plan de seguridad para una pequeña empresa...iv resumen el presente proyecto es el resultado de la...

PROYECTO FIN DE CARRERA

PLAN DE SEGURIDAD PARA UNA PEQUEÑA EMPRESA

AUTOR: JORGE COLINAS RAMÍREZ

MADRID, Septiembre del 2008

UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA (ICAI)

INGENIERO EN INFORMÁTICA

II

Porque el ayer es sólo un sueño

y el mañana una visión:

Pero el presente bien vivido

hace del ayer un sueño de felicidad

y del mañana una visión de esperanza.

Aprovecha bien, pues, el día de hoy.

Proverbio sánscrito

Jorge.

III

AGRADECIMIENTOS

En primer lugar, quiero dar las gracias por su afecto y amistad a todos los compañeros con los que he compartido el viaje que han supuesto estos años en la Universidad.

De la misma manera, quiero reconocer a todos mis profesores la labor, en ocasiones no demasiado fácil, de transmitir sus conocimientos que suponen y supondrán la inspiración necesaria para los futuros grandes retos que llegue a plantear la vida.

Por último, pero no menos importante, agradecer a mis padres el apoyo y confianza depositada en mí en todo momento.

Gracias a todos.

Merece una mención especial Ana, cuyo apoyo, ayuda e inspiración me sirven para conseguir superar día a día los retos que me plantea la vida. Muchas gracias mi vida.

Jorge.

IV

RESUMEN

El presente proyecto es el resultado de la realización de un completo análisis de la empresa Arroyo-Fuensaldaña, ubicada en Valladolid, para evaluar el nivel de seguridad de sus datos y sus procesos informáticos.

Primeramente se ha estudiado la empresa para evaluar cuál es su situación respecto a estos términos, enumerando las amenazas que la afectarían, así como el impacto que producirían éstas en la empresa en el caso de que llegaran a producirse.

De esta manera se determinan cuáles son las vulnerabilidades de la empresa y qué medidas sería necesario adoptar para conseguir dotar a la misma de un nivel de seguridad adecuado para proteger su información en función del tipo de empresa, elementos informáticos usados y activos en peligro.

Para la elaboración del proyecto se han seguido las siguientes fases:

- Análisis de la empresa.

- Realización de un inventario de todos los elementos Hardware y Software con que cuenta la empresa.

- Análisis de riesgos, determinando cuáles pueden afectar a la empresa y el posible impacto que pueden tener.

- Identificación de las vulnerabilidades de la empresa en función de los riesgos que pueden afectarla y sus agujeros de seguridad.

- Recomendaciones para eliminar las vulnerabilidades existentes y conseguir un adecuado nivel de seguridad informática.

Para determinar los riesgos que pueden afectar a la empresa se tienen en cuenta factores ambientales, fallos de las instalaciones, fallos humanos, robos, problemas con el Software o Hardware, empleados descontentos, etc.

Para proponer soluciones a adoptar dentro de la empresa se ha tenido en cuenta la situación de la empresa en el mercado, las vulnerabilidades que podrían afectarle y las medidas de seguridad con las que ya cuenta la empresa.

V

ABSTRACT

This project is a result of a complex analysis production made by Arroyo-Fuensaldaña Company, located in Valladolid (Spain), to evaluate the security level of their data bank and informatic processes.

First of all the company has been scrutinized to evaluate its situation on this matter, listing the threats that may affect it, as well as their impact they may produce in case that they occur.

This way determines which are company's vulnerabilities and the measures it should be neccesary to adapt to achieve equip it of a suitable security level to protect its information according to the kind of company, infomratic elements used and actives in risk.

VI

ÍNDICE

INTRODUCCIÓN ............................................................................................................................. 1

1. ANÁLISIS DE LA EMPRESA ......................................................................................................... 3

1.1 Historia ................................................................................................................................ 3

1.2 Actividades .......................................................................................................................... 3

1.3 Sede de la empresa ............................................................................................................. 4

1.4 Balance económico 2007 .................................................................................................... 4

1.5 Personal ............................................................................................................................... 4

1.6 Arquitectura ........................................................................................................................ 5

1.7 Estrategia a seguir ............................................................................................................... 6

2. INVENTARIO HARDWARE .......................................................................................................... 7

2.1 Introducción ........................................................................................................................ 7

2.2 Hardware instalado ............................................................................................................. 7

2.3 Comunicaciones ................................................................................................................ 10

2.4 Seguridad física ................................................................................................................. 12

2.5 Conclusiones...................................................................................................................... 13

3. INVENTARIO SOFTWARE ......................................................................................................... 14

3.1 Introducción ...................................................................................................................... 14

3.2 Software instalado ............................................................................................................ 14

3.3 Seguridad software ........................................................................................................... 17

3.4 Conclusiones...................................................................................................................... 19

4. PLAN DE RECUPERACIÓN EXISTENTE ...................................................................................... 20

4.1 Introducción ...................................................................................................................... 20

4.2 Hardware de recuperación................................................................................................ 20

4.3 Software de recuperación ................................................................................................. 20

VII

4.4 Recursos humanos ............................................................................................................ 20

4.5 Estrategias de respaldo ..................................................................................................... 20

5. ANÁLISIS DE RIESGOS .............................................................................................................. 21

5.1 Introducción ...................................................................................................................... 21

5.2 Identificación de las amenazas.......................................................................................... 22

5.2.1 Desastres naturales .................................................................................................... 23

5.2.1.1 Tormentas y rayos ............................................................................................... 23

5.2.1.2 Terremotos .......................................................................................................... 24

5.2.1.3 Inundaciones ....................................................................................................... 27

5.2.2 Estructurales ............................................................................................................... 29

5.2.2.1 Incendios ............................................................................................................. 29

5.2.2.2 Cortes eléctricos .................................................................................................. 31

5.2.2.3 Agua ..................................................................................................................... 32

5.2.2.4 Refrigeración ....................................................................................................... 32

5.2.2.5 Comunicaciones .................................................................................................. 33

5.2.3 Hardware .................................................................................................................... 34

5.2.3.1 Fallo de servidores .............................................................................................. 34

5.2.3.2 Fallo de estaciones PC ......................................................................................... 34

5.2.3.3 Fallo de portátiles ................................................................................................ 35

5.2.4 Software ..................................................................................................................... 37

5.2.4.1 Errores en los SSOO ............................................................................................. 37

5.2.4.2 Errores en las Bases de Datos ............................................................................. 38

5.2.4.3 Errores en las aplicaciones .................................................................................. 38

5.2.4.4 Errores en los elementos de seguridad ............................................................... 40

5.2.5 Red LAN y WAN .......................................................................................................... 42

5.2.5.1 Red interna .......................................................................................................... 42

5.2.5.2 Sistemas de seguridad de las comunicaciones ................................................... 42

VIII

5.2.5.3 Redes públicas ajenas ......................................................................................... 44

5.2.6 Copias de seguridad ................................................................................................... 46

5.2.6.1 Fallos en soportes de copias de seguridad .......................................................... 46

5.2.7 Información ................................................................................................................ 47

5.2.7.1 Ficheros ............................................................................................................... 47

5.2.7.2 Procedimientos de seguridad de la información ................................................ 48

5.2.7.3 Planes de contingencia ........................................................................................ 48

5.2.8 Personal ...................................................................................................................... 49

5.2.8.1 Errores y ataques de personal interno ................................................................ 49

5.2.8.2 Errores y ataques de personal externo ............................................................... 49

5.2.9 Riesgos contra el patrimonio ..................................................................................... 51

5.2.9.1 Robo .................................................................................................................... 51

5.2.9.2 Pérdida no intencionada de activos .................................................................... 52

5.2.10 Legislación ................................................................................................................ 54

5.2.11 Otros riesgos ............................................................................................................ 55

5.2.11.1 Terrorismo ......................................................................................................... 55

5.2.11.2 Imagen de empresa ........................................................................................... 56

5.2.11.3 Insolvencia de servicios externos ...................................................................... 57

6. ANALISIS DE VULNERABILIDADES ............................................................................................ 59

6.1 Introducción ...................................................................................................................... 59

6.2 Identificación de vulnerabilidades .................................................................................... 59

6.2.1 Vulnerabilidades relacionadas con desastres naturales ............................................ 59

6.2.2 Vulnerabilidades relacionadas con amenazas estructurales ..................................... 60

6.2.3 Vulnerabilidades relacionadas con el Hardware ........................................................ 60

6.2.4 Vulnerabilidades relacionadas con el Software ......................................................... 61

6.2.5 Vulnerabilidades relacionadas con las redes de comunicación ................................. 62

6.2.6 Vulnerabilidades relacionadas con las copias de seguridad ...................................... 62

IX

6.2.7 Vulnerabilidades relacionadas con la información .................................................... 63

6.2.8 Vulnerabilidades relacionadas con el personal .......................................................... 63

6.2.9 Vulnerabilidades relacionadas con el patrimonio ...................................................... 64

6.2.10 Vulnerabilidades relacionadas con la legislación ..................................................... 64

6.2.11 Otras vulnerabilidades ............................................................................................. 64

6.3 Valoración de las vulnerabilidades .................................................................................... 65

7. PLAN DE SEGURIDAD ............................................................................................................... 68

7.1 Introducción ...................................................................................................................... 68

7.2 Plan de seguridad .............................................................................................................. 68

7.2.1 Medidas aplicadas a desastres naturales ................................................................... 69

7.2.2 Medidas aplicadas a problemas estructurales .......................................................... 69

7.2.3 Medidas aplicadas a problemas de Hardware .......................................................... 70

7.2.4 Medidas aplicadas a problemas de Software ............................................................ 71

7.2.5 Medidas aplicadas a problemas de red ..................................................................... 71

7.2.6 Medidas aplicadas a problemas de las copias de seguridad ..................................... 72

7.2.7 Medidas aplicadas a problemas con la información ................................................. 73

7.2.8 Medidas aplicadas a problemas con el personal ....................................................... 74

7.2.9 Medidas aplicadas a problemas con el patrimonio ................................................... 74

7.2.10 Medidas aplicadas a información que debe ser declarada ante la Agencia de

Protección de Datos ............................................................................................................ 75

7.2.11 Medidas aplicadas a problemas provocados por otros riesgos ............................... 76

7.3 Resumen de medidas de seguridad .................................................................................. 77

8. RECOMENDACIONES FINALES ................................................................................................. 80

8.1 Introducción ...................................................................................................................... 80

8.2 Recomendaciones ............................................................................................................. 80

9. PLANIFICACION........................................................................................................................ 81

10. PRESUPUESTO ....................................................................................................................... 86

X

11. CONCLUSIONES ..................................................................................................................... 87

BIBLIOGRAFÍA .............................................................................................................................. 89

ANEXOS ....................................................................................................................................... 90

ANEXO 1. WinAudit ................................................................................................................. 90

ANEXO 2. ISO 17799 ................................................................................................................ 93

ANEXO 3. Diagnóstico de la empresa ...................................................................................... 94

XI

ÍNDICE DE FIGURAS

Figura 1.1: Planta de la oficina………………………………………………………………………………………………….5

Figura 2.1: Equipo 1………………………………………………………………………………………………………………….7

Figura 2.2: Equipo 2………………………………………………………………………………………………………………….8

Figura 2.3: Equipo 3………………………………………………………………………………………………………………….8

Figura 2.4: Impresora 1…………………………………………………………………………………………………………….9

Figura 2.5: Impresora 2…………………………………………………………………………………………………………….9

Figura 2.6: Escáner……………………………………………………………………………………………………………………9

Figura 2.7: Fotocopiadora…………………………………………………………………………………………………………9

Figura 2.8: Teléfono 1…………………………………………………………………………………………………………….10

Figura 2.9: Teléfono 2…………………………………………………………………………………………………………….11

Figura 2.10: Móvil 1…………………………………………………………………………………………………………..……11

Figura 2.11: Móvil 2…………………………………………………………………………………………………………….….11

Figura 2.12: Móvil 3………………………………………………………………………………………………………….…….11

Figura 2.13: Fax………………………………………………………………………………………………………………………11

Figura 2.14: Router…………………………………………………………………………………………………………………12

Figura 2.15: Destructora…………………………………………………………………………………………………………12

Figura 9.1: Paquetes de trabajo……………………………………………………………………….……………………..81

Figura 9.2: Inventario Hardware……………………………………………………………………………………………..82

Figura 9.3: Inventario Software………………………………………………………………………………………………82

Figura 9.4: Plan de recuperación existente…………………………………………………………………………….83

Figura 9.5: Análisis de riesgos…………………………………………………………………………………………………83

Figura 9.6: Planificación………………………………………………………………………………………………………….84

Figura A.1: Pantalla principal WinAudit…………………………………………………………………………………..90

Figura A.2: Pantalla de análisis WinAudit………………………………………………………………………………..91

Figura A.3: Información recolectada WinAudit……………………………………………………………………….92

XII

ÍNDICE DE TABLAS

Tabla 3.1: Terremotos…………………………………………………………………………………………………………….24

Tabla 6.1: Valoración de vulnerabilidades………………………………………………………………………………65

Tabla 7.1: Medidas preventivas………………………………………………………………………………………………77

Tabla 7.2: Medidas correctoras………………………………………………………………………………………………78

Tabla 7.3: Riesgos asumibles…………………………………………………………………………………………………..79

Tabla 10.1: Presupuesto…………………………………………………………………………………………………………86

Tabla A.1: Diagnóstico de la empresa……………………………………………………………………………………..94

1

INTRODUCCIÓN

La información es hoy en día uno de los activos más importantes con los que cuenta cualquier empresa; un activo que no siempre tiene la consideración e importancia necesaria dentro de algunas empresas.

Antiguamente toda la información era almacenada en papel, por lo que toda su seguridad se limitaba a una seguridad física, actualmente existen multitud de dispositivos en los que se puede almacenar la información, por lo tanto la forma de evitar accesos a esa información ha cambiado.

El primer ataque informático considerado como tal ocurrió un viernes 13 de 1989 en el que una revista especializada distribuyo disquetes promocionales, los cuales estaban infectados con un virus que afecto a multitud de empresas y particulares.

Actualmente la naturaleza y la forma de difusión de los ataques ha cambiado; antes los hackers buscaban producir daños en los sistemas por el simple hecho de conseguir un poco de fama, actualmente sólo buscan obtener información y dinero levantando el menor revuelo posible y siempre aprovechando los recursos disponibles en la Web.

