Documentos de Académico
Documentos de Profesional
Documentos de Cultura
48ca15671b800 PDF
48ca15671b800 PDF
Jorge.
II
AGRADECIMIENTOS
En primer lugar, quiero dar las gracias por su afecto y amistad a todos los
compaeros con los que he compartido el viaje que han supuesto estos aos
en la Universidad.
De la misma manera, quiero reconocer a todos mis profesores la labor, en
ocasiones no demasiado fcil, de transmitir sus conocimientos que suponen y
supondrn la inspiracin necesaria para los futuros grandes retos que llegue a
plantear la vida.
Por ltimo, pero no menos importante, agradecer a mis padres el apoyo y
confianza depositada en m en todo momento.
Gracias a todos.
Merece una mencin especial Ana, cuyo apoyo, ayuda e inspiracin me
sirven para conseguir superar da a da los retos que me plantea la vida.
Muchas gracias mi vida.
Jorge.
III
RESUMEN
Anlisis de la empresa.
IV
ABSTRACT
This project is a result of a complex analysis production made by ArroyoFuensaldaa Company, located in Valladolid (Spain), to evaluate the security
level of their data bank and informatic processes.
First of all the company has been scrutinized to evaluate its situation on this
matter, listing the threats that may affect it, as well as their impact they may
produce in case that they occur.
This way determines which are company's vulnerabilities and the measures it
should be neccesary to adapt to achieve equip it of a suitable security level to
protect its information according to the kind of company, infomratic elements
used and actives in risk.
NDICE
INTRODUCCIN ............................................................................................................................. 1
1. ANLISIS DE LA EMPRESA ......................................................................................................... 3
1.1 Historia ................................................................................................................................ 3
1.2 Actividades .......................................................................................................................... 3
1.3 Sede de la empresa ............................................................................................................. 4
1.4 Balance econmico 2007 .................................................................................................... 4
1.5 Personal ............................................................................................................................... 4
1.6 Arquitectura ........................................................................................................................ 5
1.7 Estrategia a seguir ............................................................................................................... 6
2. INVENTARIO HARDWARE .......................................................................................................... 7
2.1 Introduccin ........................................................................................................................ 7
2.2 Hardware instalado ............................................................................................................. 7
2.3 Comunicaciones ................................................................................................................ 10
2.4 Seguridad fsica ................................................................................................................. 12
2.5 Conclusiones...................................................................................................................... 13
3. INVENTARIO SOFTWARE ......................................................................................................... 14
3.1 Introduccin ...................................................................................................................... 14
3.2 Software instalado ............................................................................................................ 14
3.3 Seguridad software ........................................................................................................... 17
3.4 Conclusiones...................................................................................................................... 19
4. PLAN DE RECUPERACIN EXISTENTE ...................................................................................... 20
4.1 Introduccin ...................................................................................................................... 20
4.2 Hardware de recuperacin................................................................................................ 20
4.3 Software de recuperacin ................................................................................................. 20
VI
NDICE DE FIGURAS
Figura 1.1: Planta de la oficina.5
Figura 2.1: Equipo 1.7
Figura 2.2: Equipo 2.8
Figura 2.3: Equipo 3.8
Figura 2.4: Impresora 1.9
Figura 2.5: Impresora 2.9
Figura 2.6: Escner9
Figura 2.7: Fotocopiadora9
Figura 2.8: Telfono 1.10
Figura 2.9: Telfono 2.11
Figura 2.10: Mvil 1..11
Figura 2.11: Mvil 2..11
Figura 2.12: Mvil 3..11
Figura 2.13: Fax11
Figura 2.14: Router12
Figura 2.15: Destructora12
Figura 9.1: Paquetes de trabajo...81
Figura 9.2: Inventario Hardware..82
Figura 9.3: Inventario Software82
Figura 9.4: Plan de recuperacin existente.83
Figura 9.5: Anlisis de riesgos83
Figura 9.6: Planificacin.84
Figura A.1: Pantalla principal WinAudit..90
Figura A.2: Pantalla de anlisis WinAudit..91
Figura A.3: Informacin recolectada WinAudit.92
XI
NDICE DE TABLAS
Tabla 3.1: Terremotos.24
Tabla 6.1: Valoracin de vulnerabilidades65
Tabla 7.1: Medidas preventivas77
Tabla 7.2: Medidas correctoras78
Tabla 7.3: Riesgos asumibles..79
Tabla 10.1: Presupuesto86
Tabla A.1: Diagnstico de la empresa..94
XII
INTRODUCCIN
La informacin es hoy en da uno de los activos ms importantes con los que
cuenta cualquier empresa; un activo que no siempre tiene la consideracin e
importancia necesaria dentro de algunas empresas.
Antiguamente toda la informacin era almacenada en papel, por lo que toda
su seguridad se limitaba a una seguridad fsica, actualmente existen multitud
de dispositivos en los que se puede almacenar la informacin, por lo tanto la
forma de evitar accesos a esa informacin ha cambiado.
