Nombre Fecha Actividad Tema

JORGE LUIS CUENCA CABRERA 06-03-2014 4 PROYECTO FINAL

Luego de haber estudiado los tipos de vulnerabilidades ms comunes, las herramientas usadas para proteger los datos, y haber generado sus procedimientos, est listo para generar la carta magna de la seguridad de la red: El manual de procedimientos.

Proyecto Final

1. Desarrolle el manual de procedimientos de la empresa. Este manual debe tener el estudio previo que se hizo para establecer la base del sistema de seguridad, el programa de seguridad, el plan de accin, las tablas de grupos de acceso, la valoracin de los elementos de la red, los formatos de informes presentados a la gerencia para establecer el sistema de seguridad, los procedimientos escogidos para la red, as como las herramientas, y el desarrollo de cada procedimiento en forma algortmica (agregue todo lo que considere necesario). Recuerde que el manual de procedimientos es un proceso dinmico, por lo que debe modular todos los contenidos en unidades distintas, para poder modificarlas en caso de que sea necesario.

Nota: Este trabajo final, ms que una nota para aprobar el curso, muestra la capacidad que tiene, como persona, de gestionar la seguridad de una red. Guarde este documento, pues es su carta de presentacin para cualquier empleo en el que se le exija experiencia.

Redes y seguridad Proyecto Final

PLAN DE SEGURIDAD
Introduccin El presente plan es una propuesta de lo que se podra aplicar en una empresa luego de evaluar el nivel de seguridad de sus datos y sus procesos informticos. Como primer paso se plantea realizar un diagnstico de la situacin actual, enumerando las amenazas que la afectaran, as como el impacto que produciran stas en la empresa en el caso de que llegaran a producirse. De esta manera se determinan cules son las vulnerabilidades de la empresa y qu medidas sera necesario adoptar para conseguir dotar a la misma de un nivel de seguridad adecuado para proteger su informacin en funcin del tipo de empresa, elementos informticos usados y activos en peligro. Para determinar los riesgos que pueden afectar a la empresa se tienen en cuenta factores ambientales, fallos de las instalaciones, fallos humanos, robos, problemas con el Software o Hardware, empleados descontentos, etc.

Redes y seguridad Proyecto Final

CONTENIDO ANLISIS DE LA EMPRESA - Actividades - Sede de la empresa - Sucursales - Personal - Arquitectura INVENTARIO HARDWARE - Hardware instalado - Comunicaciones - Seguridad fsica INVENTARIO SOFTWARE - Software instalado - Software de Seguridad IDENTIFICACIN DE LAS AMENAZAS - Desastres naturales o Tormentas y rayos o Terremotos o Inundaciones - Estructurales o Incendios o Cortes elctricos o Agua o Refrigeracin o Comunicaciones - Hardware o Fallo de servidores o Fallo de estaciones de trabajo - Software o Errores en los Sistemas Operativos o Errores en las Bases de Datos o Errores en las aplicaciones o Errores en los elementos de seguridad - Red LAN y WAN o Red interna o Sistemas de seguridad de las comunicaciones
3 Redes y seguridad Proyecto Final

o Redes pblicas ajenas Copias de seguridad o Fallos en soportes de copias de seguridad Personal o Errores y ataques de personal interno o Errores y ataques de personal externo

Redes y seguridad Proyecto Final

ANLISIS DE LA EMPRESA
Actividades Se describir a que se dedica la empresa, su posicin en el mercado y la importancia de su informacin. Sede de la empresa Se indica la ubicacin de la sede y las actividades que se realiza en ella. Sucursales Se indica la ubicacin de las sucursales y que actividades se desarrolla en cada una. Personal Se hace una breve descripcin de la cantidad de personal que labora y de que manera estn distribuidos en la sede y las sucursales. Arquitectura Se hace una descripcin de la Arquitectura fsica de la sede y sus sucursales mostrando un plano simple de distribucin de cada una. Para tener una idea como estn distribuidos los ambientes y en donde se encuentran los equipos y accesorios de mayor inters para el plan.