Al día se producen más de 6.000 ataques informáticos; las empresas que se llevan la peor parte de estos ataques suelen sufrirlos mediantes troyanos que intentan robar información de los sistemas en los que se instalan. La mayoría de estos ataques (se calcula que en torno al 60%) provienen de la propia organización por parte de algún empleado descontento y que quiere infligir daño a la empresa. [Web 6]

Es necesario hacer ver a las empresas la importancia que tiene la seguridad de su información dentro de sus procesos de negocio puesto que una pérdida de información puede comprometer negocios que en algunos casos podrían llegar a suponer pérdidas millonarias para las empresas.

Las grandes empresas (varias sucursales y mucho personal) suelen ser muy sensibles a aplicar técnicas de seguridad informática en su organización puesto que en general son conscientes del peligro que supone tener su red interna, sus equipos, etc. abiertos al exterior, o a un posible ataque interno. Sin embargo en el caso de empresas pequeñas (pequeñas sucursales y poco personal) la seguridad informática no suele ser un tema de máxima prioridad por lo que pueden llegar a tener problemas de pérdidas de información o de intrusismos en su red.

Por ello es necesario poner énfasis en esas medianas y pequeñas empresas para conseguir hacer ver a sus responsables que los datos de su negocio

2

pueden verse comprometidos intencionada o accidentalmente en cualquier momento y sin que ellos puedan hacer nada para remediarlo si no disponen de un correcto sistema de seguridad y respaldo.

3

1. ANÁLISIS DE LA EMPRESA

1.1 Historia

Arroyo-Fuensaldaña nació el 21 de febrero de 2001 como empresa promotora. Ubicada originalmente en el número 20 de la calle Santiago de Valladolid inicia su actividad realizando una pequeña promoción de 3 viviendas unifamiliares adosadas en la localidad de Fuensaldaña, ubicada a 6 kilómetros de Valladolid.

Tras el éxito de esa primera promoción Arroyo-Fuensaldaña realizó otra promoción en esa misma localidad de 10 viviendas unifamiliares pareadas y planeó la construcción de 100 viviendas en altura también ubicadas en dicha población.

En la misma época en la que se inició la promoción de las 10 viviendas unifamiliares pareadas, Arroyo-Fuensaldaña inició otra actividad relacionada con el sector, como es la gestión de suelo para la construcción de viviendas.

El 16 de junio de 2004 Arroyo-Fuensaldaña trasladó su sede del número 20 al número 13 de la calle Santiago; una sede mucho más grande y más confortable.

La empresa ha llegado a la actualidad dedicándose principalmente a los negocios de suelo para construcción y en los últimos tiempos, sobre todo para intentar salvar la crisis que está afectando al sector, ha comenzado a invertir en el negocio de las obras de arte con la apertura de una galería, que sirve para potenciar a nuevos artistas, en la calle Claudio Moyano número 5 de Valladolid.

1.2 Actividades

Arroyo-Fuensaldaña nació como una empresa promotora de viviendas principalmente en la localidad de Fuensaldaña, con la experiencia y los buenos resultados de las promociones los administradores de la empresa decidieron cambiar la principal actividad de la misma para dedicarse principalmente al negocio del suelo para construcción.

En el último año, la empresa ha decidido introducirse también en el negocio del arte con la apertura de una galería para exposición de pintura y escultura.

4

1.3 Sede de la empresa

La empresa se localiza en el 2º G del número 13 de la calle Santiago en Valladolid. Ésta es la única sede con la que cuenta la empresa.

1.4 Balance económico 2007

Gracias a los negocios que mantiene la empresa, y a pesar de la crisis que está viviendo el sector, Arroyo-Fuensaldaña consiguió una facturación en el año 2007 de 9’87 M€.

1.5 Personal

La empresa cuenta con pocos empleados, únicamente dos personas trabajan en ella a diario.

A pesar del escaso personal con el que cuenta es una de las empresas importantes en el sector en la zona de Valladolid (Castilla y León).

5

1.6 Arquitectura

Al tratarse de una empresa pequeña (con pocos empleados) y contar únicamente con una sede, su arquitectura de red no es muy complicada pues tiene pocos puestos de trabajo.

Figura 1.1: Planta de la oficina

La empresa cuenta únicamente con tres estaciones de trabajo, dos fijas situadas cada una en uno de los despachos y una móvil que suele estar en la sala de reuniones.

La empresa cuenta con conexión exterior a Internet mediante banda ancha, pero no dispone de una arquitectura de red local.

En la figura se puede ver la ubicación de los elementos físicos que componen la empresa.

6

1.7 Estrategia a seguir

Para conseguir dotar a la empresa de un nivel de seguridad de su información aceptable se van a seguir los siguientes pasos:

- Obtención de una fotografía del estado actual de la seguridad de la información dentro de la empresa, poniendo especial atención a la información más delicada para el negocio.

- Evaluación de material Hardware y Software con que cuenta la empresa para proteger la información de su negocio.

- Evaluación de los riesgos que pueden afectar a la empresa. Midiendo en qué grado pueden afectar cada uno de esos riesgos, cuál sería su impacto, que probabilidades reales existen de que ese riesgo se materialice y cómo evitar que el riesgo llegue a producirse o cómo minimizar su impacto.

- Elaboración de recomendaciones de cara a mantener la seguridad de la información dentro de la empresa.

7

2. INVENTARIO HARDWARE

2.1 Introducción

A continuación se va a detallar todo el Hardware del que dispone la empresa para llevar a cabo sus procesos informáticos.

En este apartado se va a realizar un inventario de todo el Hardware instalado, poniendo especial atención en si existe Hardware específico dedicado a Backup o elementos de seguridad similares.

También se realizará un inventario de las comunicaciones existentes, tanto con el exterior como dentro de la misma oficina así como los elementos de seguridad física existentes dentro de la oficina tales como alarmas, cerraduras, etc.

2.2 Hardware instalado

Para realizar el inventario del Hardware instalado de forma adecuada se ha usado el programa WinAudit [Web 2] con el que se puede realizar una auditoría completa de los equipos informáticos.

- Equipo 1. Ordenador en torre.

Procesador: Intel(R) Pentium(R) 4 CPU 3.00GHz, 2998MHz.

Placa base: ASUSTeK Computer Inc.

Memoria SDRAM: 512 MB.

Memoria caché L1: 16 KB.

Memoria caché L2: 2.048 KB.

Disco duro: Maxtor 6V160E0 de 149 GB.

Unidades DVD: BENQ DVDDD DW1640. Figura 2.1: Equipo 1

HL-DT-ST DVD-ROM G0R8164B.

Tarjetas de red: Intel PRO/1000 MT Network Connection.

Linksys Wireless-B usb Network Adapter v2.8.

Monitor: LG Flatron L1717S.

8

- Equipo 2. Ordenador en torre.

Procesador: Intel(R) Pentium(R) 4 CPU 1.80GHz, 1793MHz.

Placa base: Quntumn Designs Limited.

Memoria DRAM: 256 MB.



Disco duro: ST360020A de 55,9 GB.

Unidades DVD: LG DVD-ROM DRD8160B. Figura 2.2: Equipo 2

Unidades CD: HL-DT-ST CD-RW GCE-8400B.

Tarjetas de red: NIC Fast Ethernet PCI Familia RTL8139 de Realtek.

Monitor: LG Studioworks 700S.

- Equipo 3. Ordenador portátil.

Procesador: Intel(R) Pentium(R) M processor 1.73GHz, 1728MHz.

Placa base: HTW00 de Toshiba.

Memoria SDRAM: 1022MB.


Memoria caché L2: 2.048 KB.

Disco duro: TOSHIBA MK6034GSX de 55.9GB.

Unidades DVD: Pioneer DVD-RW DVR-K165. Figura 2.3: Equipo 3

Tarjetas de red: Realtek RTL8139/810x Family Fast Ethernet NIC.

Intel(R) PRO/Wireless 2915ABG Network Connection.

Bluetooth Personal Area Network from Toshiba.

9

- Impresoras

HP Deskjet 5657.

Figura 2.4: Impresora 1

HP Laserjet 1160.

Figura 2.5: Impresora 2

- Escáner

Color page-Vivid III v2 de Genius.

Figura 2.6: Escáner

- Fotocopiadora

Gestenter 1802d de Aticio.

Figura 2.7: Fotocopiadora

10

2.3 Comunicaciones

A continuación se van a detallar los distintos tipos de comunicaciones de los que dispone la empresa, tanto dentro de los equipos informáticos como teléfonos, etc.

- Equipo 1

Dispone de dos tarjetas de red:

o Intel PRO/1000 MT Network Connection.

o Linksys Wireless-B usb Network Adapter v2.8.

- Equipo 2

Dispone de una única tarjeta de red:

o NIC Fast Ethernet PCI Familia RTL8139 de Realtek.

- Equipo 3

Dispone de tres tarjetas de red:

o Realtek RTL8139/810x Family Fast Ethernet NIC.

o Intel(R) PRO/Wireless 2915ABG Network Connection.

o Bluetooth Personal Area Network from Toshiba.

- Teléfonos

En la oficina se dispone de varios terminales fijos así como varios móviles.

o Teléfono fijo Siemens euroset 2015 (2 unidades).

Figura 2.8: Teléfono 1

11

o Teléfono fijo inalámbrico Telcom SPC-Solac.

Figura 2.9: Teléfono 2

o Teléfono móvil Nokia 6230. [Web 5]

Figura 2.10: Móvil 1

o Teléfono móvil Nokia 6220 (2 unidades). [Web 5]


o Teléfono móvil-pda Htc p3300. [Web 9]


- Fax

o Brother FAX-T74.

Figura 2.13: Fax

12

- Router

o Zyxel proporcionado por Telefónica.

Figura 2.14: Router

- Conexión a Internet [Web 11]

o Conexión ADSL de 3 MB contratada con Telefónica.

2.4 Seguridad física

En este apartado se van a detallar los elementos de seguridad física con los que cuenta la oficina para hacer frente a posibles accesos no deseados a sus equipos o a información confidencial de su negocio.

- Destructora de documentos ABC Shredmaster. Todos los documentos que se tiran a la basura han de ser pasados primeramente por la destructora de documentos. Figura 2.15: Destructora

Alarma SERURMAP de MAPFRE seguridad. La oficina cuenta con 7 detectores de alarma:

o 1 en cada una de las 5 habitaciones.

o 1 en el pasillo.

o 1 en la entrada.

- Puerta de acceso blindada de seguridad.

- Todos los despachos donde hay equipamiento informático y documentación crítica cuentan con cerradura.

- La oficina también cuenta con máquinas de aire acondicionado en cada una de las salas donde hay instalado un equipo.

13

2.5 Conclusiones

La empresa cuenta con un equipamiento informático tal vez un poco obsoleto para el tipo de equipos que existen hoy en día. Los equipos están escasos, sobre todo, en memoria RAM.

Las medidas de seguridad físicas son correctas puesto que son adecuadas para evitar el acceso a personal ajeno a la empresa al equipamiento y documentación de la misma.

Tal vez un punto débil es el Router de conexión a Internet pues ese modelo es un poco anticuado y puede ser vulnerable a ataques externos.

14

3. INVENTARIO SOFTWARE

3.1 Introducción

A continuación se van a detallar todos los elementos Software de los que está provista la empresa, poniendo especial atención en aquellos que están destinados específicamente a la seguridad de los datos almacenados dentro de la empresa.

También se intentará especificar el nivel de protección Software con que cuenta la empresa para poder analizar posteriormente los riesgos a los cuales puede estar expuesta.

3.2 Software instalado

Para realizar el inventario de del Software instalado de forma adecuada se ha usado el programa WinAudit con el que se puede realizar una auditoría completa de los equipos informáticos.

- Equipo 1

El equipo 1 cuenta con el siguiente Software instalado:

o Sistema Operativo Windows XP Home Edition con Service pack 2

o Acrobat Reader 7.0

o Adobe Photoshop Album Startes Edition 3.0

o ATI catayst control center

o Avast! Antivirus [Web 3]

o Barra Yahoo

o Google toolbar para Internet Explorer

o Java SE runtime enviroment 6

o Macromedia Flash player 8

o Macromedia Shockwave player

o Microsoft .NET Framework 1.1

o Microsoft Office Professional Edition 2003

o Mozilla Firefox

15

o Nero 6 ultra edition

o Omni Mouse driver 4.0

o Power DVD

o Software de conexiones de red Intel(R) PRO v9.2.4.9

o Windows installer 3.1

o Windows media 11

- Equipo 2


o Sistema Operativo Windows XP Home Edition con Service pack 2

o AD-Aware SE Professional

o Acrobat Reader 5.0

o Adobe Flash player activex

o Boleto de condicionadas (Software que realiza Quinielas)

o Google toolbar para Internet Explorer

o HP Laserjet 116/1320 series

o HP print scren utility

o IVA 2002 (Programa de la Agencia Tributaria)

o IVA 2003 (Programa de la Agencia Tributaria)

o J2SE Runtime enviroment 5.0

o Java 6

o Modelo 180. De los años 2002, 2003, 2004 (Programa de la Agencia Tributaria)

o Modelo 190. De los años 2002, 2003, 2004, 2005 (Programa de la Agencia Tributaria)

o Modelo 347. De los años 2002, 2003, 2004, 2005 (Programa de la Agencia Tributaria)

o Nero burning room

16

o McAfee security center

o McAfee VirusScan Professional

o Microsoft Office 2000 Premium

o Olympus Camedia master 4.1

o Power DVD

o Quick Time

o Windows media 11

o Sociedades. De los años 2002, 2003, 2004, 2005, 2006 (Programa de la Agencia Tributaria)

o Sociedades. En sus versiones 5.1, 5.2, 6.0, 6.1, 6.2, 7.0 (Programa de la Agencia Tributaria)

- Equipo 3


o Sistema Operativo Windows XP Professional Service pack 2

o AD-Aware SE Personal

o Adobe Photoshop CS

o Acorbat Reader 8.1

o Autocad 2006

o Autocad 2007

o Avg antivirus 7.5

o Avg antispyware 7.5

o Compresor WinRar

o Compresor WinZip

o Canon utilities PhotoStich 3.1

o Divx player

o Google earth

o Google talk

17

o WinDVD 4

o iTunes

o J2SE Runtime Environment 5.0

o Macromedia Studio MX

o Microsoft Office 2003 Professional

o Microsoft Office 2007 Enterprise

o Mozilla Firefox

o Nero 7

o Panel de control ATI

o PDF Creator

o Quick time

o Skipe

3.3 Seguridad software

A continuación se va a detallar la seguridad Software con la que cuentan los equipos.

- Equipo 1

Este equipo cuenta con la versión 4.7 del antivirus avast [Web 3]. Este antivirus dispone adicionalmente de antispyware y antirootkit y proporciona una seguridad adecuada para el equipo.