El primer ataque informtico considerado como tal ocurri un viernes 13 de
1989 en el que una revista especializada distribuyo disquetes promocionales,
los cuales estaban infectados con un virus que afecto a multitud de empresas
y particulares.
Actualmente la naturaleza y la forma de difusin de los ataques ha cambiado;
antes los hackers buscaban producir daos en los sistemas por el simple hecho
de conseguir un poco de fama, actualmente slo buscan obtener informacin
y dinero levantando el menor revuelo posible y siempre aprovechando los
recursos disponibles en la Web.
Al da se producen ms de 6.000 ataques informticos; las empresas que se
llevan la peor parte de estos ataques suelen sufrirlos mediantes troyanos que
intentan robar informacin de los sistemas en los que se instalan. La mayora de
estos ataques (se calcula que en torno al 60%) provienen de la propia
organizacin por parte de algn empleado descontento y que quiere infligir
dao a la empresa. [Web 6]
Es necesario hacer ver a las empresas la importancia que tiene la seguridad de
su informacin dentro de sus procesos de negocio puesto que una prdida de
informacin puede comprometer negocios que en algunos casos podran
llegar a suponer prdidas millonarias para las empresas.
Las grandes empresas (varias sucursales y mucho personal) suelen ser muy
sensibles a aplicar tcnicas de seguridad informtica en su organizacin
puesto que en general son conscientes del peligro que supone tener su red
interna, sus equipos, etc. abiertos al exterior, o a un posible ataque interno. Sin
embargo en el caso de empresas pequeas (pequeas sucursales y poco
personal) la seguridad informtica no suele ser un tema de mxima prioridad
por lo que pueden llegar a tener problemas de prdidas de informacin o de
intrusismos en su red.
Por ello es necesario poner nfasis en esas medianas y pequeas empresas
para conseguir hacer ver a sus responsables que los datos de su negocio
1
1. ANLISIS DE LA EMPRESA
1.1 Historia
Arroyo-Fuensaldaa naci el 21 de febrero de 2001 como empresa promotora.
Ubicada originalmente en el nmero 20 de la calle Santiago de Valladolid
inicia su actividad realizando una pequea promocin de 3 viviendas
unifamiliares adosadas en la localidad de Fuensaldaa, ubicada a 6 kilmetros
de Valladolid.
Tras el xito de esa primera promocin Arroyo-Fuensaldaa realiz otra
promocin en esa misma localidad de 10 viviendas unifamiliares pareadas y
plane la construccin de 100 viviendas en altura tambin ubicadas en dicha
poblacin.
En la misma poca en la que se inici la promocin de las 10 viviendas
unifamiliares pareadas, Arroyo-Fuensaldaa inici otra actividad relacionada
con el sector, como es la gestin de suelo para la construccin de viviendas.
El 16 de junio de 2004 Arroyo-Fuensaldaa traslad su sede del nmero 20 al
nmero 13 de la calle Santiago; una sede mucho ms grande y ms
confortable.
La empresa ha llegado a la actualidad dedicndose principalmente a los
negocios de suelo para construccin y en los ltimos tiempos, sobre todo para
intentar salvar la crisis que est afectando al sector, ha comenzado a invertir
en el negocio de las obras de arte con la apertura de una galera, que sirve
para potenciar a nuevos artistas, en la calle Claudio Moyano nmero 5 de
Valladolid.
1.2 Actividades
Arroyo-Fuensaldaa naci como una empresa promotora de viviendas
principalmente en la localidad de Fuensaldaa, con la experiencia y los
buenos resultados de las promociones los administradores de la empresa
decidieron cambiar la principal actividad de la misma para dedicarse
principalmente al negocio del suelo para construccin.
En el ltimo ao, la empresa ha decidido introducirse tambin en el negocio
del arte con la apertura de una galera para exposicin de pintura y escultura.
1.5 Personal
La empresa cuenta con pocos empleados, nicamente dos personas trabajan
en ella a diario.
A pesar del escaso personal con el que cuenta es una de las empresas
importantes en el sector en la zona de Valladolid (Castilla y Len).
1.6 Arquitectura
Al tratarse de una empresa pequea (con pocos empleados) y contar
nicamente con una sede, su arquitectura de red no es muy complicada pues
tiene pocos puestos de trabajo.
2. INVENTARIO HARDWARE
2.1 Introduccin
A continuacin se va a detallar todo el Hardware del que dispone la empresa
para llevar a cabo sus procesos informticos.
En este apartado se va a realizar un inventario de todo el Hardware instalado,
poniendo especial atencin en si existe Hardware especfico dedicado a
Backup o elementos de seguridad similares.
Tambin se realizar un inventario de las comunicaciones existentes, tanto con
el exterior como dentro de la misma oficina as como los elementos de
seguridad fsica existentes dentro de la oficina tales como alarmas, cerraduras,
etc.
Impresoras
HP Deskjet 5657.
HP Laserjet 1160.