Redes y seguridad Proyecto Final

INVENTARIO HARDWARE
Se debe detallar todo el Hardware del que dispone la empresa para llevar a cabo sus procesos informticos. Tiene que haber un inventario de todo el Hardware instalado, poniendo especial atencin en si existe Hardware especfico dedicado a Backup o elementos de seguridad similares. Tambin se debe tener un inventario de las comunicaciones existentes, tanto con el exterior como dentro de la misma oficina as como los elementos de seguridad fsica existentes dentro de la oficina tales como alarmas, cerraduras, etc. Hardware Se tiene en cuenta: Caractersticas fsicas, ubicacin, persona responsable. Se puede clasificar en: Servidores Ordenadores Impresoras Escner

Para el caso de los Servidores y Ordenadores, se puede usar el programa WinAudit para obtener las caractersticas. Comunicaciones Se debe detallar los distintos tipos de comunicaciones de los que dispone la empresa, tanto dentro de los equipos informticos como telfonos. Tarjetas de red instaladas Telfonos en cada oficina Mviles Fax Router Hub Otros

Seguridad Fsica En este apartado se van a detallar los elementos de seguridad fsica con los que cuenta la oficina para hacer frente a posibles accesos no deseados a sus equipos o a informacin confidencial de su negocio. Cmaras de Videovigilancia Alarmas Cerraduras Ventiladores para los equipos
6 Redes y seguridad Proyecto Final

INVENTARIO SOFTWARE
Se debe detallar todos los elementos Software de los que est provista la empresa, poniendo especial atencin en aquellos que estn destinados especficamente a la seguridad de los datos almacenados dentro de la empresa. Tambin se debe intentar especificar el nivel de proteccin Software con que cuenta la empresa para poder analizar posteriormente los riesgos a los cuales puede estar expuesta. Software Aplicativo Inventario de todo el software de aplicacin con el que trabajan en las diferentes reas. Licencias. Software de Seguridad Software utilizado por la empresa para dar seguridad a su informacin. Antivirus, Firewall, etc. Licencias.

Redes y seguridad Proyecto Final

IDENTIFICACIN DE LAS AMENAZAS

Las amenazas se van a clasificar en funcin de la importancia que pueden tener a la hora de afectar a la empresa en el caso de que ocurran. Se van a clasificar las amenazas en tres niveles: Importancia Alta: Tendran una repercusin muy alta dentro de la empresa en el caso de producirse; son las amenazas que se debern evitarse a toda costa. Sern identificadas con una A. Importancia Media: Tendran una repercusin importante aunque no muy crtica dentro de la empresa en el caso de producirse; aunque no resultan tan crticas como las clasificadas en Alta es conveniente tratar de evitar que ocurran. Sern identificadas con una M. Importancia Baja: No tienen una repercusin muy importante dentro del sistema y de la empresa. Es recomendable que no se produzcan pero tampoco sera necesario establecer medidas concretas para evitar este tipo de amenazas. Sern identificadas con una B.

Cada amenaza va a ser clasificada en 5 niveles de gravedad: Muy alta: Las prdidas para la empresa son importantsimas e irreparables. Alta: Las prdidas para la empresa son muy importantes pero pueden tener un remedio a medio-largo plazo. Media: Las prdidas son importantes pero tienen una solucin en corto plazo. Baja: Se producen prdidas mnimas sin gran impacto dentro de la organizacin. Muy baja: No se producen prdidas o stas son insignificantes y no afectan en prcticamente ningn grado a la organizacin.

Redes y seguridad Proyecto Final

DESASTRES NATURALES Tormentas y rayos: fenmenos naturales con alto contenido elctrico pueden provocar picos de tensin lo que puede provocar prdidas de datos o daos irreparables en el equipamiento elctrico. Impacto de la amenaza segn su nivel: Tipo A: Se dara en el caso de que impactara un rayo directamente en el edificio donde se encuentra la empresa. Esto podra provocar un dao estructural en el edificio, daos severos en el Hardware de la empresa y ocasionalmente incendios. La gravedad de la amenaza sera muy alta, pero la probabilidad de que se llegue a materializar es baja. Tipo M: Se dara en el caso en que la tormenta afectara directamente al suministrador de servicios de la empresa, como por ejemplo el suministrador de energa elctrica, y que puede afectar al funcionamiento normal de la empresa as como al funcionamiento de los equipos informticos de sta si los problemas de la empresa suministradora son graves y los cortes del servicio se prolongan demasiado en el tiempo. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es baja pues las empresas de servicios suelen estar muy bien protegidas contra ese tipo de amenazas. Tipo B: Se dara en el caso de cortes de electricidad de corta duracin por problemas de la instalacin elctrica del edificio debidos a la tormenta o por problemas de las lneas de la empresa suministradora. La gravedad de esta amenaza puede considerarse como media/baja y la probabilidad de que ocurra es media pues es frecuente que puedan producirse cortes intermitentes de luz durante una tormenta. Terremotos: Un terremoto de alta graduacin en la escala de Richter puede producir derrumbamientos de edificios as como cortes de electricidad o rotura de material debido a cadas o golpes. Impacto de la amenaza segn su nivel: Tipo A: Se dara en el caso de un sismo de intensidad superior a 6 en la escala de magnitud local y puede afectar a la estructura del edificio provocando incluso su derrumbe en casos extremos o incendios. Puede provocar graves daos en los equipos informticos debidos a roturas y fuertes golpes. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es muy baja.

