
Define como se realiza la explotacin.
Define como realizar la revisin y mejora del sistema de gestin de

seguridad de la informacin.
93
ANEXO 3. Diagnstico de la empresa

Como ayuda a la realizacin del anlisis de requisitos se ha realizado dentro
de la empresa el cuestionario de diagnstico basado en la norma ISO 17799.
A la hora de evaluar cada control de seguridad se har con:
-
S: Si la medida se aplica en la empresa.
No: Si la medida no se aplica en la empresa.
No aplicable: Si la medida no es aplicable dentro de la empresa.
Polticas de seguridad
Se aplica en la
empresa
Existen documento(s) de polticas de seguridad de SI
No
Existe normativa relativa a la seguridad de los SI
No
Existen procedimientos relativos a la seguridad de los SI
No
Existe un responsable de las polticas, normas y

procedimientos
No
Existen mecanismos para la comunicacin a los usuarios

de las normas
No
Existen controles regulares para verificar la efectividad

de las polticas
No
Organizacin de la seguridad
Existen roles y responsabilidades definidos para las
personas implicadas en la seguridad
No
Existe un responsable encargado de evaluar la

adquisicin y cambios del SI
No
Existen condiciones contractuales de seguridad con

terceros y outsourcing
Se revisa la organizacin de la seguridad
peridicamente por una empresa externa
Existe un contrato de mantenimiento y soporte con
No
S
94
empresa externa para contingencias

Existen programas de formacin en seguridad
No
Clasificacin y control de activos

Existe un inventario de activos actualizado
El inventario contiene activos de datos, software,

equipos y servicios
Se dispone de una clasificacin de la informacin segn

la criticidad de la misma
No
Existen procedimientos para clasificar la informacin
No
Existen procedimientos de etiquetado de la informacin
No
Seguridad del personal

Se tienen definidas responsabilidades y roles de
seguridad
No
Se tiene en cuenta la seguridad en la seleccin de

personal
No
Se plasman las condiciones de confidencialidad y

responsabilidades en los contratos
No
Se imparte la formacin adecuada de seguridad
No
Existe un canal y procedimientos claros a seguir en caso

de incidente de seguridad
No
Se recogen los datos de los incidentes de forma

detallada
No
Informan los usuarios de las vulnerabilidades observadas

o sospechadas
Se informa a los usuarios de que no deben, bajo ninguna

circunstancia, probar las vulnerabilidades
Seguridad fsica y del entorno

Existe un permetro de seguridad fsica
Existen controles de entrada para protegerse frente al

acceso de personal no autorizado
95
Un rea segura ha de estar cerrada y aislada
No
En las reas seguras existen controles adicionales al

personal propio y ajeno
No
Las reas de carga y expedicin estn aisladas de las

reas del SI
No aplicable
La ubicacin de los equipos est de tal manera para

minimizar accesos innecesarios
No
Existen protecciones frente a fallos en la alimentacin

elctrica
No
Existe seguridad en el cableado frente a daos e

intercepciones
No
Se asegura la disponibilidad e integridad de todos los

equipos
No
Existe algn tipo de seguridad en los equipos ubicados

exteriormente
Existen polticas de limpieza en el puesto de trabajo
No aplicable
Gestin de comunicaciones y operaciones

Todos los procedimientos operativos identificados en la
poltica de seguridad han de estar documentados
No
Estn establecidas responsabilidades para controlar

cambios en los equipos
No
Estn establecidas responsabilidades para asegurar una

respuesta rpida, ordenada y efectiva frente a
incidentes de seguridad
No
Existe algn mtodo para reducir el mal uso accidental o

deliberado en los sistemas
No
Existe una separacin de los entornos de desarrollo y

produccin
No
Existen contratistas externos para la gestin de los SI
Existe un plan de capacidad para asegurar la

adecuada capacidad de proceso y de
almacenamiento
No
96
Existen criterios de aceptacin de nuevos SI, incluyendo

actualizaciones y nuevas versiones
Controles contra software maligno
No
Realizar copias de backup de la informacin esencial

para el negocio
No
Existen logs para las actividades realizadas por los

operadores y administradores
No
Existen logs de fallos detectados
No
Existe algn control en las redes
No
Hay establecidos controles para realizar la gestin de los

medios informticos
No
Eliminacin de los medios informticos. Pueden disponer

de informacin sensible
No
Existe seguridad de la documentacin de los sistemas
No
Existen acuerdos para intercambio de informacin y

software
No
Existen medidas de seguridad de los medios en el transito

Existen medidas de seguridad en el comercio
electrnico
Se han establecido e implantado medidas para
proteger la confidencialidad e integridad de la
informacin publicada
S
No aplicable
No
Control de accesos
Existe una poltica de control de accesos
No
Existe un procedimiento formal de registro y de baja
No
Se controla y restringe la asignacin y uso de privilegios

en entornos multiusuario
No
Existe una gestin de los password de los usuarios
No
Existe una revisin de los derechos de acceso de los

usuarios
No
97
Existe el uso de password
No
Se protege el acceso a los equipos desatendidos
No
Existe una poltica de uso de los servicios de red
No
Se asegura la ruta desde el terminal al servicio
No
Existe una autenticacin de usuarios en conexiones

externas
No
Existe una autenticacin de los nodos
No
Existe un control en la conexin de las redes
No
Existe un control de routing de las redes
No
Existe una identificacin automtica de los terminales
No
Existen procedimientos de log-on al terminal
No
Est controlado el teletrabajo en la organizacin
No aplicable
Desarrollo y mantenimiento de los sistemas