Escner
Fotocopiadora
2.3 Comunicaciones
A continuacin se van a detallar los distintos tipos de comunicaciones de los
que dispone la empresa, tanto dentro de los equipos informticos como
telfonos, etc.
-
Equipo 1
Equipo 2
Equipo 3
Telfonos
10
Fax
o Brother FAX-T74.
11
Router
o Zyxel proporcionado por Telefnica.
Figura 2.14: Router
informtico
12
2.5 Conclusiones
La empresa cuenta con un equipamiento informtico tal vez un poco obsoleto
para el tipo de equipos que existen hoy en da. Los equipos estn escasos,
sobre todo, en memoria RAM.
Las medidas de seguridad fsicas son correctas puesto que son adecuadas
para evitar el acceso a personal ajeno a la empresa al equipamiento y
documentacin de la misma.
Tal vez un punto dbil es el Router de conexin a Internet pues ese modelo es
un poco anticuado y puede ser vulnerable a ataques externos.
13
3. INVENTARIO SOFTWARE
3.1 Introduccin
A continuacin se van a detallar todos los elementos Software de los que est
provista la empresa, poniendo especial atencin en aquellos que estn
destinados especficamente a la seguridad de los datos almacenados dentro
de la empresa.
Tambin se intentar especificar el nivel de proteccin Software con que
cuenta la empresa para poder analizar posteriormente los riesgos a los cuales
puede estar expuesta.
Equipo 1
Equipo 2
la
Equipo 3
o WinDVD 4
o iTunes
o J2SE Runtime Environment 5.0
o Macromedia Studio MX
o Microsoft Office 2003 Professional
o Microsoft Office 2007 Enterprise
o Mozilla Firefox
o Nero 7
o Panel de control ATI
o PDF Creator
o Quick time
o Skipe
Equipo 1
Este equipo cuenta con la versin 4.7 del antivirus avast [Web 3]. Este antivirus
dispone adicionalmente de antispyware y antirootkit y proporciona una
seguridad adecuada para el equipo.
Actualmente el antivirus de este equipo no se encuentra correctamente
actualizado por lo que puede ser una amenaza para la seguridad del equipo.
El equipo est protegido por el Firewall de Windows.
El equipo est conectado a la red de la empresa mediante una conexin
inalmbrica y configurada de forma que se le otorga la direccin IP
automticamente.
17
Equipo 2
Este equipo cuenta con la proteccin del sistema McAfee Virus Scan
Professional [Web 4] el cual cuenta con, adems del antivirus, antispyware y
antiHacker. Proporciona una seguridad adecuada al equipo aunque al igual
que en el caso del equipo 1 el antivirus no se encuentra correctamente
actualizado.
Este equipo tambin cuenta con la proteccin del antispyware AD-Aware SE
Professional el cual s se encuentra correctamente actualizado.
El equipo est protegido por el Firewall de Windows.
El equipo est conectado a la red mediante un cable RJ45 directamente
conectado con el Router de salida a Internet y configurado de forma que el
Router le asigna automticamente la direccin IP.
Equipo 3
Router
18
3.4 Conclusiones
Los equipos de la empresa no estn excesivamente cargados de Software
pero se aprecia un grave problema en la seguridad Software.
Se dispone de antivirus pero stos no estn correctamente actualizados lo que
puede ser un grave problema de seguridad.
El Firewall usado en todos los equipos es el que trae por defecto el Sistema
Operativo Windows y aunque no sea un mal Software puede no ser el ms
indicado para un entorno empresarial.
Dos de los tres equipos tienen instalada la versin Home edition del Sistema
Operativo Windows XP; puede ser mucho ms til disponer de la versin
Professional debido a sus caractersticas para conexiones en red.
El Router de acceso a la red est correctamente configurado en el sentido de
que dispone de una clave WEP para las conexiones inalmbricas pero sera
deseable algn mtodo de encriptacin de la informacin o que el Router no
asignara las direcciones IP automticamente.
Tambin se puede observar que todo el Software, y por lo tanto la informacin,
para la realizacin de las declaraciones a la Agencia Tributaria se encuentra
en un nico equipo lo cual no es muy recomendable debido a que si ese
equipo falla se perder toda la informacin relacionada con las ltimas
declaraciones de Hacienda, las cuales deben ser guardadas durante un
periodo estipulado.
19
5. ANLISIS DE RIESGOS
5.1 Introduccin
En este apartado se va a realizar un anlisis de riesgos completo de todo el
sistema informtico de la empresa para ver las posibles amenazas que pueden
afectar a la empresa, las vulnerabilidades de sta con respecto a las
amenazas y el impacto que estas amenazas pudieran tener en la empresa en
el caso de llegar a materializarse.
En este apartado se van a tratar los siguientes temas:
Activo: Algo de valor al que afecta una amenaza.
Actor: Quin o qu puede violar los requisitos de seguridad.
Amenaza: Actor cuya intrusin en el sistema puede provocar una
violacin de los requisitos de seguridad de un activo (prdida de
confidencialidad, prdida de disponibilidad, destruccin, prdida de
integridad,). El motivo por que se produce una amenaza puede ser
accidental (por ejemplo un desastre natural) o intencionado (por
ejemplo una accin humana).