Redes y seguridad Proyecto Final

Tipo M: Se dara en el caso de un sismo de intensidad igual a 5 o inferior. Los daos seran inferiores a los producidos en el tipo A. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es muy baja. Tipo B: Sismo inferior que puede ocasionar desalojos en los edificios y que producira una prdida mnima de tiempo de trabajo. La gravedad de esta amenaza puede considerarse como baja/muy baja y la probabilidad de que ocurra es baja pues es en la zona no se dan terremotos lo suficientemente intensos como para propiciar un desalojo de edificios. Inundaciones: Una inundacin puede ser producida por un exceso de lluvias, desbordamiento de ros, rotura de presas, rotura de caeras, exceso de humedad Una inundacin en la zona donde se encuentren los equipos informticos puede producir daos materiales en los equipos. Impacto de la amenaza segn su nivel: Tipo A: Grave inundacin, que anegara todo el edificio y que afectara a los equipos de forma que se podran perder datos crticos y se suspendera la actividad de la empresa por un tiempo indefinido. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es media/baja. Tipo M: Inundacin de una zona donde se encuentre equipamiento informtico con datos crticos para el funcionamiento de la empresa y que producira una prdida parcial de informacin o de horas de trabajo. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es media/baja. Tipo B: Pequeas inundaciones debidas a roturas de tuberas o filtraciones de agua debido a humedades en las paredes y que pueden daar algn equipo. La gravedad de esta amenaza puede considerarse como media/alta y la probabilidad de que ocurra es alta pues es relativamente fcil que ocurra algn un problema en una tubera.

10

Redes y seguridad Proyecto Final

ESTRUCTURALES Amenazas debidas a fallos en los elementos del edificio tales como cableado elctricos, conductos del aire acondicionado, elementos de comunicacin. Pueden ser controlados y evitados. Incendios: . Fuego no controlado que puede ser extremadamente peligroso para los seres vivos y las estructuras, produciendo adems gases txicos. Las causas de un incendio pueden ser diversas: - Existencia de una fuente de ignicin cercana a un material inflamable. - Problemas en cuadros elctricos. - Cortocircuitos. Un incendio puede daar gravemente el equipamiento informtico de la empresa, pudiendo dejarlo completamente inservible, as como la documentacin existente en formato papel. Impacto de la amenaza segn su nivel: Tipo A: Gran incendio que afecte a todo el edificio donde est ubicada la empresa. Un incendio de estas caractersticas podra dejar inutilizadas completamente todas las instalaciones de la empresa as como destruir todo el equipamiento informtico y la informacin vital de sta que se encuentre en cualquier tipo de soporte, lo que podra producir la paralizacin total de la actividad de la empresa por un periodo de tiempo muy largo si no se dispone de una copia de Backup convenientemente actualizada y que no se localizara en las instalaciones que han sido afectadas por el fuego. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es media/alta debido a que si se produce un incendio de estas caractersticas debido a un descuido o de una forma intencionada puede resultar muy difcil para los equipos de extincin conseguir controlar un fuego tan grande y evitar que no se produzcan daos graves en el edificio. Tipo M: Incendio en una parte localizada del edificio que aunque no afecte directamente a la empresa y a su equipamiento puede dificultar las labores normales de trabajo dentro de la empresa durante un periodo de tiempo medio (entre 3 y 6 meses). La gravedad de la amenaza puede considerarse como media/alta, y la probabilidad de que se produzca es media/alta aunque en este caso los equipos de extincin tendrn mucho ms fcil la labor de extinguir rpidamente el fuego. Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos concretos. En el caso de disponer de copias de seguridad de esos equipos la puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos puede ser inmediata.

