Práctica 2 Tema 1

Plan de Seguridad Informática

ÍNDICE

1. Actividad de la empresa, empleados, dispositivos.................................................................2

2. Políticas de seguridad informática.........................................................................................3 y 4

3. Sistemas de seguridad informática.........................................................................................x

4. Seguridad de las salas............................................................................................................x

5. Control de acceso, identificación de los usuarios y requisitos de las contraseñas .. x

6. Prohibiciones en el uso de aplicaciones..................................................................................x

1. Actividad de la empresa, empleados,
dispositivos: Creación y modificación
de páginas web.
Actividad de la empresa: Nuestra organización es una pequeña empresa que se dedica a la venta
y modificación de páginas web a empresas internacionales o pequeñas asociaciones.

Empleados: Tenemos un personal de 5 empleados, que están especializados en la creación de

páginas web ya que han estudiado a fondo este campo. Cada empleado sabe trabajar con los distintos
lenguajes de programación como: Python, CSS, P2P, HTML, además de un empleado que se
encarga del diseño de las páginas.

Dispositivos: En nuestra empresa tenemos varios ordenadores con aplicaciones especializadas en

la modificación y creación de páginas web. Una pantalla digital para discutir y cuestionar entre todo
el personal el acabado de cada página.
2. Políticas de seguridad informática de los
usuarios que usan las diferentes
tecnologías.

Seguridad lógica:

- Cifrar archivos sensibles

- Implementar copias de respaldo, ya sea en la nube o en discos externos
- Usar contraseñas y renovarlas de forma periódica. Esas contraseñas las dará el responsable
de los empleados cada mes. Cada empleado tendrá que apuntarse la contraseña en un sitio
seguro.
- Usar VPN
- Instalar software, antivirus y antimalware.

Para la protección del hardware:

- Acceso físico:

● Analizadores de retina.
● Tarjetas inteligentes.
● Cámaras de vigilancia.
● Huella digital.

- Desastres naturales:

● Terremotos y vibraciones.
● Tormentas eléctricas.
● Inundaciones y humedad
● Incendios y humos

Para prevenir los problemas de estos desastres naturales, tenemos que: No situar
los equipos en sitios altos para evitar caídas.
No colocar elementos móviles evitando que caigan sobre los equipos.
Separar los equipos de las ventanas para evitar que caigan por ellas o que
objetos lanzados desde el exterior los dañen.
Utilizar fijaciones para elementos críticos.
También hay que separar los equipos de objetos calientes.
 - Alteraciones del entorno:
● Electricidad
● Ruido eléctrico
● Temperaturas extremas

Protección de los datos:

- EAVESDROPPING: Es un proceso en el cuál un agente capta información dirigida a él, esta

captación puede realizarse por muchísimos medios, como por ejemplo:
Sniffing, capturando radiaciones electromagnéticas…

- Copias de seguridad:Hay que tener en cuenta las políticas de seguridad,para cualquier

organización,al igual que el resto de equipos y sistemas,los medios estarán protegidos
físicamente.Un error habitual es almacenarlos en lugares muy cercanos a la sala de
operaciones cuando no en la misma sala;esto en principio puede parecer correcto,puede
convertirse en un problema serio si se produce algún desastre.Hay que pensar,que en general
el hardware se puede volver a comprar pero una pérdida de información puede ser
irreparable.

-Otro elemento importante en la protección de la información son los elementos no

electrónicos que se utilizan para transmitirla.Cualquier dispositivo por el que pueda salir
información de nuestro sistema ha de estar situado en un lugar de acceso restringido.

3. Sistemas de seguridad informática.

Hace referencia a las áreas de desarrollo e investigación en informática de infraestructuras,seguras para
almacenar la información en los ordenadores y durante su transmisión en redes.