Impacto: Efecto que producir una amenaza en el sistema si sta llega
a hacerse realidad.
Vulnerabilidad: Debilidad del sistema, la cual propicia que una
amenaza se pueda hacer realidad.
Riesgo: Posibilidad de que una amenaza se materialice debido a una
vulnerabilidad del sistema sin corregir.
21
Alta: Las prdidas para la empresa son muy importantes pero pueden
tener un remedio a medio-largo plazo.
Media: Las prdidas son importantes pero tienen una solucin en corto
plazo.
22
23
5.2.1.2 Terremotos
Un terremoto es una sacudida del terreno ocasionada por el choque de las
placas tectnicas localizadas en la litosfera terrestre. [Web 1]
Los terremotos se miden segn la escala de magnitud local o de Richter la cual
mide la intensidad de un terremoto segn una escala que va desde -1,5 hasta
12.
Magnitud de Richter
Referencia
-1,5
1,0
Pequea explosin en
un sitio en construccin
1,5
Bomba convencional de
la Segunda Guerra
Mundial
2,0
Explosin de un taque
de gas
24
2,5
Bombardeo a la ciudad
de Londres
3,0
3,5
4,0
4,5
Tornado promedio
5,0
Terremoto de Albolote,
Granada (Espaa). 1956
5,5
6,0
Terremoto de Double
Spring Flat, Nevada
(EEUU). 1994
6,5
Terremoto de
Nortbridge, California
(EEUU). 1994
7,0
Terremoto de Hyogo-Ken
Nambu, Japon. 1995
7,5
Terremoto de Landers,
California (EEUU). 1992
8,0
Terremoto de Mxico.
1985
8,5
Terremoto de
Anchorage, Alaska
(EEUU). 1964
9,2
9,6
Terremoto de Valdivia,
Chile. 1960
10,0
Estimado para el
25
choque de un meteorito
de 2 km de dimetro a
25 km/s
12,0
26
5.2.1.3 Inundaciones
Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o
edificios. [Web 1]
Una inundacin puede ser producida por un exceso de lluvias,
desbordamiento de ros, rotura de presas, rotura de caeras, exceso de
humedad
Una inundacin en la zona donde se encuentren los equipos informticos
puede producir daos materiales en los equipos.
Impacto dentro de la empresa
La zona donde se localiza la empresa no es propicia a que se produzcan
lluvias torrenciales y tampoco existe ninguna presa cerca.
S existe cerca del edificio donde se ubica la empresa un ro y aunque se han
producido desbordamientos existen pocas posibilidades de que llegue a
desbordarse y que en tal caso que el agua llegue a las dependencias de la
empresa.
S podran producirse inundaciones en la empresa debido a rotura de tuberas
o humedades excesivas que pueden daar los equipos informticos y producir
prdida de datos e informacin crtica para la empresa.
Impacto de la amenaza segn su nivel:
Tipo A: Grave inundacin, que anegara todo el edificio y que afectara a los
equipos de forma que se podran perder datos crticos y se suspendera la
actividad de la empresa por un tiempo indefinido.
La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se
llegue a materializar es media/baja.
Tipo M: Inundacin de una zona donde se encuentre equipamiento
informtico con datos crticos para el funcionamiento de la empresa y que
producira una prdida parcial de informacin o de horas de trabajo.
La gravedad de la amenaza puede considerarse como media/alta, pero la
probabilidad de que se produzca es media/baja.
Tipo B: Pequeas inundaciones debidas a roturas de tuberas o filtraciones de
agua debido a humedades en las paredes y que pueden daar algn equipo.
La gravedad de esta amenaza puede considerarse como media/alta y la
probabilidad de que ocurra es alta pues es relativamente fcil que ocurra
algn un problema en una tubera.
27
28
5.2.2 Estructurales
Amenazas debidas a fallos en los elementos del edificio tales como cableado
elctrico, conductos del aire acondicionado, elementos de comunicacin
[Web 1]
Pueden ser controlados y evitados.
5.2.2.1 Incendios
Fuego no controlado que puede ser extremadamente peligroso para los seres
vivos y las estructuras, produciendo adems gases txicos.
Las causas de un incendio pueden ser diversas:
-
Cortocircuitos.
Etc.
Tipo M: Incendio en una parte localizada del edificio que aunque no afecte
directamente a la empresa y a su equipamiento puede dificultar las labores
normales de trabajo dentro de la empresa durante un periodo de tiempo
medio (entre 3 y 6 meses).
La gravedad de la amenaza puede considerarse como media/alta, y la
probabilidad de que se produzca es media/alta aunque en este caso los
equipos de extincin tendrn mucho ms fcil la labor de extinguir
rpidamente el fuego.
Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos
concretos. En el caso de disponer de copias de seguridad de esos equipos la
puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos
puede ser inmediata.