Actualmente el antivirus de este equipo no se encuentra correctamente actualizado por lo que puede ser una amenaza para la seguridad del equipo.

El equipo está protegido por el Firewall de Windows.

El equipo está conectado a la red de la empresa mediante una conexión inalámbrica y configurada de forma que se le otorga la dirección IP automáticamente.

18

- Equipo 2

Este equipo cuenta con la protección del sistema McAfee Virus Scan Professional [Web 4] el cual cuenta con, además del antivirus, antispyware y antiHacker. Proporciona una seguridad adecuada al equipo aunque al igual que en el caso del equipo 1 el antivirus no se encuentra correctamente actualizado.

Este equipo también cuenta con la protección del antispyware AD-Aware SE Professional el cual sí se encuentra correctamente actualizado.

El equipo está protegido por el Firewall de Windows.

El equipo está conectado a la red mediante un cable RJ45 directamente conectado con el Router de salida a Internet y configurado de forma que el Router le asigna automáticamente la dirección IP.

- Equipo 3

El equipo 3 cuenta con la protección del antivirus Avg en su versión 7.5. Al contrario que en el caso de los equipos actuales este antivirus está instalado en su versión gratuita y se encuentra correctamente actualizado.

También cuenta con el antispyware de Avg también en su versión 7.5. Así mismo cuenta con la protección del AD-Aware SE Personal. Ambos antispyware se encuentran correctamente actualizados.

El equipo se conecta a la red de la empresa mediante la conexión inalámbrica y está configurado para recibir automáticamente la dirección IP del Router cada vez que se conecte a la red.

- Router

El Router ha sido proporcionado por la compañía distribuidora de la línea ADSL y su configuración es:

o Servidor DHCP activado de forma que cada vez que un equipo es conectado a la red se le concede una dirección IP privada dentro del rango que tiene determinado.

o Para la conexión inalámbrica dispone de clave de acceso WEP.

o No dispone de ninguna política de encriptación de los datos.

19

3.4 Conclusiones

Los equipos de la empresa no están excesivamente cargados de Software pero se aprecia un grave problema en la seguridad Software.

Se dispone de antivirus pero éstos no están correctamente actualizados lo que puede ser un grave problema de seguridad.

El Firewall usado en todos los equipos es el que trae por defecto el Sistema Operativo Windows y aunque no sea un mal Software puede no ser el más indicado para un entorno empresarial.

Dos de los tres equipos tienen instalada la versión Home edition del Sistema Operativo Windows XP; puede ser mucho más útil disponer de la versión Professional debido a sus características para conexiones en red.

El Router de acceso a la red está correctamente configurado en el sentido de que dispone de una clave WEP para las conexiones inalámbricas pero sería deseable algún método de encriptación de la información o que el Router no asignara las direcciones IP automáticamente.

También se puede observar que todo el Software, y por lo tanto la información, para la realización de las declaraciones a la Agencia Tributaria se encuentra en un único equipo lo cual no es muy recomendable debido a que si ese equipo falla se perderá toda la información relacionada con las últimas declaraciones de Hacienda, las cuales deben ser guardadas durante un periodo estipulado.

20

4. PLAN DE RECUPERACIÓN EXISTENTE

4.1 Introducción

En este apartado se determinará si la empresa cuenta con un plan de recuperación adecuado en caso de producirse una pérdida accidental o intencionada de los datos, especialmente los que puedan considerarse críticos para su negocio.

4.2 Hardware de recuperación

Dentro de la empresa no disponen de Hardware específico de recuperación para casos de pérdidas de equipamiento informático o pérdidas de información accidental o intencionada.

4.3 Software de recuperación

Como en el caso del apartado anterior, dentro de la empresa no existe ningún Software específicamente dedicado a la recuperación de información perdida.

4.4 Recursos humanos

Dentro de la empresa no existe un responsable informático ni de seguridad que controle las políticas a seguir para realizar copias de respaldo de la información o en caso de pérdida de información para recuperarla.

Cuando surge algún problema relacionado con el equipamiento informático, desde la empresa se contacta con el proveedor que suministró los equipos para que revise los posibles problemas.

4.5 Estrategias de respaldo

Dentro de la empresa no existe ningún tipo de estrategias de respaldo para evitar pérdidas importantes de información. Es un fallo muy importante de seguridad pues ni siquiera se tienen copias de los archivos distribuidas en los diferentes equipos con los que se cuenta por lo que un fallo en alguno de los equipos podría resultar catastrófico pues se podría perder información valiosa y que no fuera posible su recuperación.

21

5. ANÁLISIS DE RIESGOS

5.1 Introducción

En este apartado se va a realizar un análisis de riesgos completo de todo el sistema informático de la empresa para ver las posibles amenazas que pueden afectar a la empresa, las vulnerabilidades de ésta con respecto a las amenazas y el impacto que estas amenazas pudieran tener en la empresa en el caso de llegar a materializarse.

En este apartado se van a tratar los siguientes temas:

Activo: Algo de valor al que afecta una amenaza.

Actor: Quién o qué puede violar los requisitos de seguridad.

Amenaza: Actor cuya intrusión en el sistema puede provocar una violación de los requisitos de seguridad de un activo (pérdida de confidencialidad, pérdida de disponibilidad, destrucción, pérdida de integridad,…). El motivo por que se produce una amenaza puede ser accidental (por ejemplo un desastre natural) o intencionado (por ejemplo una acción humana).

Impacto: Efecto que producirá una amenaza en el sistema si ésta llega a hacerse realidad.

Vulnerabilidad: Debilidad del sistema, la cual propicia que una amenaza se pueda hacer realidad.

Riesgo: Posibilidad de que una amenaza se materialice debido a una vulnerabilidad del sistema sin corregir.

22

5.2 Identificación de las amenazas

Las amenazas se van a clasificar en función de la importancia que pueden tener a la hora de afectar a la empresa en el caso de que ocurran.

Se van a clasificar las amenazas en tres niveles:

- Importancia Alta: Tendrían una repercusión muy alta dentro de la empresa en el caso de producirse; son las amenazas que se deberán evitarse a toda costa. Serán identificadas con una A.

- Importancia Media: Tendrían una repercusión importante aunque no muy crítica dentro de la empresa en el caso de producirse; aunque no resultan tan críticas como las clasificadas en Alta es conveniente tratar de evitar que ocurran. Serán identificadas con una M.

- Importancia Baja: No tienen una repercusión muy importante dentro del sistema y de la empresa. Es recomendable que no se produzcan pero tampoco sería necesario establecer medidas concretas para evitar este tipo de amenazas. Serán identificadas con una B.

Cada amenaza va a ser clasificada en 5 niveles de gravedad:

- Muy alta: Las pérdidas para la empresa son importantísimas e irreparables.

- Alta: Las pérdidas para la empresa son muy importantes pero pueden tener un remedio a medio-largo plazo.

- Media: Las pérdidas son importantes pero tienen una solución en corto plazo.

- Baja: Se producen pérdidas mínimas sin gran impacto dentro de la organización.

- Muy baja: No se producen pérdidas o éstas son insignificantes y no afectan en prácticamente ningún grado a la organización.

23

5.2.1 Desastres naturales

Acciones climatológicas y por lo tanto incontrolables que pueden afectar al sistema.

5.2.1.1 Tormentas y rayos

Una tormenta es una perturbación atmosférica violenta acompañada de aparato eléctrico y viento fuerte, lluvia, nieve o granizo. [Web 1]

Un rayo es una chispa eléctrica de gran intensidad producida por descarga entre dos nubes o entre una nube y la tierra [Web 1]

Las tormentas con alto contenido eléctrico pueden provocar picos de tensión lo que puede provocar pérdidas de datos o daños irreparables en el equipamiento eléctrico.

Impacto dentro de la empresa

En la zona geográfica donde se ubica la empresa son comunes las tormentas en primavera y verano pero las tormentas eléctricas se producen en contadas ocasiones. Por lo tanto es una amenaza que tendrá un impacto bajo en la empresa y se podría englobar dentro de las amenazas de tipo B.

Impacto de la amenaza según su nivel:

Tipo A: Se daría en el caso de que impactara un rayo directamente en el edificio donde se encuentra la empresa. Esto podría provocar un daño estructural en el edificio, daños severos en el Hardware de la empresa y ocasionalmente incendios.

La gravedad de la amenaza sería muy alta, pero la probabilidad de que se llegue a materializar es baja.

Tipo M: Se daría en el caso en que la tormenta afectara directamente al suministrador de servicios de la empresa, como por ejemplo el suministrador de energía eléctrica, y que puede afectar al funcionamiento normal de la empresa así como al funcionamiento de los equipos informáticos de ésta si los problemas de la empresa suministradora son graves y los cortes del servicio se prolongan demasiado en el tiempo.

La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es baja pues las empresas de servicios suelen estar muy bien protegidas contra ese tipo de amenazas.

24

Tipo B: Se daría en el caso de cortes de electricidad de corta duración por problemas de la instalación eléctrica del edificio debidos a la tormenta o por problemas de las líneas de la empresa suministradora.

La gravedad de esta amenaza puede considerarse como media/baja y la probabilidad de que ocurra es media pues es frecuente que puedan producirse cortes intermitentes de luz durante una tormenta.

Medidas preventivas contra los impactos dentro de la empresa

- Instalación en el edificio de elementos de protección contra las tormentas como por ejemplo pararrayos.

- Dispositivos de protección de las líneas eléctricas contra sobrecargas.

- Aplicación de medidas contra incendios.

- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) que garanticen que los equipos no sufrirán un corte brusco de energía y que realizarán un apagado ordenado.

- Políticas de Backup localizado fuera del edificio de la empresa.

5.2.1.2 Terremotos

Un terremoto es una sacudida del terreno ocasionada por el choque de las placas tectónicas localizadas en la litosfera terrestre. [Web 1]

Los terremotos se miden según la escala de magnitud local o de Richter la cual mide la intensidad de un terremoto según una escala que va desde -1,5 hasta 12.

Magnitud de Richter Referencia

-1,5 Rotura de una roca en un laboratorio

1,0 Pequeña explosión en un sitio en construcción

1,5 Bomba convencional de la Segunda Guerra

Mundial

2,0 Explosión de un taque de gas

25

2,5 Bombardeo a la ciudad de Londres

3,0 Explosión de una planta de gas

3,5 Explosión de una mina

4,0 Bomba atómica de baja potencia

4,5 Tornado promedio

5,0 Terremoto de Albolote, Granada (España). 1956

5,5 Terremoto de Little Skull Mountain, Nevada

(EEUU). 1992

6,0 Terremoto de Double Spring Flat, Nevada

(EEUU). 1994

6,5 Terremoto de Nortbridge, California

(EEUU). 1994

7,0 Terremoto de Hyogo-Ken Nambu, Japon. 1995

7,5 Terremoto de Landers, California (EEUU). 1992

8,0 Terremoto de México. 1985

8,5 Terremoto de Anchorage, Alaska

(EEUU). 1964

9,2 Terremoto del Océano Indico. 2004

9,6 Terremoto de Valdivia, Chile. 1960

10,0 Estimado para el

26

choque de un meteorito de 2 km de diámetro a

25 km/s

12,0 Fractura de la tierra por el centro

Tabla 3.1: Terremotos

Un terremoto de alta graduación en la escala de Richter puede producir derrumbamientos de edificios así como cortes de electricidad o rotura de material debido a caídas o golpes.


La zona donde se localiza la empresa es sísmicamente estable registrándose movimientos sísmicos puntuales de poca intensidad. Por lo tanto es una amenaza que tendrá un impacto bajo en la empresa y se podría englobar dentro de las amenazas de tipo B.


Tipo A: Se daría en el caso de un seísmo de intensidad superior a 6 en la escala de magnitud local y puede afectar a la estructura del edificio provocando incluso su derrumbe en casos extremos o incendios. Puede provocar graves daños en los equipos informáticos debidos a roturas y fuertes golpes.

La gravedad de la amenaza sería muy alta, aunque la probabilidad de que se llegue a materializar es muy baja.

Tipo M: Se daría en el caso de un seísmo de intensidad igual a 5 o inferior. Los daños serían inferiores a los producidos en el tipo A.

La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es muy baja.

Tipo B: Seísmo inferior que puede ocasionar desalojos en los edificios y que produciría una pérdida mínima de tiempo de trabajo.

La gravedad de esta amenaza puede considerarse como baja/muy baja y la probabilidad de que ocurra es baja pues es en la zona no se dan terremotos lo suficientemente intensos como para propiciar un desalojo de edificios.

Medidas preventivas contra los terremotos dentro de la empresa

La única medida posible para evitar los daños producidos por un terremoto es la construcción de edificios con medidas antisísmicas.

27

5.2.1.3 Inundaciones

Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o edificios. [Web 1]

Una inundación puede ser producida por un exceso de lluvias, desbordamiento de ríos, rotura de presas, rotura de cañerías, exceso de humedad…

Una inundación en la zona donde se encuentren los equipos informáticos puede producir daños materiales en los equipos.


La zona donde se localiza la empresa no es propicia a que se produzcan lluvias torrenciales y tampoco existe ninguna presa cerca.

Sí existe cerca del edificio donde se ubica la empresa un río y aunque se han producido desbordamientos existen pocas posibilidades de que llegue a desbordarse y que en tal caso que el agua llegue a las dependencias de la empresa.

Sí podrían producirse inundaciones en la empresa debido a rotura de tuberías o humedades excesivas que pueden dañar los equipos informáticos y producir pérdida de datos e información crítica para la empresa.


Tipo A: Grave inundación, que anegaría todo el edificio y que afectaría a los equipos de forma que se podrían perder datos críticos y se suspendería la actividad de la empresa por un tiempo indefinido.

La gravedad de la amenaza sería muy alta, aunque la probabilidad de que se llegue a materializar es media/baja.

Tipo M: Inundación de una zona donde se encuentre equipamiento informático con datos críticos para el funcionamiento de la empresa y que produciría una pérdida parcial de información o de horas de trabajo.

La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es media/baja.

Tipo B: Pequeñas inundaciones debidas a roturas de tuberías o filtraciones de agua debido a humedades en las paredes y que pueden dañar algún equipo.

La gravedad de esta amenaza puede considerarse como media/alta y la probabilidad de que ocurra es alta pues es relativamente fácil que ocurra algún un problema en una tubería.

28

Medidas preventivas contra inundaciones dentro de la empresa

- Detectores y alarmas de humedad.

- Desagües en perfecto estado.

- Dispositivos de drenaje en falso techo o falso suelo.