Se asegura que la seguridad est implantada en los SI
Existe seguridad en las aplicaciones
Existen controladores criptogrficos
No
Existe seguridad en los ficheros de los sistemas
No
Existe seguridad en los procesos de desarrollo y soporte
No
Gestin de la continuidad del negocio

Existen procesos para la gestin de la continuidad
No
Existe un plan de continuidad del negocio y anlisis de

impacto
No
Existe un diseo, redaccin e implantacin de planes de

continuidad
No
Existe un marco de planificacin para la continuidad del

negocio
No
Existen prueba, mantenimiento y reevaluacin de los

planes de continuidad del negocio
No
98
Conformidad
Se tiene en cuenta el cumplimiento con la legislacin
No
Existe una revisin de la poltica de seguridad y de la

conformidad tcnica
No
Existen consideraciones sobre las auditorias de los

sistemas
No
Tabla A.1: Diagnstico de la empresa
99

48ca15671b800 PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

48ca15671b800 PDF

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)

PROYECTO FIN DE CARRERA

PLAN DE SEGURIDAD PARA UNA

AUTOR: JORGE COLINAS RAMREZ

Porque el ayer es slo un sueo

Aprovecha bien, pues, el da de hoy.

El presente proyecto es el resultado de la realizacin de un completo anlisis

Realizacin de un inventario de todos los elementos Hardware y

Anlisis de riesgos, determinando cules pueden afectar a la empresa y

Identificacin de las vulnerabilidades de la empresa en funcin de los

Recomendaciones para eliminar las vulnerabilidades existentes y

Para determinar los riesgos que pueden afectar a la empresa se tienen en

4.4 Recursos humanos ............................................................................................................ 20

5.2.5.3 Redes pblicas ajenas ......................................................................................... 44

6.2.7 Vulnerabilidades relacionadas con la informacin .................................................... 63

11. CONCLUSIONES ..................................................................................................................... 87

pueden verse comprometidos intencionada o accidentalmente en cualquier

1.3 Sede de la empresa

1.4 Balance econmico 2007

Figura 1.1: Planta de la oficina

La empresa cuenta nicamente con tres estaciones de trabajo, dos fijas

1.7 Estrategia a seguir

Obtencin de una fotografa del estado actual de la seguridad de la

Evaluacin de material Hardware y Software con que cuenta la empresa

Evaluacin de los riesgos que pueden afectar a la empresa. Midiendo en

Elaboracin de recomendaciones de cara a mantener la seguridad de

2.2 Hardware instalado

Figura 2.1: Equipo 1

HL-DT-ST DVD-ROM G0R8164B.

Equipo 2. Ordenador en torre.

Procesador: Intel(R) Pentium(R) 4 CPU 1.80GHz, 1793MHz.

Figura 2.2: Equipo 2

Unidades CD: HL-DT-ST CD-RW GCE-8400B.

Equipo 3. Ordenador porttil.

Procesador: Intel(R) Pentium(R) M processor 1.73GHz, 1728MHz.

Figura 2.3: Equipo 3

Tarjetas de red: Realtek RTL8139/810x Family Fast Ethernet NIC.

Figura 2.4: Impresora 1

Figura 2.5: Impresora 2

Color page-Vivid III v2 de Genius.

Figura 2.6: Escner

Gestenter 1802d de Aticio.

Figura 2.7: Fotocopiadora

Dispone de dos tarjetas de red:

Dispone de una nica tarjeta de red:

Dispone de tres tarjetas de red:

En la oficina se dispone de varios terminales fijos as como varios mviles.

Figura 2.8: Telfono 1

o Telfono fijo inalmbrico Telcom SPC-Solac.

Figura 2.9: Telfono 2

o Telfono mvil Nokia 6230. [Web 5]

Figura 2.10: Mvil 1

o Telfono mvil Nokia 6220 (2 unidades). [Web 5]

Figura 2.11: Mvil 2

o Telfono mvil-pda Htc p3300. [Web 9]

Figura 2.12: Mvil 3

Figura 2.13: Fax

Conexin a Internet [Web 11]

2.4 Seguridad fsica

Destructora de documentos ABC Shredmaster. Todos

Alarma SERURMAP de MAPFRE seguridad. La oficina cuenta con 7 detectores

Puerta de acceso blindada de seguridad.