● Tipos de seguridad informática :

○ Seguridad de hardware : Son los dispositivos que se usan para escanear un sistema o
para el control del tráfico de una red.Hay módulos que sirven para el suministro de
claves encriptadas.El objetivo es evitar que las comunicaciones estén desprotegidas
de posibles pérdidas o interceptación de datos.Si se necesita evaluar la seguridad del
hardware es imprescindible contar con las vulnerabilidades que aparecen desde su
fabricación y evaluar otras fuentes potenciales de riesgo.
○ Seguridad del software: Es el que se pone en práctica para la protección de programas
y aplicaciones y programas contra los ataques de los delincuentes informáticos y
otros tipos de riesgos.Es necesaria para garantizar integridad de datos, autenticación
de los mismos y su constante disponibilidad.
■ Los problemas de software implican varias ramificaciones en el estudio de la
seguridad, como por ejemplo: errores en implementación, desbordamientos
de buffer, los defectos en el diseño o la mala respuesta ante posibles errores.
■ Las carencias en seguridad para software son más habituales en dichos
casos, los problemas no dejan de crecer con el aumento de usuarios y
delincuentes informáticos.
■ La seguridad para software busca aprovechar las prácticas de
ingeniería de desarrollo y la implementación de medidas de
protección.
○ Seguridad de red:Busca fomentar la facilidad en el uso,aumentar la fiabilidad
,conservar la integridad y mantener la seguridad para la transmisión de los datos.
■ Tipos de amenazas:La mayoría de las amenazas se originan desde internet.
● Los virus, programas gusanos o de tipo caballo de troya.
● Ataques por parte de delincuentes y hackers.
● Software espía y publicidad invasiva.
● Ataques de día cero.
● Robo de datos o interceptación de los mismos en
comunicaciones.
● Ataques de denegación del servicio.
● Robos de datos personales y de identidad.
■ Componentes de seguridad informática:
● Programas antivirus y anti-spyware.
● Cortafuegos o firewalls que bloquean accesos sin autorización a una
red.
● Modelos de prevención de intrusiones o IPs.
● Diseño de redes privadas virtuales o VPN.
 4. Seguridad de salas.
● Elementos importantes que debe haber en una sala informática.

○ Que los archivos generados durante una sesión de usuario no se almacenarán en el

disco duro. El usuario que quiera guardar algún fichero, deberá guardarlo en su pen-
drive, enviarlo a su correo electrónico o subirlo a la nube.
○ Que haya un antivirus y un cortafuegos que ayude a impedir la introducción de
software no deseado, especialmente en los ordenadores de Microsoft y con sistema
operativo Windows.
○ Que un profesional informático revise y monitorice con frecuencia el estado de los
ordenadores, garantizando de esa manera que los usuarios podrán seguir disfrutando
de un buen servicio.
○ A ser posible, lo ideal sería que cada usuario tuviera su propio usuario y
contraseña para poder conectarse. Y que, en caso de que no se tenga un usuario y
contraseña, no pueda iniciar sesión.
○ Para facilitar una mejor experiencia de usuario, lo conveniente es que haya una red de
cableado UTP que facilite que los ordenadores puedan aprovechar el
 ancho de banda de la fibra óptica, evitando las dificultades derivadas de una red Wifi.
○ Los equipos informáticos deberían someterse también a un mantenimiento
predictivo para saber cuándo será necesario reponerlos, o renovar sus componentes,
para garantizar que la sala de informática sigue prestando un servicio útil a los
usuarios.

● Consejos de seguridad para salas de ordenadores

○ No hay que olvidar, por ejemplo, que lo ideal es que haya una persona que
monitorice personalmente el uso que se realiza de los ordenadores.
○ Por otra parte, los usuarios deberían ser conscientes de un código de buenas prácticas,
que contribuirá a que no se descargue malware, ni se realicen
○ acciones que puedan perjudicar a los equipos y al conjunto de los usuarios.
○ Muchas empresas, instituciones y organismos que disponen de salas de
informática, acuden a los servicios de profesionales del mantenimiento de ordenadores.
Sin embargo, sabemos que también en muchos lugares se crean redes de ordenadores
improvisadas con el objetivo de ahorrar gastos. El problema es que, debido a la falta de
mantenimiento, estas salas de informática probablemente proporcionen un servicio
deficiente a los usuarios.
○ Desde Gadae Netweb apostamos siempre por la calidad y el uso de una buena
metodología de cara a conseguir la mayor satisfacción de los usuarios. Trabajamos en el
mantenimiento preventivo y predictivo para que luego no tengas que invertir en la
reposición de nuevos ordenadores, ayudándote así a evitar nuevos costos y brindar un
servicio de calidad a los usuarios de la sala de informática.
○ Si estás buscando más información sobre cómo poner en marcha una red de ordenadores
en una sala de informática, no dudes en ponerte en contacto con nosotros. Somos
expertos en mantenimiento informático en Madrid y quedamos a tu disposición para
escuchar tus necesidades.