29

5.2.2 Estructurales

Amenazas debidas a fallos en los elementos del edificio tales como cableado eléctrico, conductos del aire acondicionado, elementos de comunicación… [Web 1]

Pueden ser controlados y evitados.

5.2.2.1 Incendios

Fuego no controlado que puede ser extremadamente peligroso para los seres vivos y las estructuras, produciendo además gases tóxicos.

Las causas de un incendio pueden ser diversas:

- Existencia de una fuente de ignición cercana a un material inflamable.

- Problemas en cuadros eléctricos.

- Cortocircuitos.

- Etc.

Un incendio puede dañar gravemente el equipamiento informático de la empresa, pudiendo dejarlo completamente inservible, así como la documentación existente en formato papel.


Un incendio que afecte a la empresa puede deberse a causas naturales, accidentales o ser premeditado para infligir daño.


Tipo A: Gran incendio que afecte a todo el edificio donde está ubicada la empresa. Un incendio de estas características podría dejar inutilizadas completamente todas las instalaciones de la empresa así como destruir todo el equipamiento informático y la información vital de ésta que se encuentre en cualquier tipo de soporte, lo que podría producir la paralización total de la actividad de la empresa por un periodo de tiempo muy largo si no se dispone de una copia de Backup convenientemente actualizada y que no se localizara en las instalaciones que han sido afectadas por el fuego.

La gravedad de la amenaza sería muy alta, aunque la probabilidad de que se llegue a materializar es media/alta debido a que si se produce un incendio de estas características debido a un descuido o de una forma intencionada puede resultar muy difícil para los equipos de extinción conseguir controlar un fuego tan grande y evitar que no se produzcan daños graves en el edificio.

30

Tipo M: Incendio en una parte localizada del edificio que aunque no afecte directamente a la empresa y a su equipamiento puede dificultar las labores normales de trabajo dentro de la empresa durante un periodo de tiempo medio (entre 3 y 6 meses).

La gravedad de la amenaza puede considerarse como media/alta, y la probabilidad de que se produzca es media/alta aunque en este caso los equipos de extinción tendrán mucho más fácil la labor de extinguir rápidamente el fuego.

Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos concretos. En el caso de disponer de copias de seguridad de esos equipos la puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos puede ser inmediata.

La gravedad de esta amenaza puede considerarse como media/alta porque en el caso de que no se disponga de una copia de seguridad de los equipos afectados se puede perder información valiosa. La probabilidad de que ocurra es alta, pues es relativamente fácil que se produzca un cortocircuito que provoque un fuego aunque como es centralizado sería de fácil y rápida extinción.

Medidas preventivas contra incendios dentro de la empresa

- Detectores y alarmas de humos.

- Dispositivos automáticos de extinción de incendios.

- Revisiones periódicas de toda la instalación eléctrica.

- Revisiones de todas las obras y trabajos que se realicen en el entorno de la empresa para evitar posibles accidentes debido al manejo de materiales inflamables.

- Disponer de extintores repartidos por toda la empresa, especialmente cerca de los equipos informáticos.

31

5.2.2.2 Cortes eléctricos

Corte temporal del suministro de energía eléctrica por parte de la compañía suministradora. El corte puede ser de corta duración o puede llegar a ser de varios días. [Web 1]

Un corte en la energía de alimentación de los equipos de la empresa puede llegar a provocar daños irreparables en algunos equipos.


Las causas para que la compañía eléctrica corte el suministro eléctrico pueden ser naturales o provocadas.


Tipo A: Corte eléctrico que se prolongue varios días. Afectará gravemente al desarrollo normal de las actividades de la empresa durante un largo periodo de tiempo.

La gravedad de la amenaza sería alta, aunque la probabilidad de que se llegue a materializar es baja.

Tipo M: Corte eléctrico de menor duración que el de tipo A y que afectará al desarrollo de las actividades de la empresa por un tiempo no superior a un mes.

La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja.

Tipo B: Corte eléctrico de poca duración y que afectará al desarrollo de las actividades de la empresa por 24 horas o menos.

La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media pues es relativamente fácil que se produzca un pequeño corte en el suministro eléctrico debido, por ejemplo a una sobrecarga en la red del suministrador.

Medidas preventivas contra cortes eléctricos dentro de la empresa

- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) que garanticen que los equipos no sufrirán un corte brusco de energía y que realizarán un apagado ordenado.

32

5.2.2.3 Agua

Corte temporal del suministro de agua por parte de la compañía suministradora. El corte puede ser de corta duración o incluso de varios días.


En el caso de esta empresa ninguno de los equipos tiene instalada ningún tipo de refrigeración mediante conductos de agua por lo que un corte en el suministro de agua de la empresa no afectará en ninguna medida al equipamiento informático de la misma.

Medidas preventivas contra cortes de agua dentro de la empresa

Puesto que el corte del suministro de agua no afecta en ningún modo al equipamiento informático no será necesaria la implantación de ningún tipo de medidas preventivas.

5.2.2.4 Refrigeración

Fallos en el normal funcionamiento de la maquinaria de climatización que existe dentro de la empresa.

Los fallos pueden ser debido a cortes en el suministro eléctrico, fugas en los aparatos de climatización, etc.

El equipamiento informático de la empresa no está funcionando a ritmo completo las 24 horas del día por lo que no necesita unas condiciones especiales en lo que se refiere a la temperatura ambiente.


Los equipos informáticos sólo deben estar en funcionamiento durante el horario de trabajo, por lo que, incluso con temperaturas excesivamente elevadas debidas a un fallo en el sistema de refrigeración, el correcto funcionamiento de los equipos no se vería afectado, no es crítico que un determinado puesto de trabajo deba ser desconectado durante un tiempo para conseguir disminuir su temperatura y evitar fallos de Hardware.

Medidas preventivas contra cortes en la refrigeración dentro de la empresa

- Aunque no es necesario se podrían instalar en los equipos elementos de ventilación más potentes para conseguir una mejora en su refrigeración.

33

5.2.2.5 Comunicaciones

Corte temporal en los sistemas de comunicación de la empresa debido a un problema externo (puede deberse a un fallo de la compañía telefónica suministradora). El corte puede ser de corta duración (un día) o más extenso (varios días).

Las causas para que se produzca un fallo en las comunicaciones por problemas de la compañía telefónica puede deberse a factores naturales o a factores humanos.


Un fallo en el sistema de comunicaciones puede producir un grave trastorno a la empresa, pues depende en gran medida de éstas para desarrollar su negocio.

Debido a la naturaleza de la empresa puede no ser tan crítico un fallo en las comunicaciones de los equipos informáticos como en las comunicaciones de voz.


Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo.

Hasta el momento, en lo que lleva constituida la empresa (constituida en febrero 2001), no se han producido este tipo de cortes, por lo que se supone que no llegarán a producirse.

Tipo M: Corte en las comunicaciones durante varios días lo que puede retrasar y complicar ligeramente las actuaciones de la empresa.


Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o micro cortes durante un periodo corto de tiempo.

La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es también baja.

Medidas preventivas contra cortes en las comunicaciones dentro de la

empresa

- Contratación de varias líneas con suministradores diferentes.

- Separación de líneas de datos y líneas de voz para que no se pierda el servicio de las dos al mismo tiempo.

34

5.2.3 Hardware

Amenazas debidas a problemas en el equipamiento físico de la empresa. Pueden ser controladas.

5.2.3.1 Fallo de servidores

Fallo temporal en alguno o todos de los servidores de la empresa.

El fallo puede deberse a un corte de la corriente eléctrica de los servidores, un fallo humano de la gestión de los mismos, errores en el Hardware o en el Software, etc.


La empresa no dispone de servidores puesto que cuenta únicamente con estaciones de trabajo por lo que esta amenaza no requiere ser tenida en cuenta.

Medidas preventivas contra fallos en los servidores de la empresa

Ninguna.

5.2.3.2 Fallo de estaciones PC

Fallo temporal en alguna o todas las estaciones de trabajo de que dispone la empresa.

El fallo puede deberse a un corte de la corriente eléctrica de los equipos, un fallo humano de la gestión de los mismos, errores en el Hardware o en el Software, etc.


Fallos y pérdidas de servicio en los equipos de trabajo pueden afectar al trabajo normal de la empresa pudiéndose perder datos vitales para el correcto funcionamiento del negocio.

Un fallo en los equipos de trabajo puede ocasionar pérdidas de horas de trabajo o algo mucho más grave, pérdidas de información crítica para el correcto funcionamiento de la empresa.


Tipo A: Fallo en todos los equipos de trabajo de la empresa durante un periodo de tiempo superior a una semana o pérdida de información almacenada en esos equipos.

35

La gravedad de la amenaza puede considerarse como muy alta porque perjudicará gravemente el negocio de la empresa, aunque la probabilidad de que se produzca es baja.

Tipo M: Fallo en alguno de los equipos durante un tiempo inferior a una semana, sin pérdida de ningún tipo de información crítica para la empresa.


Tipo B: Fallo en algún equipo durante un tiempo inferior a 24 horas o pequeños fallos durante ese tiempo sin darse pérdida de información.

La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja.

Medidas preventivas contra fallos en los equipos de la empresa

- Tener un sistema de Backup convenientemente actualizado para prevenir la pérdida de información crítica.

- Tener contratado un buen sistema de servicio técnico que sea rápido a la hora de reparar posibles fallos en los equipos del sistema.

- Dispositivos SAI (Sistemas de Alimentación Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energía repentinos.

5.2.3.3 Fallo de portátiles

Fallo temporal en alguna o todas las estaciones de trabajo portátiles de que dispone la empresa.

El fallo puede deberse a un corte de la corriente eléctrica de los equipos, un fallo humano de la gestión de los mismos, errores en el Hardware o en el Software, etc.


Fallos y pérdidas de servicio en los equipos de trabajo portátiles pueden afectar al trabajo normal de la empresa pudiéndose perder datos vitales para el correcto funcionamiento del negocio.

Un fallo en los equipos de trabajo portátiles puede ocasionar pérdidas de horas de trabajo o algo mucho más grave, pérdidas de información crítica para el correcto funcionamiento de la empresa.

36


Tipo A: Fallo en todos los equipos de trabajo portátiles de la empresa durante un periodo de tiempo superior a una semana o pérdida de información almacenada en esos equipos.

La gravedad de la amenaza puede considerarse como muy alta porque perjudicará gravemente el negocio de la empresa aunque la probabilidad de que se produzca es baja.

Tipo M: Fallo en alguno de los equipos portátiles durante un tiempo inferior a una semana pero no se da pérdida de ningún tipo de información crítica para la empresa.


Tipo B: Fallo en algún equipo portátil durante un tiempo inferior a 24 horas o pequeños fallos durante ese tiempo sin darse pérdida de información.

La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja.

Medidas preventivas contra fallos en los equipos portátiles de la empresa

- Tener un sistema de Backup convenientemente actualizado para prevenir la pérdida de información crítica.

- Tener contratado un buen sistema de servicio técnico rápido y eficaz a la hora de reparar posibles fallos en los equipos del sistema.


37

5.2.4 Software

Fallos debidos a amenazas que pueden afectar al Software que emplea la empresa para desarrollar su actividad de negocio. Pueden ser evitados.

5.2.4.1 Errores en los SSOO

Errores internos de los Sistemas Operativos instalados en los equipos de los que dispone la empresa.

El fallo se debe a errores de programación o a la no instalación de las actualizaciones de seguridad que distribuye la empresa desarrolladora cada cierto tiempo.


Un fallo en los Sistemas Operativos de la empresa puede provocar fallos en los procesos informáticos de la empresa, retrasos en los procesos que dependan del equipamiento informático, lo que constituiría un grave agujero en la seguridad informática de la empresa.


Tipo A: Fallo en los Sistemas Operativos de todos los equipos informáticos de la empresa durante un tiempo superior a un día.

La gravedad de la amenaza puede considerarse como muy alta porque perjudicará gravemente el negocio de la empresa debido, sobre todo, a que pueden producirse importantes agujeros de seguridad, aunque la probabilidad de que se produzca es baja, pues los Sistemas Operativos están correctamente actualizados.

Tipo M: Fallo en el Sistema Operativo de algunos de los equipos informáticos durante un tiempo máximo de un día.

La gravedad de la amenaza puede considerarse como media/alta, pues si falla el equipo en el que se encuentra toda la información referente a la Agencia Tributaria es un daño grave, pero si falla otro equipo con información menos crítica no es tan importante. La probabilidad de que se produzca es baja pues los Sistemas Operativos están correctamente actualizados.

Tipo B: Fallo en el Sistema Operativo de un equipo que no contenga información muy crítica durante un periodo inferior a un día.

La gravedad de esta amenaza puede considerarse como baja puesto que si el equipo no contiene información muy crítica para el correcto funcionamiento de la empresa y el periodo del fallo es inferior a un día no

38

repercutirá excesivamente en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es baja, pues los Sistemas Operativos están correctamente actualizados.

Medidas preventivas contra fallos el Sistemas Operativos de la empresa

- Disponer de Software original y garantizado por el distribuidor.

- Realizar las actualizaciones del Sistema Operativo que proporcione el fabricante.

5.2.4.2 Errores en las Bases de Datos

Errores internos en las Bases de Datos instalados en los equipos de los que dispone la empresa.

El fallo puede deberse a errores de programación de los programas que trabajan con las Bases de Datos, fallos puntuales en alguna de las tablas o fallos en la creación de las Bases de Datos.


La empresa no dispone de bases de datos; toda su información se guarda en ficheros de texto almacenados en un directorio de las máquinas.

Por lo tanto esta amenaza no es aplicable.

Medidas preventivas contra fallos en las Bases de Datos de la empresa

Ninguna.

5.2.4.3 Errores en las aplicaciones

Errores internos en las diferentes aplicaciones instalados en los equipos de los que dispone la empresa.

El fallo se debe a errores de programación o a la no instalación de las actualizaciones que distribuye la empresa desarrolladora cada cierto tiempo.

39


Un fallo en las aplicaciones que se utilizan dentro la empresa puede provocar problemas en el correcto funcionamiento de los procesos de la empresa.

Además de aplicaciones comerciales, dentro de la empresa también se usan aplicaciones específicamente desarrolladas para ella, como por ejemplo programas de contabilidad. Al no ser aplicaciones comerciales con gran respaldo pueden producirse más fallos y, generar incluso problemas de seguridad.


Tipo A: Fallo en aplicaciones consideradas críticas dentro la empresa durante un tiempo superior a un día.

Aplicaciones críticas se pueden considerar por ejemplo las aplicaciones desarrolladas a medida para la empresa y de las que es más complicado recibir soporte, pero son muy importantes para el correcto desarrollo de los procesos de negocio de la empresa.