11

Redes y seguridad Proyecto Final

La gravedad de esta amenaza puede considerarse como media/alta porque en el caso de que no se disponga de una copia de seguridad de los equipos afectados se puede perder informacin valiosa. La probabilidad de que ocurra es alta, pues es relativamente fcil que se produzca un cortocircuito que provoque un fuego aunque como es centralizado sera de fcil y rpida extincin. Cortes elctricos: Corte temporal del suministro de energa elctrica por parte de la compaa suministradora. El corte puede ser de corta duracin o puede llegar a ser de varios das. Un corte en la energa de alimentacin de los equipos de la empresa puede llegar a provocar daos irreparables en algunos equipos. Impacto de la amenaza segn su nivel: Tipo A: Corte elctrico que se prolongue varios das. Afectar gravemente al desarrollo normal de las actividades de la empresa durante un largo periodo de tiempo. La gravedad de la amenaza sera alta, aunque la probabilidad de que se llegue a materializar es baja. Tipo M: Corte elctrico de menor duracin que el de tipo A y que afectar al desarrollo de las actividades de la empresa por un tiempo no superior a un mes. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Corte elctrico de poca duracin y que afectar al desarrollo de las actividades de la empresa por 24 horas o menos. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media pues es relativamente fcil que se produzca un pequeo corte en el suministro elctrico debido, por ejemplo a una sobrecarga en la red del suministrador. Agua: Corte temporal del suministro de agua por parte de la compaa suministradora. El corte puede ser de corta duracin o incluso de varios das. Por lo general las empresas no tienen conectados los equipos a ningn tipo de refrigeracin mediante conductos de agua por lo que un corte en el suministro de agua de la empresa no afectar en ninguna medida al equipamiento informtico de la misma. Refrigeracin: Fallos en el normal funcionamiento de la maquinaria de climatizacin que existe dentro de la empresa. Los fallos pueden ser debido a cortes en el suministro elctrico, fugas en los aparatos de climatizacin, etc.

12

Redes y seguridad Proyecto Final

Si el equipamiento informtico de la empresa no est funcionando a ritmo completo las 24 horas del da, no necesitara unas condiciones especiales en lo que se refiere a la temperatura ambiente. Comunicaciones: Corte temporal en los sistemas de comunicacin de la empresa debido a un problema externo (puede deberse a un fallo de la compaa telefnica suministradora). El corte puede ser de corta duracin (un da) o ms extenso (varios das). Impacto de la amenaza segn su nivel: Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo. Por lo general no ocurren. Tipo M: Corte en las comunicaciones durante varios das lo que puede retrasar y complicar ligeramente las actuaciones de la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o micro cortes durante un periodo corto de tiempo. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es tambin baja.

HARDWARE Fallo de servidores: Fallo temporal en alguno o todos de los servidores de la empresa. El fallo puede deberse a un corte de la corriente elctrica de los servidores, un fallo humano de la gestin de los mismos, errores en el Hardware o en el Software, etc. Impacto dentro de la empresa Retrasara las operaciones de la empresa que requieren acceder a informacin del servidor. Fallo de estaciones de trabajo: Fallo temporal en alguna o todas las estaciones de trabajo de que dispone la empresa. El fallo puede deberse a un corte de la corriente elctrica de los equipos, un fallo humano de la gestin de los mismos, errores en el Hardware o en el Software, etc. Impacto dentro de la empresa Fallos y prdidas de servicio en los equipos de trabajo pueden afectar al trabajo normal de la empresa pudindose perder datos vitales (si stos son guardados localmente) para el correcto funcionamiento del negocio.