La gravedad de esta amenaza puede considerarse como media/alta porque
en el caso de que no se disponga de una copia de seguridad de los equipos
afectados se puede perder informacin valiosa. La probabilidad de que
ocurra es alta, pues es relativamente fcil que se produzca un cortocircuito
que provoque un fuego aunque como es centralizado sera de fcil y rpida
extincin.
Medidas preventivas contra incendios dentro de la empresa
-
30
31
5.2.2.3 Agua
Corte temporal del suministro de agua por parte de la compaa
suministradora. El corte puede ser de corta duracin o incluso de varios das.
Impacto dentro de la empresa
En el caso de esta empresa ninguno de los equipos tiene instalada ningn tipo
de refrigeracin mediante conductos de agua por lo que un corte en el
suministro de agua de la empresa no afectar en ninguna medida al
equipamiento informtico de la misma.
5.2.2.4 Refrigeracin
Fallos en el normal funcionamiento de la maquinaria de climatizacin que
existe dentro de la empresa.
Los fallos pueden ser debido a cortes en el suministro elctrico, fugas en los
aparatos de climatizacin, etc.
El equipamiento informtico de la empresa no est funcionando a ritmo
completo las 24 horas del da por lo que no necesita unas condiciones
especiales en lo que se refiere a la temperatura ambiente.
Impacto dentro de la empresa
Los equipos informticos slo deben estar en funcionamiento durante el
horario de trabajo, por lo que, incluso con temperaturas excesivamente
elevadas debidas a un fallo en el sistema de refrigeracin, el correcto
funcionamiento de los equipos no se vera afectado, no es crtico que un
determinado puesto de trabajo deba ser desconectado durante un tiempo
para conseguir disminuir su temperatura y evitar fallos de Hardware.
Medidas preventivas contra cortes en la refrigeracin dentro de la empresa
-
32
5.2.2.5 Comunicaciones
Corte temporal en los sistemas de comunicacin de la empresa debido a un
problema externo (puede deberse a un fallo de la compaa telefnica
suministradora). El corte puede ser de corta duracin (un da) o ms extenso
(varios das).
Las causas para que se produzca un fallo en las comunicaciones por
problemas de la compaa telefnica puede deberse a factores naturales o a
factores humanos.
Impacto dentro de la empresa
Un fallo en el sistema de comunicaciones puede producir un grave trastorno a
la empresa, pues depende en gran medida de stas para desarrollar su
negocio.
Debido a la naturaleza de la empresa puede no ser tan crtico un fallo en las
comunicaciones de los equipos informticos como en las comunicaciones de
voz.
Impacto de la amenaza segn su nivel:
Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo.
Hasta el momento, en lo que lleva constituida la empresa (constituida en
febrero 2001), no se han producido este tipo de cortes, por lo que se supone
que no llegarn a producirse.
Tipo M: Corte en las comunicaciones durante varios das lo que puede retrasar
y complicar ligeramente las actuaciones de la empresa.
La gravedad de la amenaza puede considerarse como media, y la
probabilidad de que se produzca es baja.
Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o
micro cortes durante un periodo corto de tiempo.
La gravedad de esta amenaza puede considerarse como baja y la
probabilidad de que ocurra es tambin baja.
Medidas preventivas contra cortes en las comunicaciones dentro de la
empresa
-
33
5.2.3 Hardware
Amenazas debidas a problemas en el equipamiento fsico de la empresa.
Pueden ser controladas.
35
36
5.2.4 Software
Fallos debidos a amenazas que pueden afectar al Software que emplea la
empresa para desarrollar su actividad de negocio. Pueden ser evitados.
38
41
42
43
45
46
5.2.7 Informacin
Qu problemas pueden afectar a la informacin almacenada dentro de la
empresa, la cual es valiosa para llevar a cabo los procesos de negocio.
5.2.7.1 Ficheros
Fallos o prdidas de los ficheros donde se almacena la informacin valiosa de
la empresa.
Los problemas con los ficheros pueden ser debidos a una mala gestin de los
mismos, a fallos en los equipos donde estn almacenados los ficheros, etc.
Impacto dentro de la empresa
Debido a la no existencia de Bases de Datos dentro de la empresa, toda la
informacin se encuentra almacenada en ficheros, por lo tanto si se producen
fallos en ficheros con informacin, los cuales no se encuentran replicados, los
problemas para la empresa pueden ser muy graves.
Impacto de la amenaza segn su nivel:
Tipo A: Prdida de ficheros con informacin muy crtica sobre los negocios que
mantiene la empresa.
La gravedad de la amenaza puede considerarse como muy alta debido a
que la informacin no est replicada en ningn otro equipo, ni generalmente,
en ningn otro soporte, la prdida del fichero es irreparable. La probabilidad
de que se produzca es media debido a que, generalmente, dentro de la
empresa nicamente se cuenta con una copia de cada fichero almacenado.