La gravedad de la amenaza puede considerarse como muy alta porque perjudicará gravemente el negocio de la empresa debido a que muchas aplicaciones están instaladas únicamente en un equipo y si fallan se perderá su utilidad durante el tiempo de fallo. La probabilidad de que se produzca es media/baja pues las aplicaciones comerciales están correctamente actualizadas, pero las aplicaciones elaboradas a medida presentan un mantenimiento más complicado.

Tipo M: Fallo en aplicaciones consideradas críticas dentro de la empresa durante un tiempo máximo de un día.

La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la aplicación no sea extenso, puede perjudicar al correcto funcionamiento de la empresa. La probabilidad de que se produzca es media/baja, como se ha comentado en el tipo A, las aplicaciones comerciales están correctamente actualizadas, pero las aplicaciones elaboradas a medida tienen un mantenimiento más complicado.

Tipo B: Fallo en aplicaciones no críticas, es decir, que no afecten al desarrollo normal de los procesos de la empresa durante un periodo inferior a un día.

La gravedad de esta amenaza puede considerarse como baja puesto que si el fallo se da en aplicaciones no críticas, o que están instaladas en varios equipos no se alterarán los procesos de la empresa. La probabilidad de que ocurra es baja pues las aplicaciones no críticas son las comerciales y están correctamente actualizadas e instaladas en más de un equipo.

40

Medidas preventivas contra fallos en las aplicaciones de la empresa

- Disponer de Software original y garantizado por el distribuidor.

- Realizar las actualizaciones del Software que proporcione el fabricante.

- En el caso de Software a medida se deberá acordar con el desarrollador un plan de mantenimiento ante cualquier circunstancia.

5.2.4.4 Errores en los elementos de seguridad

Errores en los elementos de seguridad que dispone la empresa, puede tratarse de errores Software tales como fallo de antivirus o firewall, o errores en los elementos físicos tales como fallo de las alarmas, etc.

Los fallos en los elementos de seguridad pueden deberse a fallos en las actualizaciones de los antivirus o, por ejemplo, cortes de suministro eléctrico que afecten al correcto funcionamiento de la alarma.


Un fallo en las medidas de seguridad dentro la empresa puede provocar graves problemas en el correcto funcionamiento de los procesos de la empresa, así como pérdidas de información importante.


Tipo A: Fallo en las medidas de seguridad Hardware o Software de la empresa durante un tiempo superior a un día.

La gravedad de la amenaza puede considerarse como muy alta, porque un fallo grave en las medidas de seguridad de la empresa perjudicará gravemente el negocio de ésta. También pueden producirse robos que afecten económicamente a la empresa. La probabilidad de que se produzca es media/baja, pues las medidas de seguridad física están en correcto funcionamiento, pero las medidas Software no tienen un control adecuado sobre su actividad.

Tipo M: Fallo en las medidas de seguridad Hardware o Software de la empresa durante un tiempo máximo de un día.

La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la seguridad no sea extenso, compromete seriamente a la empresa. La probabilidad de que se produzca es media/baja pues como se ha comentado en el tipo A las medidas de seguridad física están en correcto funcionamiento, pero las medidas Software no tienen un control adecuado sobre su actividad.

Tipo B: Fallos de seguridad leves durante un periodo inferior a un día.

41

Fallos de seguridad leves se puede considerar que el antivirus deje de funcionar durante una hora, un corte eléctrico breve que afecte a la alarma, etc.

La gravedad de esta amenaza puede considerarse como media/baja puesto que aunque el fallo de elementos de seguridad es grave, si estos sistemas están sin funcionamiento un tiempo mínimo el impacto en la empresa no será grave. La probabilidad de que ocurra es media/alta ya que pequeños errores, como el fallo temporal de un antivirus suelen ser frecuente.

Medidas preventivas contra fallos en los elementos de seguridad de la

empresa

- Controlar que las medidas de seguridad Software estén continuamente funcionando y correctamente actualizadas.

- Revisión periódica de los elementos de seguridad física para comprobar su correcto funcionamiento.

42

5.2.5 Red LAN y WAN

Fallos debidos a amenazas que pueden afectar a las comunicaciones tanto internas como externas de la empresa.

5.2.5.1 Red interna

Fallos en las comunicaciones de la red interna debidos a caídas temporales de ésta.

Las caídas en la red interna pueden deberse a fallos en el Router que da servicio a la red, problemas con el cableado o el emisor inalámbrico.


Dentro de la empresa no existe una infraestructura de red interna, las únicas comunicaciones de red que existen son hacia el exterior por lo tanto los fallos en la red interna no tienen ningún tipo de impacto dentro de la empresa.

Medidas preventivas contra fallos en la red interna de la empresa

Ninguna.

5.2.5.2 Sistemas de seguridad de las comunicaciones

Errores en los sistemas que aseguran que las comunicaciones de la empresa se van a poder realizar sin problemas y además no existen terceras personas ajenas a la organización que intercepten esas comunicaciones.

Los fallos en los sistemas de seguridad pueden deberse a fallos en las actualizaciones de los antivirus, sobre todo en los antispyware y firewalls que no detecten intrusos en la red o fallos en el acceso al Router de comunicaciones y un intruso pueda modificar la configuración del mismo e impedir que se realicen las comunicaciones correctamente o interceptar las mismas.


Un fallo en los sistemas de seguridad en las comunicaciones de la empresa puede provocar graves problemas de seguridad y cortes en las comunicaciones lo que puede producir, desde pérdidas importantes de información a la imposibilidad de comunicar la empresa con el exterior, al menos, vía Web.

43


Tipo A: Fallo en los sistemas anti intrusos de la red lo que provoca un agujero de seguridad del que se aprovecha alguien ajeno a la organización para introducirse en el sistema, inutilizar los sistemas de comunicación hacia el exterior (inutilizar el Router de comunicación) y, potencialmente, puede provocar una pérdida de información crítica para el negocio de la empresa.

La gravedad de la amenaza puede considerarse como muy alta porque un fallo de este tipo en las medidas de seguridad de la empresa provocaría un grave perjuicio en el negocio de ésta, no tanto por la imposibilidad de comunicarse con el exterior como por la pérdida de información valiosa. La probabilidad de que se produzca es media pues dentro de la empresa se tienen adecuadamente instaladas medidas anti intrusos pero no se presta demasiada atención a su mantenimiento y actualización.

Tipo M: No se contempla este tipo para esta amenaza.

Tipo B: Fallo de las medidas de seguridad de acceso al Router de la empresa lo que puede provocar que alguien ajeno a la empresa intente colarse en la configuración del Router y la cambie para impedir el acceso desde dentro de la empresa al exterior.

La gravedad de esta amenaza puede considerarse como baja pues aunque se produjera la situación no se producirían daños importantes en los procesos de la empresa por el hecho de no poder comunicarse con el exterior vía Web.

Por otra parte la amenaza es fácilmente solucionable, pues basta con realizar un reinicio del Router para que vuelva a su configuración inicial y pueda ser nuevamente configurado con las características necesarias de la organización.

La probabilidad de que ocurra es baja pues el acceso al Router está perfectamente protegido mediante contraseñas.

Medidas preventivas contra fallos en los sistemas de seguridad de las

comunicaciones de la empresa

- Mantener correctamente actualizados los sistemas de seguridad para que detecten, eviten e informen de posibles ataques externos e internos a nuestro sistema.

44

5.2.5.3 Redes públicas ajenas

Fallos de la empresa suministradora de servicios de red y que provoquen una pérdida en los servicios de conexión de la organización hacia el exterior.

Los fallos en el servicio de comunicaciones de la empresa son debidos a fallos de la empresa suministradora y, por tanto, completamente ajenos a la empresa.


Un fallo en el servicio de comunicaciones de la empresa puede provocar algún retraso en alguno de los procesos de la empresa pero debido a la naturaleza de la misma, en ningún momento este tipo de fallos afectarán gravemente a sus negocios.


Tipo A: Fallo en los sistemas de comunicación informática durante un tiempo superior a cuarenta y ocho horas.

La gravedad de la amenaza puede considerarse como media/baja porque un fallo en las comunicaciones informáticas no afectará especialmente a la empresa salvo que el fallo se produzca en épocas del año determinadas, en las que por ejemplo debido al fallo en las comunicaciones se imposibilite el envió de la documentación a la Agencia Tributaria vía Web desde la organización. La probabilidad de que se produzca es baja.

Tipo M: Fallo en los sistemas de comunicación informática durante un tiempo no superior a veinticuatro horas.

La gravedad de la amenaza puede considerarse como media/baja porque igual que ocurre en el tipo A, un fallo en las comunicaciones informáticas no afectará especialmente a la empresa, salvo que el fallo se produzca en épocas del año determinadas, en las que, por ejemplo, debido al fallo en las comunicaciones se imposibilite el envió de la documentación a la Agencia Tributaria vía Web desde la organización. La probabilidad de que se produzca es baja.

Tipo B: Fallo en los sistemas de comunicación intermitentes durante un periodo inferior a un día.

La gravedad de esta amenaza puede considerarse como baja puesto que cortes intermitentes en las comunicaciones no afectan en ninguna forma a los procesos realizados en la empresa. La probabilidad de que ocurra es media/baja pues debido a problemas del suministrador es frecuente sufrir cortes leves de servicio a lo largo de un día.

45

Medidas preventivas contra fallos de las redes públicas ajenas a la empresa

- Contratar con la empresa suministradora un servicio de mantenimiento que asegure una rápida reparación en caso de pérdida del servicio.

- En el caso de que fuera necesario disponer siempre de un servicio de conexión, contratar una línea adicional con otra compañía para evitar pérdidas de servicio.

46

5.2.6 Copias de seguridad

Problemas en los soportes de Backup que tengan como consecuencia el daño o la pérdida de la información que ha sido duplicada en esos soportes de copias de seguridad.

5.2.6.1 Fallos en soportes de copias de seguridad

Fallos en los soportes donde han sido almacenadas copias de seguridad, debido a los cuales se produce un daño o una pérdida de información útil para el negocio de la empresa.

Los fallos en los soportes de Backup pueden ser debidos a fallos de fabricación, a un mal almacenamiento o simplemente un fallo del soporte.


Dentro de la empresa no existen políticas de Backup, por lo tanto no se dispone de soportes de copias de seguridad. Por lo que esta amenaza no tiene ningún tipo de impacto dentro de la empresa.

Medidas preventivas contra fallos en los soportes de copias de seguridad de la

empresa

Ninguna.

47

5.2.7 Información

Qué problemas pueden afectar a la información almacenada dentro de la empresa, la cual es valiosa para llevar a cabo los procesos de negocio.

5.2.7.1 Ficheros

Fallos o pérdidas de los ficheros donde se almacena la información valiosa de la empresa.

Los problemas con los ficheros pueden ser debidos a una mala gestión de los mismos, a fallos en los equipos donde están almacenados los ficheros, etc.


Debido a la no existencia de Bases de Datos dentro de la empresa, toda la información se encuentra almacenada en ficheros, por lo tanto si se producen fallos en ficheros con información, los cuales no se encuentran replicados, los problemas para la empresa pueden ser muy graves.


Tipo A: Pérdida de ficheros con información muy crítica sobre los negocios que mantiene la empresa.

La gravedad de la amenaza puede considerarse como muy alta debido a que la información no está replicada en ningún otro equipo, ni generalmente, en ningún otro soporte, la pérdida del fichero es irreparable. La probabilidad de que se produzca es media debido a que, generalmente, dentro de la empresa únicamente se cuenta con una copia de cada fichero almacenado.

Tipo M: Pérdida temporal (no superior a cuarenta y ocho horas) del acceso a ficheros con información crítica para la empresa.

La gravedad de la amenaza puede considerarse como alta debido a que puede afectar al retraso de alguna de las operaciones de la empresa si no puede acceder momentáneamente a información importante. La probabilidad de que se produzca es media.

Tipo B: Pérdida temporal (no superior a veinticuatro horas) del acceso a ficheros sin demasiada importancia para los negocios de la empresa.

La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la información almacenada en esos ficheros no es extremada y no repercutiría en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es media.

48

Medidas preventivas contra fallos en los ficheros de la empresa

- Tener copias de seguridad de los ficheros importantes en diferentes soportes.

- El uso de bases de datos centralizadas en un equipo independiente de los que usan los empleados habitualmente favorecería la posibilidad de que aunque se den fallos en un equipo no se pierda información importante.

5.2.7.2 Procedimientos de seguridad de la información

Fallos en los procedimientos de seguridad para salvaguardar la información y evitar daños o pérdidas.

Los fallos en los procedimientos de seguridad generalmente son debidos a una aplicación incorrecta de los mismos.


Dentro de la empresa no se dispone de procedimientos de seguridad para la información por lo tanto esta amenaza no es aplicable.

Medidas preventivas contra fallos en los procedimientos de seguridad de la

información de la empresa

Ninguna.

5.2.7.3 Planes de contingencia

Fallos en los planes de contingencia ideados para salvaguardar la información y evitar daños o pérdidas.

Los fallos en los planes de contingencia generalmente son debidos a una aplicación incorrecta de los mismos.


Dentro de la empresa no se dispone de un plan de contingencia para la información por lo tanto esta amenaza no es aplicable.

Medidas preventivas contra fallos en los planes de contingencia de la empresa

Ninguna.

49

5.2.8 Personal

La mayoría de los ataques informáticos a una empresa provienen desde dentro de la misma perpetrados por sus propios empleados. Es importante contar con estrategias de control de los empleados, así como de las acciones que realizan en el sistema.

5.2.8.1 Errores y ataques de personal interno

El personal que trabaja en la empresa puede provocar fallos en los sistemas de la empresa o pérdidas de información debido a falta de formación, falta de conocimiento, mala intencionalidad…


La empresa únicamente cuenta con dos empleados los cuales tienen participación dentro de la empresa por lo que ninguno de ellos va a atentar intencionadamente contra su propia empresa. Por ello esta amenaza no es aplicable.

Medidas preventivas contra fallos del personal de la empresa

Ninguna.

5.2.8.2 Errores y ataques de personal externo

Personas ajenas a la empresa pueden querer dañarla por algún motivo por lo que es necesario preparar a la organización para evitar ataques externos a sus sistemas.

Los ataques externos pueden provenir de ex empleados descontentos, personas que desean obtener información confidencial para su propio beneficio, etc.


Existe la posibilidad de que personal ajeno a la empresa desee hacerse con información confidencial de ella para usarla en su propio beneficio.

