Tarea para SEGI01.

JESÚS GÓMEZ-PIMPOLO VEGA - CFGM SMR

Enunciado.
Una empresa dedicada a desarrollar software a medida en el ámbito industrial desea
contratarte para que gestiones algunos aspectos relacionados con la seguridad de la
empresa.
Responde a las siguientes cuestiones relacionadas con tu función:
1. En la empresa, podrían emplearse diferentes medidas de seguridad. Cita un
ejemplo de herramientas o medidas, para cada tipo según la clasificación de
seguridad que has visto en la unidad.

• Atendiendo al momento en que se ponen en marcha dichas medidas de

seguridad, esta puede ser activa y pasiva:
o Activa (prevenir o minimizar riesgos): instalación de antivirus /
antimalware.
o Pasiva (minimizar daños una vez ocurrida la catástrofe): Copias de
seguridad / generación de imágenes de disco.
• Dependiendo del recurso a proteger, esta clasificación de la seguridad es física
y lógica:
o Física (protección del hardware y otros elementos físicos del sistema):
colocación de los servidores de datos y aplicaciones en un espacio libre
del peligro de posibles inundaciones.
o Lógica: un firewall mediante software impide solicitudes no autorizadas
a los datos de los servidores.

2. Si se produce una inundación en una oficina. ¿Podría poner en peligro la

integridad, disponibilidad o confidencialidad de la información? Razona tu
respuesta para cada uno de los tres aspectos.
En principio, solo se verían afectadas la disponibilidad y, posiblemente,
la integridad del sistema:
La disponibilidad porque los recursos del sistema, al estar dañados por
la inundación, no serían accesibles para los trabajadores y trabajadoras
de la oficina, impidiendo o limitando, por tanto, la prestación del
servicio de la empresa.
El daño de los componentes eléctricos y electrónicos de las máquinas
causado por el agua podría afectar a la integridad de los datos
almacenados en los mismos, haciendo que estos no se puedan
recuperar o sea muy costoso.
La confidencialidad no se vería afectada ya que dicha catástrofe no
influiría, en principio, en que los datos almacenados fueran accesibles a
agentes no autorizados.
3. Tu jefe o jefa te ha dicho que debes encargarte de la política de seguridad de la
empresa. ¿Cuál es su principal objetivo?
Las políticas de seguridad consisten en plasmar en un documento todos
los objetivos de la empresa en lo relacionado a la seguridad de la
información para así, entre otros, concienciar al personal en lo relativo a
la misma.
4. A la hora de gestionar los riesgos es necesario determinar ciertos elementos,
como por ejemplo las vulnerabilidades del sistema. Pon un ejemplo que
puedas encontrar en dicho entorno empresarial de:
a. Vulnerabilidad.
• Sistema operativo sin actualizar con los últimos parches de seguridad.
b. Amenaza para dicha vulnerabilidad.
• Una vulnerabilidad en el sistema operativo permite la ejecución de un
software ramsomware sin que el antivirus lo detecte, provocando el
secuestro por encriptación y, casi con seguridad, perdida de los datos de
las máquinas de la red, así como la posible infección de los servidores de
copias de seguridad.
c. Impacto que puede ocasionar un ataque que materialice la amenaza.
• Pérdida de disponibilidad e integridad de los datos con las consecuentes
pérdidas económicas, entre otros problemas.

5. En tus primeros días de trabajo has recibido una pequeña formación en la que
el ponente mencionó que el factor humano es el eslabón más débil de la
cadena en lo relativo a seguridad, ¿qué crees que quería decir con ello? Explica
tu respuesta.

• Dicha afirmación hace referencia a que muchos de los problemas que

puedan surgir en un sistema de información pueden ser provocados por
los usuarios del mismo (agente no automático), ya que, aunque se
activen medidas de seguridad, estas se han de aplicar de forma tajante,
sobre todo en lo relativo a prevención de riesgos. Por ejemplo: el
usuario está obligado a cerrar su sesión si abandona su puesto de
trabajo. Si no lo cumple, de nada sirve que se pida identificación para
acceder al ordenador, pues al dejar sus sesión abierta, agentes no
autorizados podrían acceder a los datos.
6. Un joven pirata informático se hace con el control de la página de la empresa y
trata de extorsionarla exigiéndole una cantidad de dinero para recuperar la
página. La policía acudió al domicilio del joven y se llevó los ordenadores desde
los que se realizaron los ataques.