● El mayor peligro de las salas de ordenadores

En las salas de ordenadores, es muy común que haya algún que otro ordenador roto. Y esto puede llegar a
pasar con cierta frecuencia. Ya hablemos de un cyber, de una sala de informática de un hotel o de una
institución educativa, lo cierto es que los problemas informáticos son comunes simplemente por varias
razones.

● Probablemente no existe el mayor control sobre lo que pueden o no descargar.

● Los ordenadores pasan muchas horas al día encendidos
● El tipo de personas que acude a esos ordenadores no siempre tiene los conocimientos de
seguridad informática adecuados.
● Introducen dispositivos externos, como memorias USB, que han sido contaminados con virus.

Esta combinación de factores da lugar a que el organismo o institución tenga que enfrentar
continuamente problemas de todo, relacionados con virus informáticos o simplemente programas que no
son necesarios, pero que están ocupando espacio y perjudican a los demás usuarios cuando quieren
utilizar el ordenador.
5. Control de acceso, identificación de
los usuarios y requisitos de las
contraseñas

Tarjetas personales

El empleado recibe una tarjeta de uso personal e intransferible y que le permite

acceder a los espacios para los que está autorizado. Puede haber varios tipos de
tarjetas dentro de una misma empresa (dependiendo del rango dentro de la misma,
por ejemplo) y no es necesario que estas incluyan datos personales del trabajador
(pueden limitarse a una banda magnética aunque también hay tarjetas sin contacto).

Contraseñas y claves de acceso

Constituyen el control de acceso más sencillo aunque su fiabilidad es menor que la

de otros sistemas. El empleado solamente tiene que introducir una contraseña para
acceder a las instalaciones. Resulta recomendable cambiar las claves de acceso con
cierta frecuencia para evitar su difusión entre personal no autorizado.

Reconocimiento facial

Las empresas instalan un lector biométrico en sus accesos y este valida la identidad
de los trabajadores gracias al reconocimiento de sus rasgos faciales. Es altamente
efectivo y seguro, puesto que las posibilidades de sufrir un hackeo son mucho
menores que en otros sistemas. Su uso se ha extendido en los últimos meses por
ser un método altamente higiénico además de fiable.

Sistemas de control biométrico

Al igual que en el caso del reconocimiento facial, este sistema de control de acceso
biométrico permite la entrada y salida de los trabajadores al reconocer determinadas
características biométricas. El método más usual en este tipo de sistemas es el de la
lectura de la huella digital.
Requisitos de contraseñas

· La longitud de la contraseña debe ser como mínimo de 12 caracteres, si bien se

recomienda usar contraseñas más largas.

• La contraseña debe contener al menos 4 caracteres alfabéticos de los cuales

serán, al menos, dos letras mayúsculas y dos minúsculas.

• La contraseña debe contener al menos 2 caracteres numéricos. Políticas

de Seguridad Política de Contraseñas de la US © Universidad de Sevilla 7

• El número máximo de repeticiones de caracteres adyacentes de la contraseña

será 4.

• El número máximo de caracteres numéricos en secuencia de la contraseña será 4.

• La contraseña no podrá contener el nombre o apellido del usuario, ni el

documento de identidad del mismo o su UVUS.

• No compartir la contraseña bajo ningún concepto con otras personas, aunque

sean de su mismo entorno.

• Guardar la información de contraseñas en un lugar seguro.

• Cambiar la contraseña al menos una vez 999 días, exceptuando las cuentas
de aplicaciones o sistemas que no tendrán este requisito.

• No utilizar para generar la contraseña palabras o nombres comunes que

puedan figurar en diccionarios.

• No se podrán utilizar las tres últimas contraseñas empleadas.

Prohibiciones en el uso de aplicaciones
Estas suelen ser Facebook, Instagram y Messenger. También algunas de Google como Google Pay,
Play Películas, Duo… Incluso juegos. No todo el mundo usa estas aplicaciones, por lo que en muchos
casos se quedan ahí, abandonadas, sin que nunca sean abiertas, durante años.