13

Redes y seguridad Proyecto Final

Impacto de la amenaza segn su nivel: Tipo A: Fallo en todos los equipos de trabajo de la empresa durante un periodo de tiempo superior a una semana o prdida de informacin almacenada en esos equipos. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa, aunque la probabilidad de que se produzca es baja. Tipo M: Fallo en alguno de los equipos durante un tiempo inferior a una semana, sin prdida de ningn tipo de informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Fallo en algn equipo durante un tiempo inferior a 24 horas o pequeos fallos durante ese tiempo sin darse prdida de informacin. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja. SOFTWARE Errores en los Sistemas Operativos: Errores internos de los Sistemas Operativos instalados en los equipos de los que dispone la empresa. El fallo se debe a errores de programacin o a la no instalacin de las actualizaciones de seguridad que distribuye la empresa desarrolladora cada cierto tiempo. Impacto de la amenaza segn su nivel: Tipo A: Fallo en los Sistemas Operativos de todos los equipos informticos de la empresa durante un tiempo superior a un da. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa debido, sobre todo, a que pueden producirse importantes agujeros de seguridad, aunque la probabilidad de que se produzca es baja, ya que se cuenta con las actualizaciones al da. Tipo M: Fallo en el Sistema Operativo de algunos de los equipos informticos durante un tiempo mximo de un da. Tipo B: Fallo en el Sistema Operativo de un equipo que no contenga informacin muy crtica durante un periodo inferior a un da. La gravedad de esta amenaza puede considerarse como baja puesto que si el equipo no contiene informacin muy crtica para el correcto funcionamiento de la empresa y

14

Redes y seguridad Proyecto Final

el periodo del fallo es inferior a un da no repercutir excesivamente en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es baja. Errores en las Bases de Datos: Errores internos en las Bases de Datos instalados en los equipos de los que dispone la empresa. El fallo puede deberse a errores de programacin de los programas que trabajan con las Bases de Datos, fallos puntuales en alguna de las tablas o fallos en la creacin de las Bases de Datos. Impacto dentro de la empresa La empresa no dispondra de la informacin para seguir realizando sus procesos. Por lo que se debe realizar todas las pruebas antes de poner en produccin la utilizacin de una BD. Errores en las aplicaciones: Errores internos en las diferentes aplicaciones instalados en los equipos de los que dispone la empresa. El fallo se debe a errores de programacin o a la no instalacin de las actualizaciones que distribuye la empresa desarrolladora cada cierto tiempo. Impacto de la amenaza segn su nivel: Tipo A: Fallo en aplicaciones consideradas crticas dentro la empresa durante un tiempo superior a un da. Aplicaciones crticas se pueden considerar por ejemplo las aplicaciones desarrolladas a medida para la empresa y de las que es ms complicado recibir soporte, pero son muy importantes para el correcto desarrollo de los procesos de negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa debido a que muchas aplicaciones estn instaladas nicamente en un equipo y si fallan se perder su utilidad durante el tiempo de fallo. La probabilidad de que se produzca es media/baja pues las aplicaciones comerciales estn correctamente actualizadas, pero las aplicaciones elaboradas a medida presentan un mantenimiento ms complicado. Tipo M: Fallo en aplicaciones consideradas crticas dentro de la empresa durante un tiempo mximo de un da. La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la aplicacin no sea extenso, puede perjudicar al correcto funcionamiento de la empresa. La probabilidad de que se produzca es media/baja, como se ha comentado en el tipo A, las aplicaciones comerciales estn correctamente actualizadas, pero las aplicaciones elaboradas a medida tienen un mantenimiento ms complicado. Tipo B: Fallo en aplicaciones no crticas, es decir, que no afecten al desarrollo normal de los procesos de la empresa durante un periodo inferior a un da. La gravedad de esta amenaza puede considerarse como baja puesto que si el fallo se da en aplicaciones no crticas, o que estn instaladas en varios equipos no se
15 Redes y seguridad Proyecto Final