Tipo M: Prdida temporal (no superior a cuarenta y ocho horas) del acceso a
ficheros con informacin crtica para la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que
puede afectar al retraso de alguna de las operaciones de la empresa si no
puede acceder momentneamente a informacin importante. La
probabilidad de que se produzca es media.
Tipo B: Prdida temporal (no superior a veinticuatro horas) del acceso a
ficheros sin demasiada importancia para los negocios de la empresa.
La gravedad de esta amenaza puede considerarse como baja puesto que la
importancia de la informacin almacenada en esos ficheros no es extremada
y no repercutira en el correcto funcionamiento de la empresa. La
probabilidad de que ocurra es media.
47
48
5.2.8 Personal
La mayora de los ataques informticos a una empresa provienen desde
dentro de la misma perpetrados por sus propios empleados. Es importante
contar con estrategias de control de los empleados, as como de las acciones
que realizan en el sistema.
49
50
5.2.9.1 Robo
Cualquier empresa puede ser objetivo de un robo debido a que en sus
dependencias suelen tener material valioso e incluso dinero.
Impacto dentro de la empresa
Al igual que cualquier otra empresa o domicilio particular est expuesta a
intentos de robos que pueden provocar la prdida de equipamiento
informtico, documentacin importante, etc.
Impacto de la amenaza segn su nivel:
Tipo A: Robo de activos de la empresa en el cual son sustrados equipamientos
y documentos en los que se almacenaba informacin importante para el
negocio de la empresa.
La gravedad de la amenaza puede considerarse como muy alta debido a
que la informacin sustrada es de mxima utilidad para la empresa. La
probabilidad de que se produzca es baja debido a que la empresa cuenta
con las medidas de proteccin necesarias contra robos.
Tipo M: Robo de activos de la empresa en el cual son sustrados equipamiento
y documentacin con informacin que, aun siendo importante, no es crucial
para llevar a cabo correctamente el negocio de la empresa.
La gravedad de la amenaza puede considerarse como alta debido a que, a
pesar de que la informacin sustrada no es crtica, s es muy importante y
puede llegar a causar algn prejuicio la falta de esa informacin o equipo. La
probabilidad de que se produzca es baja debido a que la empresa cuenta
con las medidas de proteccin necesarias contra robos.
Tipo B: Robo de activos de la empresa en el cual son sustrados equipamiento y
documentacin con informacin irrelevante para los negocios de la empresa.
La gravedad de esta amenaza puede considerarse como baja puesto que la
importancia de la informacin perdida no es importante para llevar a cabo los
negocios de la empresa. La probabilidad de que se produzca es baja debido
a que la empresa cuenta con las medidas de proteccin necesarias contra
robos.
51
53
5.2.10 Legislacin
La informacin que manejan las empresas est sujeta al cumplimiento de las
actuales leyes nacionales y europeas sobre la proteccin de datos de
carcter personal. [Web 8]
En Espaa la Agencia de Proteccin de Datos se encarga de velar para que
se cumplan las diferentes leyes que conciernen a los datos que manejan las
empresas.
Algunas de las leyes que afectan a los datos manejados por las organizaciones
son:
-
54
5.2.11.1 Terrorismo
Los actos de terrorismo son actos de violencia para infundir terror. [Web 1]
En el mundo actual el terrorismo se est convirtiendo en una de las grandes
amenazas para todo el conjunto de la sociedad.
Impacto dentro de la empresa
Valladolid, ciudad donde se ubica la empresa, no ha sido histricamente
objetivo de grandes atentados terroristas como puede haber sido Madrid pero
sin embargo s se ha perpetrado alguno y en especial dirigido a negocios,
sobre todo de hostelera, de la ciudad.
Impacto de la amenaza segn su nivel:
Tipo A: Destruccin completa del edificio donde se localiza la sede de la
empresa debido a un atentado terrorista con la consiguiente prdida de todos
los activos de la empresa que estuvieran ubicados all.
La gravedad de la amenaza puede considerarse como muy alta debido a
que se perdern todos los activos ms importantes de la empresa. La hiptesis
de que se produzca es baja debido a que existen pocas probabilidades de
que se lleve a cabo un atentado de esa magnitud en Valladolid.
Tipo M: Atentado terrorista que afecte a parte del edificio e impida el acceso
a la empresa durante un tiempo no superior a 1 mes.
La gravedad de la amenaza puede considerarse como alta debido a que a
paralizara parte de la actividad de la empresa durante el tiempo que no se
pudiera acceder a su sede. La hiptesis de que se produzca es baja debido a
que existen pocas probabilidades de que se lleve a cabo un atentado de esa
magnitud en Valladolid.
Tipo B: Atentado terrorista que afecte a parte del edificio e impida el acceso a
la empresa durante un tiempo no superior a 1 semana.
La gravedad de esta amenaza puede considerarse como media/baja puesto
que podra paralizar parte de la actividad de la empresa durante el tiempo
que no se pueda acceder a su sede. La probabilidad de que se produzca es
media/baja.