Tu jefe o jefa te ha encargado que elabores un pequeño informe a modo de

reseña, respecto al hecho que ha acontecido. Utiliza para ello la terminología
que has aprendido en la unidad. Resalta en negrita los términos que has
aprendido a lo largo de la unidad.
Una vulnerabilidad en la página web hecha en WordPress y causada por
un bug en el código que proporciona un agujero de seguridad, ha
permitido que un atacante se haga con el archivo cifrado que contiene
las contraseñas de acceso ya que no se ha cumplido el mecanismo de
seguridad de prevención de actualización del software WordPress. El
atacante ha accedido al sistema descubriendo las contraseñas por
fuerza bruta y accediendo al sistema con privilegios de administración,
“secuestrando” el mismo. Tal situación ha provocado una falta de
disponibilidad del servicio, además de una vulneración de la
confidencialidad al encontrarse en el servidor importantes documentos
de la empresa. También se ha dado un riesgo en la integridad de los
datos, pues el atacante amenaza con su destrucción si no se paga un
rescate.
Afortunadamente, uno de los mecanismos de prevención de seguridad
pasiva puesto en marcha por la empresa en su política de seguridad
para la gestión de riesgos fue un plan de recuperación, que implica una
copia de seguridad diaria de los datos del servidor web, además de una
copia de imagen de disco que permitirá la restauración automática del
sistema operativo y las aplicaciones instaladas. Se aplica el plan de
emergencia poniendo en marcha otro servidor web y resturando los
datos respaldados. El sistema podrá estar disponible en breve.
7. La empresa posee multitud de datos personales de su clientela. ¿Crees que
podrían solicitar que se eliminasen permanentemente de su fichero? En caso
afirmativo, ¿Cómo se denomina este derecho? ¿Qué otros derechos tienen los
usuarios y usuarias?
En efecto, es posible, pues así lo avala la LOPD. Este es el derecho de
cancelación, por el cual cualquier ciudadano o ciudadana pueden pedir
de forma expresa la desaparición de sus datos en una empresa.
También se tiene derecho al acceso a los datos, la rectificación de los
mismos, oposición a que estos sean incluidos en un fichero, supresión
(“derecho al olvido”), limitación del tratamiento, portabilidad y de no
ser objeto de decisiones individualizadas. También se tienen derechos
tales como a no recibir publicidad no deseada o a ser excluidos de un
listín telefónico, por ejemplo.
8. Como ya sabrás, la LSSI impone una serie de obligaciones a las empresas y
como responsable de seguridad, también deberás ser conocedor o conocedora
de las mismas y velar por su cumplimiento para evitar que la empresa sea
sancionada. Enumera al menos tres obligaciones que impone la LSSI para:
a. Una empresa de venta de material informático a través de Internet.
• Ha de visualizar en su web una serie de datos que informen al
usuario o usuaria, tales como el NIF, domicilio, correo
electrónico y teléfono.
b. Un proveedor de Internet.
• Tiene la obligación de colaborar con organismos públicos apara
ejecutar resoluciones que precisen de su ayuda, además de
informar a los usuarios y usuarias para aumentar la seguridad en
el entorno informático.
c. Una empresa que tiene un portal con publicidad.
• El anunciante debe de identificarse de forma clara,
reconociéndose el carácter publicitario del anuncio sin dar lugar
a equívocos. Si realiza concursos o juegos, las condiciones ha de
ser visibles y claras, además de obtener previa autorización del
usuario antes de enviar mensajes o correos electrónicos.
También se han de proporcionar métodos sencillos para revocar
dicha autorización.
9. Un diseñador o diseñadora de la empresa, está realizando un tríptico con
información y para ello está utilizando imágenes que encuentra en Internet,
pero le surgen dudas sobre su tipo de licencia y sus restricciones a la hora de
utilizarlas para el tríptico. Suponiendo que pretende utilizar una imagen con
licencia CC BY-NC-SA, responde cual de las siguientes acciones podría realizar
sobre dicha imagen:
a. Retocar la imagen añadiéndole algunos filtros, recortándola, etc.
• Sí
b. Utilizarla con fines comerciales.
• No
c. Redistribuirla con una licencia CC by.
• Sí, de hecho, obliga a ello.
10. Un empleado o empleada de una empresa deja un disco externo en una silla
de un bar mientras se toma un café y en un momento de despiste se lo roban.
Dicho disco contenía información de la empresa, datos de clientes y clientas,
etc. En tal situación, ¿Crees que tiene mayor importancia la pérdida del
dispositivo en sí o de los datos? Razona tu respuesta.
• La pérdida del disco no es trascendente por su valor e impacto
cuantitativo. Sin embargo, la pérdida de datos en el disco y su
posible exposición y uso fraudulento, pueden suponer un
impacto cualitativo al perderse la confianza en la empresa por
parte de los clientes, lo que desembocaría en un impacto
cuantitativo de forma indirecta.