alterarn los procesos de la empresa. La probabilidad de que ocurra es baja pues las aplicaciones no crticas son las comerciales y estn correctamente actualizadas e instaladas en ms de un equipo. Errores en los elementos de seguridad: Errores en los elementos de seguridad que dispone la empresa, puede tratarse de errores Software tales como fallo de antivirus o firewall, o errores en los elementos fsicos tales como fallo de las alarmas, etc. Los fallos en los elementos de seguridad pueden deberse a fallos en las actualizaciones de los antivirus o, por ejemplo, cortes de suministro elctrico que afecten al correcto funcionamiento de la alarma. Impacto de la amenaza segn su nivel: Tipo A: Fallo en las medidas de seguridad Hardware o Software de la empresa durante un tiempo superior a un da. La gravedad de la amenaza puede considerarse como muy alta, porque un fallo grave en las medidas de seguridad de la empresa perjudicar gravemente el negocio de sta. Tambin pueden producirse robos que afecten econmicamente a la empresa. La probabilidad de que se produzca es media/baja, pues las medidas de seguridad fsica estn en correcto funcionamiento, pero las medidas Software no tienen un control adecuado sobre su actividad. Tipo M: Fallo en las medidas de seguridad Hardware o Software de la empresa durante un tiempo mximo de un da. La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la seguridad no sea extenso, compromete seriamente a la empresa. La probabilidad de que se produzca es media/baja pues como se ha comentado en el tipo A las medidas de seguridad fsica estn en correcto funcionamiento, pero las medidas Software pueden no tener un control adecuado sobre su actividad. Tipo B: Fallos de seguridad leves durante un periodo inferior a un da. Fallos de seguridad leves se puede considerar que el antivirus deje de funcionar durante una hora, un corte elctrico breve que afecte a la alarma, etc. La gravedad de esta amenaza puede considerarse como media/baja puesto que aunque el fallo de elementos de seguridad es grave, si estos sistemas estn sin funcionamiento un tiempo mnimo el impacto en la empresa no ser grave. La probabilidad de que ocurra es media/alta ya que pequeos errores, como el fallo temporal de un antivirus suelen ser frecuente. RED LAN Y WAN Red interna: Fallos en las comunicaciones de la red interna debidos a cadas temporales de sta. Las cadas en la red interna pueden deberse a fallos en el Router que da servicio a la red, problemas con el cableado o el emisor inalmbrico.
16 Redes y seguridad Proyecto Final

Impacto dentro de la empresa Se paralizaran los procesos que estn soportados dentro de la red interna y retrasara a aquellos que dependen de la informacin suministrada por stos. Sistemas de seguridad de las comunicaciones: Errores en los sistemas que aseguran que las comunicaciones de la empresa se van a poder realizar sin problemas y adems no existen terceras personas ajenas a la organizacin que intercepten esas comunicaciones. Los fallos en los sistemas de seguridad pueden deberse a fallos en las actualizaciones de los antivirus, sobre todo en los antispyware y firewalls que no detecten intrusos en la red o fallos en el acceso al Router de comunicaciones y un intruso pueda modificar la configuracin del mismo e impedir que se realicen las comunicaciones correctamente o interceptar las mismas. Impacto dentro de la empresa Un fallo en los sistemas de seguridad en las comunicaciones de la empresa puede provocar graves problemas de seguridad y cortes en las comunicaciones lo que puede producir, desde prdidas importantes de informacin a la imposibilidad de comunicar la empresa con el exterior y entre sucursales. Redes pblicas ajenas: Fallos de la empresa suministradora de servicios de red y que provoquen una prdida en los servicios de conexin de la organizacin hacia el exterior. Los fallos en el servicio de comunicaciones de la empresa son debidos a fallos de la empresa suministradora y, por tanto, completamente ajenos a la empresa. Impacto dentro de la empresa Un fallo en el servicio de comunicaciones de la empresa suministradora puede provocar algn retraso en alguno de los procesos de la empresa pero en lo que se refiere a la comunicacin entre sucursales, en ningn momento este tipo de fallos afectarn gravemente a sus procesos dentro de la red interna. COPIAS DE SEGURIDAD Fallos en soportes de copias de seguridad: Fallos en los soportes donde han sido almacenadas copias de seguridad, debido a los cuales se produce un dao o una prdida de informacin til para el negocio de la empresa. Los fallos en los soportes de Backup pueden ser debidos a fallos de fabricacin, a un mal almacenamiento o simplemente un fallo del soporte. Impacto dentro de la empresa No se tendra un respaldo de recuperacin de informacin, en caso de que la informacin primaria sea vulnerada. Por otro lado no se tendra informacin confiable e la ejecucin de los procesos de la empresa y eso significara un riesgo de fracaso al tomar decisiones basadas en esta informacin.