55
56
58
6. ANLISIS DE VULNERABILIDADES
6.1 Introduccin
En el apartado anterior se han enumerado una por una todas las amenazas
que podran afectar a la empresa y se ha descrito el posible impacto que esa
amenaza tendra dentro de la empresa en el caso de producirse.
En este apartado, se van a identificar las vulnerabilidades que tiene la
empresa y que pueden ser aprovechadas por alguna amenaza para producir
algn tipo de dao en la misma.
59
- Fallo de porttiles.
Se pueden identificar las siguientes vulnerabilidades:
- Falta de polticas de Backup.
- Falta de dispositivos SAI que garanticen el suministro elctrico.
61
62
Ficheros.
Planes de contingencia.
63
Robo.
Recoger los datos sin informar a los interesados sobre: la existencia del
fichero, el uso que se va a dar a los datos, el responsable del fichero, los
derechos de los interesados.
Baja: Existe una vulnerabilidad pero no hay una amenaza que la pueda
explotar o existen muy pocas posibilidades que la amenaza llegue a
materializarse en esa vulnerabilidad.
Cdigo
Vulnerabilidad
Valoracin
Falta de polticas
de Backup
Informacin de la
empresa
Alta
Falta de
detectores de
humos
Activos materiales
(Equipos,
documentacin
fsica,)
Media
Falta de
dispositivos SAI
Equipamiento
informtico
Media
Dependencia
exclusiva de un
nico proveedor
de
comunicaciones
Comunicaciones
de la empresa
Baja
Mala
actualizacin de
Software de
seguridad
Informacin de la
empresa
Alta
Mala
actualizacin de
Software de
gestin
Informacin de la
empresa
Media
65
Mal
mantenimiento
de Software a
medida
Informacin de la
empresa
Baja
No disponer de
red interna
Informacin de la
empresa y
comunicaciones
Baja
No existe una
poltica de copias
de seguridad
Informacin de la
empresa
Alta
10
No existe un
almacenamiento
centralizado de la
informacin
Informacin de la
empresa
Media
11
No existen
polticas ni medios
para el cifrado de
la informacin
Informacin de la
empresa
Media
12
No existen planes
de contingencia
Informacin de la
empresa
Alta
13
No existe poltica
de contraseas
Informacin de la
empresa
Baja
14
No existe polticas
de restriccin de
acceso a datos
Informacin de la
empresa
Baja
15
Software de
seguridad no
adaptado
correctamente a
la empresa
Informacin de la
empresa
Media
16
No declaracin
de los ficheros de
informacin
personal ante la
AGPD
Informacin de la
empresa
Baja
66
17
Falta de
conciencia de los
encargados de la
empresa
Informacin de la
empresa,
equipamiento
informtico y
comunicaciones
Alta
67
7. PLAN DE SEGURIDAD
7.1 Introduccin
Hasta este punto se ha realizado un completo anlisis de la situacin de la
empresa en lo que se refiere a la seguridad de la informacin.
A continuacin se van a detallar las posibles soluciones que debe implantar la
empresa para conseguir establecer un nivel de seguridad de su informacin
adecuado para evitar prdidas y daos de activos.
68
Aunque antes se ha comentado que para tratar los desastres naturales slo se
pueden establecer medidas preventivas, la realizacin de copias de Backup
se puede incluir tambin dentro de medidas correctoras.
69
Montaje de una red interna en la empresa para garantizar que todas las
comunicaciones internas y de carcter confidencial no salen de la
estructura de la propia empresa.
71
72
73
75
que
asegure
actualizaciones
76
Medidas preventivas
servicio.
asegure
actualizaciones
Medidas correctoras
Riesgos asumibles
79
8. RECOMENDACIONES FINALES
8.1 Introduccin
La seguridad es un proceso continuo, no se pueden establecer unas medidas
de seguridad extremas para mantener la integridad de los datos y procesos de
la empresa y luego, olvidar que es necesario realizar un seguimiento continuo
de las medidas implantadas, actualizacin de Software, revisin peridica del
Hardware, etc.
Por ello una vez realizado el anlisis de la empresa y dadas las
recomendaciones necesarias para conseguir dotar a la empresa de las
medidas de seguridad necesarias que cubran las precariedades con las que
cuenta la empresa en materia de seguridad informtica, se van a detallar
unas recomendaciones finales, sobre todo de cara al futuro, para que la
empresa consiga mantener el nivel de seguridad alcanzado gracias a las
recomendaciones dadas.
8.2 Recomendaciones
-
80
9. PLANIFICACIN
Para llevar a cabo este proyecto se ha realizado una planificacin dividiendo
el proyecto en diferentes paquetes de trabajo.
Para identificar los diferentes paquetes de trabajo se seguir la siguiente
nomenclatura: WP x; donde x ser el nmero del paquete de trabajo y en
el caso de los subpaquetes se definirn: WP x.y donde x ser el nmero del
paquete e y sea el nmero de subpaquete.