En el mundo en el que realiza sus operaciones la empresa, la información es un activo muy importante y una posible pérdida de esa información a favor de otra empresa puede suponer la pérdida de varios millones de Euros.

50


Tipo A: Acceso al sistema de la empresa y pérdida de información de la operación en marcha, la cual es crucial para una buena finalización del negocio para la empresa.

La gravedad de la amenaza puede considerarse como muy alta debido a que la información sustraída es de máxima utilidad para la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de protección necesarias para que su información este protegida.

Tipo M: Acceso a los sistemas de la empresa y pérdida de información de negocios ya concluidos por la empresa.

La gravedad de la amenaza puede considerarse como alta debido a que a pesar de que el negocio ya ha sido finalizado la información del mismo es un importante activo para futuros negocios. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de protección necesarias para que su información este protegida.

Tipo B: Acceso a los sistemas de la empresa y pérdida de información de poca importancia para la empresa.

La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la información perdida no es de gran importancia por lo que no tendrá ningún efecto negativo en la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de protección necesarias para que su información este protegida.

Medidas preventivas contra los ataques de personal externo a la empresa


- Ser especialmente cuidadosos con la información crítica de los negocios y que ésta nunca esté fácilmente al alcance.

51

5.2.9 Riesgos contra el patrimonio

5.2.9.1 Robo

Cualquier empresa puede ser objetivo de un robo debido a que en sus dependencias suelen tener material valioso e incluso dinero.


Al igual que cualquier otra empresa o domicilio particular está expuesta a intentos de robos que pueden provocar la pérdida de equipamiento informático, documentación importante, etc.


Tipo A: Robo de activos de la empresa en el cual son sustraídos equipamientos y documentos en los que se almacenaba información importante para el negocio de la empresa.

La gravedad de la amenaza puede considerarse como muy alta debido a que la información sustraída es de máxima utilidad para la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de protección necesarias contra robos.

Tipo M: Robo de activos de la empresa en el cual son sustraídos equipamiento y documentación con información que, aun siendo importante, no es crucial para llevar a cabo correctamente el negocio de la empresa.

La gravedad de la amenaza puede considerarse como alta debido a que, a pesar de que la información sustraída no es crítica, sí es muy importante y puede llegar a causar algún prejuicio la falta de esa información o equipo. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de protección necesarias contra robos.

Tipo B: Robo de activos de la empresa en el cual son sustraídos equipamiento y documentación con información irrelevante para los negocios de la empresa.

La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la información perdida no es importante para llevar a cabo los negocios de la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de protección necesarias contra robos.

52

Medidas preventivas contra robos a la empresa


- Tener siempre conectada la alarma de la empresa cuando no se encuentre nadie dentro de la oficina.

5.2.9.2 Pérdida no intencionada de activos

A pesar de que en todas las empresas intentan proteger al máximo sus activos, éstos pueden estar en peligro debido a fallos no intencionados del personal.

Estas pérdidas pueden acarrear a la empresa muchos gastos en reponer los activos perdidos e incluso pérdidas irreemplazables.


Puesto que los dos únicos empleados de la empresa son socios de la misma, no tendrán interés en que se pierdan activos importantes para su negocio, sin embargo, a pesar del empeño que pueden poner dichos empleados en evitar el extravío de sus activos, siempre ocurren accidentes que pueden producir su pérdida.


Tipo A: Pérdida no intencionada de activos muy críticos para la empresa debido a fallos del personal.

La gravedad de la amenaza puede considerarse como muy alta debido a que los activos perdidos tienen una gran importancia para la empresa. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la información más importante de su negocio.

Tipo M: Pérdida no intencionada de activos importantes para la empresa pero que no llegan a ser críticos para el desarrollo de su negocio.

La gravedad de la amenaza puede considerarse como alta debido a que a pesar de que los activos son importantes para la empresa no se corre un riesgo extremo con su pérdida. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la información importante de su negocio.

Tipo B: Pérdida de activos no importantes para la empresa debido a fallos del personal.

53

La gravedad de esta amenaza puede considerarse como baja, puesto que la importancia de la información perdida no es importante para llevar a cabo los negocios de la empresa. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la información de su negocio.

Medidas preventivas contra pérdidas no intencionadas de activos de la

empresa


- Tener siempre mucho cuidado con la información que se trabaja para que no se produzcan pérdidas.

54

5.2.10 Legislación

La información que manejan las empresas está sujeta al cumplimiento de las actuales leyes nacionales y europeas sobre la protección de datos de carácter personal. [Web 8]

En España la Agencia de Protección de Datos se encarga de velar para que se cumplan las diferentes leyes que conciernen a los datos que manejan las empresas.

Algunas de las leyes que afectan a los datos manejados por las organizaciones son:

- Ley Orgánica de Protección de Datos: ley aprobada en el año 1999 y actualizada en el año 2008. Todas las empresas han de declarar sus ficheros que contengan datos personales ante la AGPD.

La ley contempla tres niveles de seguridad de los datos y duras sanciones dependiendo del grado de incumplimiento de la ley.

- Ley de Servicios de la Sociedad de la Información y del Comercio Electrónico: establece la regulación para la realización de actividades comerciales en Internet así como la distribución de correo electrónico con carácter comercial.


La empresa, debido a su actividad, no debe someterse a la LSSI-CE puesto que no actúa en Internet.

La LOPD sí afecta a la organización; en la empresa trabajan dos empleados por lo que sus datos personales y fiscales están sometidos al nivel bajo de la LOPD y deben ser protegidos y declarados ante la AGPD.

55

5.2.11 Otros riesgos

Existen otro tipo de riesgos que son ajenos a la empresa, pero que aun así pueden afectar a su correcto funcionamiento.

5.2.11.1 Terrorismo

Los actos de terrorismo son actos de violencia para infundir terror. [Web 1]

En el mundo actual el terrorismo se está convirtiendo en una de las grandes amenazas para todo el conjunto de la sociedad.


Valladolid, ciudad donde se ubica la empresa, no ha sido históricamente objetivo de grandes atentados terroristas como puede haber sido Madrid pero sin embargo sí se ha perpetrado alguno y en especial dirigido a negocios, sobre todo de hostelería, de la ciudad.


Tipo A: Destrucción completa del edificio donde se localiza la sede de la empresa debido a un atentado terrorista con la consiguiente pérdida de todos los activos de la empresa que estuvieran ubicados allí.

La gravedad de la amenaza puede considerarse como muy alta debido a que se perderán todos los activos más importantes de la empresa. La hipótesis de que se produzca es baja debido a que existen pocas probabilidades de que se lleve a cabo un atentado de esa magnitud en Valladolid.

Tipo M: Atentado terrorista que afecte a parte del edificio e impida el acceso a la empresa durante un tiempo no superior a 1 mes.

La gravedad de la amenaza puede considerarse como alta debido a que a paralizaría parte de la actividad de la empresa durante el tiempo que no se pudiera acceder a su sede. La hipótesis de que se produzca es baja debido a que existen pocas probabilidades de que se lleve a cabo un atentado de esa magnitud en Valladolid.

Tipo B: Atentado terrorista que afecte a parte del edificio e impida el acceso a la empresa durante un tiempo no superior a 1 semana.

La gravedad de esta amenaza puede considerarse como media/baja puesto que podría paralizar parte de la actividad de la empresa durante el tiempo que no se pueda acceder a su sede. La probabilidad de que se produzca es media/baja.

56

Medidas preventivas contra riesgo de ataques terroristas

- Políticas de Backup localizado fuera del edificio de la empresa.

- La única medida contra actos terroristas es la lucha de los cuerpos de seguridad del estado.

5.2.11.2 Imagen de empresa

Su imagen es uno de los activos más importantes que tiene una empresa, si por alguna razón la imagen de una empresa resulta dañada, puede conllevar pérdidas millonarias para ella.

Una pérdida de imagen puede deberse a diversas causas como pueden ser pérdidas graves de información por parte de la empresa, problemas en negocios, publicidad inadecuada, etc.


El mundo empresarial en el que desarrolla su actividad la empresa es un sector en el que todas las empresas se conocen entre sí, pero el “público” general no suele reconocer.

En el mundo inmobiliario la imagen de empresa la forman más los negocios que realizas o los activos inmobiliarios que posees.

Centrándose en el tema informático, una posible pérdida de información de la empresa no afectaría excesivamente a su imagen por lo tanto esta amenaza no es aplicable.

Medidas preventivas contra pérdidas de imagen de la empresa

Ninguna.

57

5.2.11.3 Insolvencia de servicios externos

Cualquier empresa, por pequeña que sea, depende en parte de terceras empresas que le suministran sus productos o servicios. Por ello si una empresa suministradora sufre algún contratiempo, ese contratiempo también afectará en mayor o menor medida a la empresa suministrada.


Para llevar a cabo la contabilidad de la empresa, se dispone de un Software elaborado a medida por una pequeña empresa externa que se encarga también de su mantenimiento.


Tipo A: Que la empresa externa que ha desarrollado y mantiene el Software de contabilidad desaparezca con el consiguiente perjuicio de la pérdida del mantenimiento del Software.

La gravedad de la amenaza puede considerarse como media/alta debido a que el Software de contabilidad es muy importante para el desarrollo normal de las actividades de la empresa. La probabilidad de que se produzca es media/baja.

Tipo M: Problemas de la empresa externa que ha desarrollado y mantiene el Software de contabilidad que imposibilitan que den un servicio adecuado durante un periodo no superior a un mes.

La gravedad de la amenaza puede considerarse como baja debido a que el mantenimiento del Software no se requiere todos los meses. La probabilidad de que se produzca es media/baja.

Tipo B: Problemas de la empresa externa que ha desarrollado y mantiene el Software de contabilidad que imposibilitan que den un servicio adecuado durante un periodo no superior a una semana.

La gravedad de la amenaza puede considerarse como baja debido a que el mantenimiento del Software no se requiere todas las semanas. La probabilidad de que se produzca es media/baja.

Medidas preventivas contra pérdidas de solvencia de los servicios externos a

la empresa

- Establecer con el proveedor un contrato que exija el cumplimiento de unas condiciones de mantenimiento o en su defecto una compensación.

58

- Usar Software comercial que asegure actualizaciones y mantenimiento con periodicidad.

59

6. ANÁLISIS DE VULNERABILIDADES

6.1 Introducción

En el apartado anterior se han enumerado una por una todas las amenazas que podrían afectar a la empresa y se ha descrito el posible impacto que esa amenaza tendría dentro de la empresa en el caso de producirse.

En este apartado, se van a identificar las vulnerabilidades que tiene la empresa y que pueden ser aprovechadas por alguna amenaza para producir algún tipo de daño en la misma.

6.2 Identificación de vulnerabilidades

En este apartado se van a identificar todas las vulnerabilidades de la empresa.

Para evaluar las distintas vulnerabilidades, se van a seguir las mismas categorías usadas para el análisis de riesgos del capítulo 5.

La mayor parte de las intrusiones a los sistemas que se producen hoy en día se deben a la explotación de vulnerabilidades, por ello es de vital importancia poder identificar todas aquellas vulnerabilidades susceptibles de ser aprovechadas por una amenaza, para evitar que ésta llegue a materializarse.

La vulnerabilidades pueden deberse a fallos de seguridad de la propia empresa o fallos de seguridad en los productos suministrados por terceras empresas.

6.2.1 Vulnerabilidades relacionadas con desastres naturales

Los desastres naturales pueden llegar a ser, como se ha visto en el capítulo 5, amenazas muy graves para la empresa en el caso de que llegasen a materializarse en su tipo de impacto más alto.

Teniendo en cuenta las categorías empleadas para llevar a cabo el análisis de riesgos:

Tormentas y rayos.

Terremotos.

Inundaciones.

60

Se pueden identificar las siguientes vulnerabilidades:

- Falta de pararrayos en el edificio.

- Falta de políticas de Backup.

6.2.2 Vulnerabilidades relacionadas con amenazas estructurales

Las amenazas debidas a fallos estructurales son muy graves debido a que afectarían a todos los activos de la empresa provocando graves problemas de continuidad para la misma.


- Incendios.

- Cortes eléctricos.

- Agua.

- Refrigeración.

- Comunicaciones.


- Falta de detectores de humos.


- Falta de dispositivos SAI que garanticen el suministro eléctrico.

- Dependencia exclusiva de un único proveedor de comunicaciones.

6.2.3 Vulnerabilidades relacionadas con el Hardware

Los problemas con el Hardware afectan directamente a los procesos informáticos de la empresa lo que puede provocar graves problemas en el transcurso normal de los negocios de la empresa.


- Fallo de servidores.

- Fallo de estaciones PC.

61

- Fallo de portátiles.



- Falta de dispositivos SAI que garanticen el suministro eléctrico.

6.2.4 Vulnerabilidades relacionadas con el Software

Los fallos y errores de Software son muy perjudiciales, y son éstos los que más fácilmente pueden llegar a producirse si no se tiene cuidado con su correcto mantenimiento.

Las vulnerabilidades del Software son las más sensibles de ser aprovechadas por amenazas para infligir algún tipo de daño dentro de una organización.


- Errores en los Sistemas Operativos.

- Errores en las Bases de Datos.

- Errores en las aplicaciones.

- Errores en los elementos de seguridad.


- Mala actualización de los sistemas antivirus, firewalls y demás Software de seguridad

- Mala actualización de Software de gestión.

- Se dispone de Software elaborado a medida para la empresa por personal externo a ésta, pero que no responde adecuadamente del mantenimiento del mismo.

62

6.2.5 Vulnerabilidades relacionadas con las redes de comunicación

Las redes de comunicación son uno de los elementos más vulnerables a ser explotados por una amenaza, si no se cuida correctamente su mantenimiento y protección.


- Red interna.

- Sistemas de seguridad de las comunicaciones

- Redes públicas ajenas.


- Dependencia exclusiva de un único proveedor de comunicaciones.

- Bajo nivel de seguridad a la hora de realizar accesos a la red interna de la empresa.

- Mala actualización de Software de seguridad.

- No disponer de una red interna para realizar las comunicaciones dentro de la empresa y poder acceder a información interna sin necesidad de salir al exterior.

6.2.6 Vulnerabilidades relacionadas con las copias de seguridad

Para el correcto mantenimiento de la información generada por la empresa es recomendable que ésta sea replicada en diferente formato y en diferente lugar de donde se ha generado para salvaguardarla.


- Fallos en los soportes de copias de seguridad.


- No existe una política de copias de seguridad por lo que una pérdida de datos sería irreparable.

63

6.2.7 Vulnerabilidades relacionadas con la información

La información es el activo más importante con que cuenta la empresa y por lo tanto en donde se debe poner más atención para evitar que tenga vulnerabilidades.