17

Redes y seguridad Proyecto Final

PERSONAL Errores y ataques de personal interno: El personal que trabaja en la empresa puede provocar fallos en los sistemas de la empresa o prdidas de informacin debido a falta de formacin, falta de conocimiento, mala intencionalidad Impacto dentro de la empresa La empresa perdera informacin, dinero y podra fracasar en el mercado. Ya que no habra la confianza de que sus procesos estn siendo bien ejecutados. Errores y ataques de personal externo: Personas ajenas a la empresa pueden querer daarla por algn motivo por lo que es necesario preparar a la organizacin para evitar ataques externos a sus sistemas. Los ataques externos pueden provenir de ex empleados descontentos, personas que desean obtener informacin confidencial para su propio beneficio, etc. Impacto dentro de la empresa En el mundo en el que realiza sus operaciones la empresa, la informacin es un activo muy importante y una posible prdida de esa informacin a favor de otra empresa puede suponer la prdida de mucho dinero. Impacto de la amenaza segn su nivel: Tipo A: Acceso al sistema de la empresa y prdida de informacin de la operacin en marcha, la cual es crucial para una buena finalizacin del negocio para la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin sustrada es de mxima utilidad para la empresa. La probabilidad de que se produzca es baja si la empresa tiene con las medidas de proteccin necesarias para que su informacin este protegida. Tipo M: Acceso a los sistemas de la empresa y prdida de informacin de negocios ya concluidos por la empresa. La gravedad de la amenaza puede considerarse como alta debido a que a pesar de que el negocio ya ha sido finalizado la informacin del mismo es un importante activo para futuros negocios. La probabilidad de que se produzca es baja si la empresa tiene con las medidas de proteccin necesarias para que su informacin este protegida. Tipo B: Acceso a los sistemas de la empresa y prdida de informacin de poca importancia para la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin perdida no es de gran importancia por lo que no tendr ningn efecto negativo en la empresa. La probabilidad de que se produzca es baja si la empresa tiene con las medidas de proteccin necesarias para que su informacin este protegida.
18 Redes y seguridad Proyecto Final

PLAN DE SEGURIDAD
A la hora de realizar el anlisis de la empresa, se han detectado ciertas vulnerabilidades graves como por ejemplo que no exista un replicado de la informacin, que no existan polticas de acceso a la informacin o la ms importante, que los responsables de la empresa no tengan conciencia de la importancia de dotar a su empresa de unas adecuadas medidas de seguridad para proteger la informacin de la misma. Para conseguir reducir el riesgo de la empresa se van a detallar las medidas que se debern emplear para conseguir que consiga ponerse al da en la seguridad de su informacin y elementos informticos. Dentro de las medidas a emplear para eliminar las vulnerabilidades y dotar a la empresa de una seguridad adecuada, se pueden distinguir varios tipos: Medidas preventivas: Medidas que se debern implantar en la empresa para prevenir la posible explotacin de una vulnerabilidad por parte de una amenaza. Medidas correctoras: Medidas que se debern implantar en la empresa para corregir problemas o fallos debidos a amenazas que se han materializado. Riesgos asumibles: Pueden existir vulnerabilidades de la empresa que no sean sensibles a que un riesgo las explote, por lo que esa vulnerabilidad no es necesario que sea tenida en cuenta a la hora de establecer las medidas de seguridad. MEDIDAS APLICADAS A DESASTRES NATURALES A la hora de establecer medidas para proteger a la empresa de daos debidos a desastres naturales hay que tener en cuenta que no se puede controlar que lleguen, o no, a materializarse por lo que la empresa est expuesta a ellos y nicamente se pueden establecer medidas preventivas para intentar minimizar en lo posible el dao. Medidas preventivas a adoptar dentro de la empresa: Instalacin de dispositivos de proteccin de lneas elctricas contra sobrecargas. Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para garantizar el suministro elctrico en caso de cada del sistema elctrico general. Realizacin peridica de copias de Backup localizadas en servidores externos a la empresa. Aunque antes se ha comentado que para tratar los desastres naturales slo se pueden establecer medidas preventivas, la realizacin de copias de Backup se puede incluir tambin dentro de medidas correctoras.