PROYECTO
WP 1. Gestin
del proyecto
WP 1.1 Reuniones
de seguimiento
WP 2. Planificacin
del proyecto
WP 3.Ejecucin del
proyecto
WP 4. Cierre del
proyecto
WP 3.1 Anlisis de
la empresa
WP 3.2 Inventario
Hardware
WP 3.3 Inventario
Software
WP 3.4 Plan de
recuperacin
existente
WP 3.5 Anlisis de
riesgos
WP 3.6 Anlisis de
vulnerabilidades
WP 3.7 Plan de
seguridad
WP 3.8
Recomendaciones
finales
81
WP 3.2 Inventario
Hardware
WP 3.2.1 Hardware
instalado
WP 3.2.2 Comunicaciones
WP 3.3 Inventario
Software
WP 3.3.1 Software
instalado
WP 3.3.2 Seguridad
Software
82
WP 3.4.1 Hardware de
recuperacin
WP 3.4.2 Software de
recuperacin
WP 3.4.3 Recursos
humanos
WP 3.4.4 Estrategias de
respaldo
WP 3.5 Anlisis de
riesgos
WP 3.5.1 Identificacin de
riesgos
WP 3.5.2 Valoracin de
riesgos
84
85
10. PRESUPUESTO
A continuacin se va a detallar el presupuesto necesario para la realizacin de
este proyecto.
Para llevar a cabo este proyecto nicamente ser necesaria la contratacin
de un auditor a tiempo completo durante la duracin del proyecto.
Para realizar la valoracin econmica se considerara:
-
Tarifa
Horas mes
Total
Analista Junior
35 /hora
240 horas
8.400
Auditor
50 /hora
60 horas
3.000
Total
11.400
86
11. CONCLUSIONES
Una vez concluido el trabajo de anlisis de la empresa y dadas las
recomendaciones de seguridad oportunas se finaliza el proyecto detallando
las conclusiones obtenidas.
1. Los responsables de la empresa no tienen una buena conciencia de
lo importante que es la seguridad informtica.
A lo largo de la realizacin del proyecto se ha comprobado en numerosas
ocasiones que los responsables de la empresa no son conscientes de lo
importante que es la seguridad informtica para su proceso de negocio y lo
vulnerable que es la empresa a posibles prdidas de informacin.
87
88
BIBLIOGRAFIA
[HOWA06]
[MAIW04]
[ALVA04]
[GOME06]
[Web 1]
www.rae.es
[Web 2]
www.abcdatos.com
[Web 3]
www.avasthome.com
[Web 4]
www.McAfee.es
[Web 5]
www.nokia.es
[Web 6]
www.bsecure.com
[Web 7]
www.iso27000.es
[Web 8]
www.agpd.es
[Web 9]
www.htc.es
[Web 10]
www.telefonica.es
89
ANEXOS
ANEXO 1. WinAudit
[Web 2]
WinAudit es un completo programa bajo licencia Freeware con el que se
puede realizar una completa auditoria de cualquier estacin informtica.
WinAudit analiza completamente el equipo y realiza un informe completo
incluyendo todo el Software instalado, configuracin de seguridad,
configuracin de red, Hardware instalado, mapeo de puertos, configuracin
de Firewall, incluso diagnsticos de fallo de Hardware.
Los informes elaborados por WinAudit pueden imprimirse en diferentes formatos
como html, pdf, txt, xml, etc.
Requisitos mnimos
WinAudit funciona bajo cualquier Sistema Operativo Windows, desde el 95 al
Vista.
No requiere de instalacin pues funciona simplemente con ejecutar el archivo
.exe del programa.
90
Pantalla principal
En la pantalla inicial del programa se puede seleccionar el idioma para realizar
el inventario y a continuacin iniciar la recoleccin de datos de la estacin.
Pantalla de anlisis
Una vez iniciado el anlisis, y mientras ste se realiza, se puede detener en
cualquier momento, as como elegir el formato en el que se mostrar la
informacin.
91
Informacin recolectada
Una vez finalizado el anlisis WinAudit muestra toda la informacin que ha
recolectado de la estacin.
En la parte derecha se muestra un men desplegable gracias al cual es
posible navegar a travs de las distintas informaciones recopiladas del equipo.
Al realizar el guardado del documento, ste se almacenar en el formato
escogido.
92
Polticas de seguridad.
Organizacin de la seguridad.
Seguridad fsica.
Seguridad lgica.
Control de accesos.
Polticas de seguridad
Se aplica en la
empresa
No
No
No
No
No
No
Organizacin de la seguridad
Existen roles y responsabilidades definidos para las
personas implicadas en la seguridad
No
No
No
S
94
No
No
No
No
No
No
No
No
No
No
95
No
No
No aplicable
No
No
No
No
No aplicable
No
No
No
No
No
No
96
No
No
No
No
No
No
No
No
No
S
No aplicable
No
Control de accesos
Existe una poltica de control de accesos
No
No
No
No
No
97
No
No
No
No
No
No
No
No
No
No
No aplicable
No
No
No
No
No
No
No
No
98
Conformidad
Se tiene en cuenta el cumplimiento con la legislacin
No
No
No
99