- Ficheros.

- Procedimientos de seguridad de la información.

- Planes de contingencia.


- No existen políticas de backup de la información.

- No existe una ubicación centralizada de almacenamiento de la información; ésta se encuentra repartida en los diferentes equipos de la empresa.

- No existen políticas ni medios de cifrado de la información crítica.

- No existen planes de contingencia para casos de pérdidas de información.

6.2.8 Vulnerabilidades relacionadas con el personal

El personal de la empresa es una de las vulnerabilidades más importantes que puede tener una organización debido a que es un punto de fuga de información o un foco de ataques a la organización.


- Errores y ataques de personal interno.

- Errores y ataques de personal externo.


- No existe una política de contraseñas para el acceso a los equipos.

- No existe una política de restricción de acceso a los datos.

64

6.2.9 Vulnerabilidades relacionadas con el patrimonio

Proteger los activos de la empresa ante terceros o pérdidas accidentales, es de vital importancia para no sufrir pérdidas graves de activos.


- Robo.

- Pérdida no intencionada de activos.


- En la empresa existe un buen sistema de seguridad física que evita la pérdida de activos debido a robos, pero los sistemas Software de seguridad no están lo suficientemente bien adaptados a las necesidades de la empresa.

6.2.10 Vulnerabilidades relacionadas con la legislación

Todos los ficheros tanto de nivel bajo, medio o alto han de ser declarados ante la Agencia de Protección de Datos así como establecer una protección adecuada para los datos bajo penas de multas económicas que van desde los 600 hasta los 600.000 €.

En el caso de la empresa, los datos que maneja se engloban dentro del nivel bajo de protección por los que la empresa está expuesta a sanciones desde 600 hasta los 60.000 € si se comete alguna de las siguientes infracciones: [Web

8]

- No solicitar la inscripción del fichero en la AGPD.

- No atender a las solicitudes de los interesados sobre datos que les conciernen.

- Recoger los datos sin informar a los interesados sobre: la existencia del fichero, el uso que se va a dar a los datos, el responsable del fichero, los derechos de los interesados.

6.2.11 Otras vulnerabilidades

Otras vulnerabilidades que se pueden apreciar en la empresa:

- Falta de conciencia por parte de los responsables de la empresa de que es necesaria una buena política de seguridad informática.

65

6.3 Valoración de las vulnerabilidades

En este apartado se van a valorar las diferentes vulnerabilidades encontradas en la empresa.

Para analizar las vulnerabilidades se usara el siguiente criterio de valoración:

- Alta: La vulnerabilidad es grave debido a que es muy probable que sea aprovechada por una amenaza para infligir daño a la organización y provocar una pérdida de activos irreparable.

- Media: La vulnerabilidad es importante pero tiene poca probabilidad de ser aprovechada por una amenaza.

- Baja: Existe una vulnerabilidad pero no hay una amenaza que la pueda explotar o existen muy pocas posibilidades que la amenaza llegue a materializarse en esa vulnerabilidad.

Código Vulnerabilidad Activos a los que

afecta

Valoración

1 Falta de políticas de Backup

Información de la empresa

Alta

2 Falta de detectores de

humos

Activos materiales (Equipos,

documentación física,…)

Media

3 Falta de dispositivos SAI

Equipamiento informático

Media

4 Dependencia exclusiva de un único proveedor

de comunicaciones

Comunicaciones de la empresa

Baja

5 Mala actualización de Software de seguridad


Alta

6 Mala actualización de Software de

gestión


Media

66

7 Mal mantenimiento de Software a

medida


Baja

8 No disponer de red interna

Información de la empresa y

comunicaciones

Baja

9 No existe una política de copias de seguridad


Alta

10 No existe un almacenamiento centralizado de la

información


Media

11 No existen políticas ni medios para el cifrado de la información


Media

12 No existen planes de contingencia


Alta

13 No existe política de contraseñas


Baja

14 No existe políticas de restricción de acceso a datos


Baja

15 Software de seguridad no adaptado

correctamente a la empresa


Media

16 No declaración de los ficheros de

información personal ante la

AGPD


Baja

67

17 Falta de conciencia de los encargados de la

empresa

Información de la empresa,

equipamiento informático y

comunicaciones

Alta

Tabla 6.1: Valoración de vulnerabilidades

68

7. PLAN DE SEGURIDAD

7.1 Introducción

Hasta este punto se ha realizado un completo análisis de la situación de la empresa en lo que se refiere a la seguridad de la información.

A continuación se van a detallar las posibles soluciones que debe implantar la empresa para conseguir establecer un nivel de seguridad de su información adecuado para evitar pérdidas y daños de activos.

7.2 Plan de seguridad

A la hora de realizar el análisis de la empresa, se han detectado ciertas vulnerabilidades graves como por ejemplo que no exista un replicado de la información, que no existan políticas de acceso a la información o la más importante, que los responsables de la empresa no tengan conciencia de la importancia de dotar a su empresa de unas adecuadas medidas de seguridad para proteger la información de la misma.

Para conseguir reducir el riesgo de la empresa se van a detallar las medidas que se deberán emplear para conseguir que consiga ponerse al día en la seguridad de su información y elementos informáticos.

Dentro de las medidas a emplear para eliminar las vulnerabilidades y dotar a la empresa de una seguridad adecuada, se pueden distinguir varios tipos:

- Medidas preventivas: Medidas que se deberán implantar en la empresa para prevenir la posible explotación de una vulnerabilidad por parte de una amenaza.

- Medidas correctoras: Medidas que se deberán implantar en la empresa para corregir problemas o fallos debidos a amenazas que se han materializado.

- Riesgos asumibles: Pueden existir vulnerabilidades de la empresa que no sean sensibles a que un riesgo las explote, por lo que esa vulnerabilidad no es necesario que sea tenida en cuenta a la hora de establecer las medidas de seguridad.

69

7.2.1 Medidas aplicadas a desastres naturales

A la hora de establecer medidas para proteger a la empresa de daños debidos a desastres naturales hay que tener en cuenta que no se puede controlar que lleguen, o no, a materializarse por lo que la empresa está expuesta a ellos y únicamente se pueden establecer medidas preventivas

para intentar minimizar en lo posible el daño.

Medidas preventivas a adoptar dentro de la empresa:

- Instalación de dispositivos de protección de líneas eléctricas contra sobrecargas.

- Instalación de dispositivos SAI (Sistemas de Alimentación Ininterrumpida) para garantizar el suministro eléctrico en caso de caída del sistema eléctrico general.

- Realización periódica de copias de Backup localizadas en servidores externos a la empresa.

Aunque antes se ha comentado que para tratar los desastres naturales sólo se pueden establecer medidas preventivas, la realización de copias de Backup se puede incluir también dentro de medidas correctoras.

7.2.2 Medidas aplicadas a problemas estructurales

Los posibles daños estructurales que se den en la empresa, aún siendo ajenos a la propia empresa sí pueden ser controlados mediante revisiones periódicas o mediante la contratación de servicios alternativos.


- Revisión periódica de la instalación eléctrica.

- Instalación de dispositivos automáticos de extinción de incendios.

- Distribución de extintores a lo largo de toda la dependencia de la empresa, en especial cerca de elementos informáticos críticos.

- Instalación de dispositivos SAI (Sistemas de Alimentación Ininterrumpida) para garantizar el suministro eléctrico en caso de caída del sistema eléctrico general.

- Contratación de dos líneas exteriores con suministradores de internet para garantizar siempre una conexión mínima a la red.

70

Medidas correctoras a adoptar dentro de la empresa:

- Restauración de copias de Backup en el caso de haberse producido una pérdida de datos.

Riesgos asumibles en la empresa:

- Pérdida de las comunicaciones durante un periodo inferior a 24 horas.

7.2.3 Medidas aplicadas a problemas de Hardware

En el análisis realizado dentro de la empresa se han detectado varios fallos en el correcto mantenimiento y seguridad del equipamiento Hardware disponible, sobre todo debido a la ausencia de un sistema de almacenamiento centralizado, lo que pone en grave riesgo la integridad de la información almacenada dentro de dicho Hardware.

Algunas medidas aplicables para evitar pérdidas:


- Instalación de un servidor de almacenamiento centralizado donde se almacene toda la información generada dentro de la empresa y que garantice un acceso adecuado, y seguro, a la misma cuando sea necesario.

- Disponer de copias de respaldo almacenadas en servidores exteriores a la empresa para prevenir posibles fallos de Hardware.


- Tener contratado un buen servicio técnico que asegure una rápida reparación y puesta en marcha de los equipos si se produce un fallo.


- Tener contratado un buen servicio técnico que asegure una rápida reparación y puesta en marcha de los equipos si se produce un fallo.



- Fallo en alguna estación PC o portátil durante un periodo inferior a 24 horas.

71

7.2.4 Medidas aplicadas a problemas de Software

El Software es el elemento más crítico de la empresa, pues debido a la falta de concienciación de seguridad de los responsables de la misma; los elementos Software que componen los activos de la empresa no están siempre correctamente actualizados y preparados para evitar posibles pérdidas de información no deseadas.


- Realizar periódicamente, o cuando sea requerido por el distribuidor del Software, las actualizaciones oportunas para mantener al día los distintos programas y Sistemas Operativos.

- Instalación de bases de datos centralizadas donde se almacenen todos los datos importantes generados por la empresa para facilitar el almacenamiento, accesibilidad y seguridad de los datos.

- Disponer de Software de calidad y debidamente revisado.

- Establecer una política de contraseñas para acceder a los diferentes equipos de la empresa.



7.2.5 Medidas aplicadas a problemas de red

La red es uno de los elementos más sensibles de la empresa, puesto que dentro de la misma no son conscientes de lo perjudicial que puede llegar a ser un ataque exterior y tampoco saben aprovechar las oportunidades que ésta puede proporcionar.


- Montaje de una red interna en la empresa para garantizar que todas las comunicaciones internas y de carácter confidencial no salen de la estructura de la propia empresa.

- Mantener correctamente instalados y actualizados los sistemas de seguridad Software de los que dispone la empresa.

- Instalación en la totalidad de equipos de la empresa igual Software de seguridad que garantice la seguridad de los equipos.

72

- Establecimiento de políticas de seguridad de acceso a la red mediante el empleo de contraseñas.

- Instalación de un Router de acceso gestionable, más adecuado para la empresa que el proporcionado por la empresa suministradora del servicio.

- Establecer una correcta configuración de seguridad para la red inalámbrica que evite accesos indeseados.


- Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones que aseguren una rápida reparación y restablecimiento del servicio en caso de problemas con la línea.



- Fallo en los sistemas de comunicación de red durante un periodo no superior a 24 horas.

7.2.6 Medidas aplicadas a problemas de las copias de seguridad

La política de copias de seguridad es sin duda el talón de Aquiles de la empresa, pues dentro de la misma no se dispone de ningún sistema que garantice que se realicen copias de los datos críticos, ni que estas copias estén a salvo y replicadas en algún sistema de almacenamiento exterior a la empresa.

En este punto, también se detecta una falta de concienciación de los responsables de la empresa de lo importante que resulta tener la información replicada.

Como nota de la importancia de este punto cabe reseñar que durante la elaboración del presente proyecto se perdieron en la empresa los datos fiscales que se encontraban informatizados del último año.


- Instalación de un servidor centralizado de copias de seguridad en el cual se almacenen periódicamente copias de los datos actualizados.

73

- Realización periódica de copias de seguridad de los datos, en especial de los datos críticos, generados en la empresa.

- Realización periódica de copias de Backup localizadas en servidores externos a la empresa para garantizar la disponibilidad de los datos ante cualquier contratiempo en la empresa.



7.2.7 Medidas aplicadas a problemas con la información

La información es uno de los activos más importantes con los que cuenta la empresa y por tanto uno de los más críticos y que más habría que proteger.


- Disponibilidad de copias de seguridad de los ficheros más importantes en diferentes soportes.

- Instalación de bases de datos centralizadas donde se almacenen todos los datos importantes generados por la empresa para facilitar el almacenamiento, accesibilidad y seguridad de los datos.

- Establecimiento de procedimientos de seguridad que establezcan las acciones a realizar en caso de pérdidas de información.

- Establecimiento de planes de contingencia para salvaguardar la información y evitar daños o pérdidas de la misma.


- Seguimiento de los procedimientos de seguridad establecidos para cada caso.


- Seguimiento del plan de contingencia especificado para cada caso.

74

7.2.8 Medidas aplicadas a problemas con el personal

En cualquier organización el personal es un punto crítico pues un empleado descontento puede provocar graves daños desde dentro de la organización.

Cabe recordar que el 80% de los ataques informáticos que sufren las empresas proceden de dentro de la misma.

En este caso un ataque desde dentro no es aplicable pues el personal que trabaja en la empresa es a la vez dueño de la misma y no realizará acciones conscientes que dañen a su propia empresa; aún así, como se ha comentado ya con anterioridad, el personal está muy poco concienciado con disponer de una adecuada seguridad y política de respaldo dentro de la empresa para garantizar la salvaguarda de su información.


- Conseguir una adecuada concienciación del personal de la empresa sobre lo importante que es mantener un cierto nivel de seguridad en los procesos que se realizan dentro de la empresa. Así como establecer una adecuada política de respaldo de información.


- Establecer una política de contraseñas para el acceso a los recursos del sistema.



- Realización de cursos de concienciación sobre la importancia de la seguridad de los datos para el personal de la empresa.

7.2.9 Medidas aplicadas a problemas con el patrimonio

En cualquier momento se puede estar sujeto a un robo o a una pérdida no intencionada de activos que provoque un problema de disponibilidad de datos importantes o una pérdida irrecuperable de los mismos.



- Disponer de un completo inventario de todos los activos de la empresa.

75

- Tener la alarma conectada cuando no hay personal dentro de las instalaciones de la empresa.



7.2.10 Medidas aplicadas a información que debe ser declarada ante la Agencia de Protección de Datos

Los ficheros con información de carácter personal, como lo son por ejemplo las nóminas, entran dentro del nivel bajo de la LOPD por lo que además de declarar esos ficheros a la Agencia de Protección de Datos se deben establecer las siguientes medidas de seguridad para los ficheros: [Web 8]

- Creación de un documento de seguridad, de obligado cumplimiento para el personal que tenga acceso a los datos.

- Adopción de medidas para que el personal conozca las normas de seguridad.

- Creación de un registro de incidencias.

- Creación de una relación de usuarios (procesos o personas) que tengan acceso al sistema de información.

- Establecer mecanismos de control de acceso.

- Establecer mecanismos de control de soporte.