19

Redes y seguridad Proyecto Final

MEDIDAS APLICADAS A PROBLEMAS ESTRUCTURALES Los posibles daos estructurales que se den en la empresa, aun siendo ajenos a la propia empresa s pueden ser controlados mediante revisiones peridicas o mediante la contratacin de servicios alternativos. Medidas preventivas a adoptar dentro de la empresa: Revisin peridica de la instalacin elctrica. Instalacin de dispositivos automticos de extincin de incendios. Distribucin de extintores a lo largo de toda la dependencia de la empresa, en especial cerca de elementos informticos crticos. Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para garantizar el suministro elctrico en caso de cada del sistema elctrico general. Contratacin de dos lneas exteriores con suministradores de internet para garantizar siempre una conexin mnima a la red. Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Riesgos asumibles en la empresa: Prdida de las comunicaciones durante un periodo inferior a 24 horas. MEDIDAS APLICADAS A PROBLEMAS DE HARDWARE Se debe tener en cuenta el correcto mantenimiento y seguridad del equipamiento Hardware disponible. Medidas preventivas a adoptar dentro de la empresa: Instalacin de un servidor de almacenamiento centralizado donde se almacene toda la informacin generada dentro de la empresa y que garantice un acceso adecuado, y seguro, a la misma cuando sea necesario. Disponer de copias de respaldo almacenadas en servidores exteriores a la empresa para prevenir posibles fallos de Hardware. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energa repentinos. Tener personal tcnico capacitado que brinde el mantenimiento y monitoreo a los equipos para evitar que fallen. Medidas correctoras a adoptar dentro de la empresa: Tener personal tcnico capacitado que asegure una rpida reparacin y puesta en marcha de los equipos si se produce un fallo. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.
20 Redes y seguridad Proyecto Final

Riesgos asumibles en la empresa: Fallo en alguna estacin PC o porttil durante un periodo inferior a 24 horas. MEDIDAS APLICADAS A PROBLEMAS DE SOFTWARE El Software es el elemento ms crtico de la empresa, pues debido a la falta de concienciacin de seguridad de los responsables de la misma; los elementos Software que componen los activos de la empresa no estn siempre correctamente actualizados y preparados para evitar posibles prdidas de informacin no deseadas. Medidas preventivas a adoptar dentro de la empresa: Realizar peridicamente, o cuando sea requerido por el distribuidor del Software, las actualizaciones oportunas para mantener al da los distintos programas y Sistemas Operativos. Instalacin de bases de datos centralizadas donde se almacenen todos los datos importantes generados por la empresa para facilitar el almacenamiento, accesibilidad y seguridad de los datos. Disponer de Software de calidad y debidamente revisado. Establecer una poltica de contraseas para acceder a los diferentes equipos de la empresa. Instalacin de software de monitoreo, antivirus, firewall, etc. Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. MEDIDAS APLICADAS A PROBLEMAS DE RED La red es uno de los elementos ms sensibles de la empresa, puesto que dentro de la misma no son conscientes de lo perjudicial que puede llegar a ser un ataque exterior y tampoco saben aprovechar las oportunidades que sta puede proporcionar. Medidas preventivas a adoptar dentro de la empresa: Montaje de una red interna en la empresa para garantizar que todas las comunicaciones internas y de carcter confidencial no salen de la estructura de la propia empresa. Mantener correctamente instalados y actualizados los sistemas de seguridad Software de los que dispone la empresa. Instalacin en la totalidad de equipos de la empresa igual Software de seguridad que garantice la seguridad de los equipos. Establecimiento de polticas de seguridad de acceso a la red mediante el empleo de contraseas seguras. Instalacin de un Router de acceso gestionable, ms adecuado para la empresa que el proporcionado por la empresa suministradora del servicio. Establecer una correcta configuracin de seguridad para la red inalmbrica que evite accesos indeseados.

21

Redes y seguridad Proyecto Final

Medidas correctoras a adoptar dentro de la empresa: Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones que aseguren una rpida reparacin y restablecimiento del servicio en caso de problemas con la lnea. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Riesgos asumibles en la empresa: Fallo en los sistemas de comunicacin de red durante un periodo no superior a 24 horas. MEDIDAS APLICADAS A PROBLEMAS CON EL PERSONAL En cualquier organizacin el personal es un punto crtico pues un empleado descontento puede provocar graves daos desde dentro de la organizacin. Cabe recordar que el 80% de los ataques informticos que sufren las empresas proceden de dentro de la misma. Medidas preventivas a adoptar dentro de la empresa: Conseguir una adecuada concienciacin del personal de la empresa sobre lo importante que es mantener un cierto nivel de seguridad en los procesos que se realizan dentro de la empresa. As como establecer una adecuada poltica de respaldo de informacin. Disponibilidad de copias de seguridad de los ficheros ms importantes en diferentes soportes. Establecer una poltica de contraseas para el acceso a los recursos del sistema.

22

Redes y seguridad Proyecto Final