- Se deben declarar ante la Agencia de Protección de Datos los ficheros que contienen las nóminas de los empleados de la organización.

- Se deben establecer las medidas de seguridad establecidas dentro de la LOPD para adecuarse a lo establecido dentro de la ley.

76

7.2.11 Medidas aplicadas a problemas provocados por otros riesgos

Otros factores que pueden afectar a la seguridad de los activos de la empresa pueden ser problemas de terrorismo, problemas con la imagen de la empresa, problemas de solvencia de los servicios externos, etc.


- Disponer de copias de respaldo almacenadas en servidores exteriores a la empresa.

- Uso de Software comercial que asegure actualizaciones y mantenimiento con periodicidad.



- Trabajar únicamente con proveedores de probada solvencia y que garanticen una rápida reparación y restitución del servicio en caso de fallos.

77

7.3 Resumen de medidas de seguridad

En este apartado se van a detallar en resumen las medidas correctoras que se recomiendan para dotar a la empresa de un nivel de seguridad adecuado para sus activos.

Medidas preventivas

• Instalación de dispositivos de protección de líneas eléctricas contra sobrecargas.

• Instalación de dispositivos SAI (Sistemas de Alimentación Ininterrumpida).

• Realización periódica de copias de Backup localizadas en servidores externos a la empresa.

• Revisión periódica de la instalación eléctrica.

• Instalación de dispositivos automáticos de extinción de incendios.

• Distribución de extintores a lo largo de toda la dependencia de la empresa, en especial cerca de elementos informáticos críticos.

• Contratación de dos líneas exteriores con suministradores de internet para garantizar siempre una conexión mínima a la red.

• Instalación de un servidor de almacenamiento centralizado.

• Realizar periódicamente, o cuando sea requerido por el distribuidor del Software, las actualizaciones oportunas para mantener al día los distintos programas y Sistemas Operativos.

• Instalación de bases de datos centralizadas.

• Disponer de Software de calidad y debidamente revisado.

• Establecer una política de contraseñas.

• Montaje de una red interna en la empresa.

• Mantener correctamente instalados y actualizados los sistemas de seguridad Software de los que dispone la empresa.

• Instalación en la totalidad de equipos de la empresa igual Software de seguridad que garantice la seguridad de los equipos.

• Instalación de un Router de acceso gestionable más adecuado para la empresa que el proporcionado por la empresa suministradora del

78

servicio.

• Establecer una correcta configuración de seguridad para la red inalámbrica.

• Instalación de un servidor centralizado de copias de seguridad.

• Realización periódica de copias de seguridad.

• Establecimiento de procedimientos de seguridad.

• Establecimiento de planes de contingencia.

• Conseguir una adecuada concienciación del personal de la empresa.

• Disponer de un completo inventario de todos los activos de la empresa.

• Tener la alarma conectada cuando no hay personal dentro de las instalaciones de la empresa.

• Uso de Software comercial que asegure actualizaciones y mantenimiento con periodicidad.

Tabla 7.1: Medidas preventivas

Medidas correctoras

• Restauración de copias de Backup en el caso de haberse producido una pérdida de datos.

• Tener contratado un buen servicio técnico que asegure una rápida reparación y puesta en marcha de los equipos si se produce un fallo.

• Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones.

• Seguimiento de los procedimientos de seguridad establecidos para cada caso.

• Seguimiento del plan de contingencia especificado para cada caso.

• Trabajar únicamente con proveedores de probada solvencia y que garanticen una rápida reparación y restitución del servicio en caso de fallos.

• Realización de cursos de concienciación sobre la importancia de la

79

seguridad de los datos para el personal de la empresa.

• Dar de alta los ficheros con información del personal en la Agencia de Protección de Datos.

• Establecer las medidas de seguridad recogidas en la LOPD para los ficheros que lo requieran.

Tabla 7.2: Medidas correctoras

Riesgos asumibles

• Pérdida de las comunicaciones durante un periodo inferior a 24 horas.

• Fallo en alguna estación PC o portátil durante un periodo inferior a 24 horas.

• Fallo en los sistemas de comunicación de red durante un periodo no superior a 24 horas.

Tabla 7.3: Riesgos asumibles

80

8. RECOMENDACIONES FINALES

8.1 Introducción

La seguridad es un proceso continuo, no se pueden establecer unas medidas de seguridad extremas para mantener la integridad de los datos y procesos de la empresa y luego, olvidar que es necesario realizar un seguimiento continuo de las medidas implantadas, actualización de Software, revisión periódica del Hardware, etc.

Por ello una vez realizado el análisis de la empresa y dadas las recomendaciones necesarias para conseguir dotar a la empresa de las medidas de seguridad necesarias que cubran las precariedades con las que cuenta la empresa en materia de seguridad informática, se van a detallar unas recomendaciones finales, sobre todo de cara al futuro, para que la empresa consiga mantener el nivel de seguridad alcanzado gracias a las recomendaciones dadas.

8.2 Recomendaciones

- Mantener correctamente actualizado todo el Software de la empresa, antivirus, Sistema Operativo, Software de gestión, etc.

- Realizar, al menos una vez a la semana, copias de respaldo de todos los datos generados durante el periodo desde la última copia de seguridad.

- Realizar auditorías periódicas, recomendablemente bienales, del nivel de seguridad en que se encuentra la empresa.

- Se recomienda la contratación de personal adecuado para el mantenimiento de los sistemas y los procedimientos de seguridad (al menos una).

- Cumplir correctamente con todo lo referente a la Ley Orgánica de Protección de Datos.

- Que el personal de la empresa siga las recomendaciones dadas en este documento.

81

9. PLANIFICACIÓN

Para llevar a cabo este proyecto se ha realizado una planificación dividiendo el proyecto en diferentes paquetes de trabajo.

Para identificar los diferentes paquetes de trabajo se seguirá la siguiente nomenclatura: “WP x”; donde “x” será el número del paquete de trabajo y en el caso de los subpaquetes se definirán: “WP x.y” donde “x” será el número del paquete e “y” sea el número de subpaquete.

PROYECTO

WP 1. Gestión

del proyecto

WP 1.1 Reuniones

de seguimiento

WP 2. Planificación

del proyecto

WP 3.Ejecución del

proyecto

WP 4. Cierre del

proyecto

WP 3.1 Análisis de

la empresa

WP 3.2 Inventario

Hardware

WP 3.3 Inventario

Software

WP 3.4 Plan de

recuperación

existente

WP 3.5 Análisis de

riesgos

WP 3.6 Análisis de

vulnerabilidades

WP 3.7 Plan de

seguridad

WP 3.8

Recomendaciones

finales

82

Figura 9.1: Paquetes de trabajo

Figura 9.2: Inventario Hardware

Figura 9.3: Inventario Software

WP 3.2 Inventario

Hardware

WP 3.2.1 Hardware

instalado

WP 3.2.2 Comunicaciones

WP 3.2.3 Seguridad física

WP 3.3 Inventario

Software

WP 3.3.1 Software

instalado

WP 3.3.2 Seguridad

Software

83

Figura 9.4: Plan de recuperación existente

Figura 9.5: Análisis de riesgos

La gestión del proyecto abarcará toda su vida con la realización de reuniones de seguimiento mensuales con el cliente para informarle de los avances del análisis de la empresa.

Los paquetes de trabajo definidos en la ejecución del proyecto se realizarán de forma secuencial.

WP 3.4 Plan de recuperación

existente

WP 3.4.1 Hardware de

recuperación

WP 3.4.2 Software de

recuperación

WP 3.4.3 Recursos

humanos

WP 3.4.4 Estrategias de

respaldo

WP 3.5 Análisis de

riesgos

WP 3.5.1 Identificación de

riesgos

WP 3.5.2 Valoración de

riesgos

85

Figura 9.6: Planificación

Como se puede ver en la planificación, la duración del proyecto se estima en 8 meses siendo los paquetes de trabajo con mayor duración:

- El análisis de riesgos que tiene una duración de 40 días.

- El análisis de vulnerabilidades que tiene una duración de un mes.

- La realización del plan de seguridad que tiene una duración de un mes.

- La realización de las recomendaciones futuras que tiene una duración de un mes.

86

10. PRESUPUESTO

A continuación se va a detallar el presupuesto necesario para la realización de este proyecto.

Para llevar a cabo este proyecto únicamente será necesaria la contratación de un auditor a tiempo completo durante la duración del proyecto.

Para realizar la valoración económica se considerara:

- Tarifa auditor: 50 € la hora.

- Media de horas laborables al mes: 160.

- Tiempo de desarrollo del proyecto: 8 meses.

Tarifa Horas mes Total

Analista Junior 35 €/hora 240 horas 8.400 €

Auditor 50 €/hora 60 horas 3.000 €

Total 11.400 €

Tabla 10.1: Presupuesto

87

11. CONCLUSIONES

Una vez concluido el trabajo de análisis de la empresa y dadas las recomendaciones de seguridad oportunas se finaliza el proyecto detallando las conclusiones obtenidas.

1. Los responsables de la empresa no tienen una buena conciencia de

lo importante que es la seguridad informática.

A lo largo de la realización del proyecto se ha comprobado en numerosas ocasiones que los responsables de la empresa no son conscientes de lo importante que es la seguridad informática para su proceso de negocio y lo vulnerable que es la empresa a posibles pérdidas de información.

2. La naturaleza de las amenazas que pueden afectar a una

organización ha cambiado.

Tal y como se comenta en la introducción la naturaleza de las amenazas ha cambiado, los creadores de virus ya no tratan de propagarlos rápidamente y conseguir con ello un “record” de infecciones y cierta notoriedad sino que ahora tratan de colarse en sistemas para robar el mayor número de información posible sin ser detectados.

3. La empresa se encuentra muy desprotegida ante posibles ataques

informáticos

Tal y como se ha visto a lo largo del proyecto en los análisis que se han realizado dentro de la empresa, reflejan una falta de preocupación por los sistemas de seguridad con los que ya se cuenta (la mayoría del Software de seguridad no se encuentra actualizado) y por mejoras que se puedan implantar en los sistemas.

4. A pesar de ser una pequeña empresa requiere una gran atención en

lo referente a la seguridad de su información.

Arroyo-Fuensaldaña es una empresa con una única sede y con poco personal, pero aun así requiere un gran esfuerzo, control y supervisión de todos los procesos informáticos que se producen para asegurar que no tengan lugar perdidas de información.

88

5. Con las recomendaciones dadas en el presente documento se

conseguirá dotar a la empresa de la seguridad que necesita.

Si se siguen todas las pautas dadas en el presente documento, la empresa podrá ponerse al día en la seguridad de sus sistemas y estará adecuadamente protegida.

89

BIBLIOGRAFIA

[HOWA06] Howard. 19 Puntos clave sobre seguridad de Software

Editorial McGraw-Hill, Madrid, 2006

[MAIW04] Maiwald, Eric. Fundamentos de seguridad de redes


[ALVA04] Álvarez Marañón, Gonzalo y Pérez García, Pedro. Seguridad informática para la empresa y particulares


[GOME06] Gómez Vieites, A. Enciclopedia de la Seguridad Informática

Editorial Ra-Ma, Madrid, 2006

[Web 1] www.rae.es

[Web 2] www.abcdatos.com

[Web 3] www.avasthome.com

[Web 4] www.McAfee.es

[Web 5] www.nokia.es

[Web 6] www.bsecure.com

[Web 7] www.iso27000.es

[Web 8] www.agpd.es

[Web 9] www.htc.es

[Web 10] www.telefonica.es

90

ANEXOS

ANEXO 1. WinAudit

[Web 2]

WinAudit es un completo programa bajo licencia Freeware con el que se puede realizar una completa auditoria de cualquier estación informática.

WinAudit analiza completamente el equipo y realiza un informe completo incluyendo todo el Software instalado, configuración de seguridad, configuración de red, Hardware instalado, mapeo de puertos, configuración de Firewall, incluso diagnósticos de fallo de Hardware.

Los informes elaborados por WinAudit pueden imprimirse en diferentes formatos como html, pdf, txt, xml, etc.

Requisitos mínimos

WinAudit funciona bajo cualquier Sistema Operativo Windows, desde el 95 al Vista.

No requiere de instalación pues funciona simplemente con ejecutar el archivo .exe del programa.

Figura A.1: Pantalla principal WinAudit

91

Pantalla principal

En la pantalla inicial del programa se puede seleccionar el idioma para realizar el inventario y a continuación iniciar la recolección de datos de la estación.

Figura A.2: Pantalla de análisis WinAudit

Pantalla de análisis

Una vez iniciado el análisis, y mientras éste se realiza, se puede detener en cualquier momento, así como elegir el formato en el que se mostrará la información.

92

Figura A.3: Información recolectada WinAudit

Información recolectada

Una vez finalizado el análisis WinAudit muestra toda la información que ha recolectado de la estación.

En la parte derecha se muestra un menú desplegable gracias al cual es posible navegar a través de las distintas informaciones recopiladas del equipo.

Al realizar el guardado del documento, éste se almacenará en el formato escogido.

93

ANEXO 2. ISO 17799

La norma ISO 17799 es un código de buenas prácticas en la seguridad de la información que estandariza el correcto tratamiento de la seguridad de la información dentro de la organización.

La norma establece 10 áreas de seguridad que hay que tener en cuenta:

- Políticas de seguridad.

- Organización de la seguridad.

- Clasificación y control de activos.

- Seguridad ligada al personal.

- Seguridad física.

- Seguridad lógica.

- Control de accesos.

- Mantenimiento y desarrollo de los sistemas.

- Continuidad del negocio

- Cumplimiento con la legislación vigente.

La norma tiene en cuenta 36 objetos de seguridad así como 127 controles de seguridad.

La norma:

- Especifica los requisitos para establecer, implantar, documentar y evaluar un sistema de gestión de seguridad de la información según la norma ISO 17799.

- Define los controles de seguridad a revisar.

- Define el marco general del sistema gestión de seguridad de la información.

- Define como implantar el sistema de gestión de seguridad de la información.

- Define como se realiza la explotación.

- Define como realizar la revisión y mejora del sistema de gestión de seguridad de la información.

94

ANEXO 3. Diagnóstico de la empresa

Como ayuda a la realización del análisis de requisitos se ha realizado dentro de la empresa el cuestionario de diagnóstico basado en la norma ISO 17799.

A la hora de evaluar cada control de seguridad se hará con:

- Sí: Si la medida se aplica en la empresa.

- No: Si la medida no se aplica en la empresa.

- No aplicable: Si la medida no es aplicable dentro de la empresa.

Políticas de seguridad Se aplica en la

empresa

Existen documento(s) de políticas de seguridad de SI No

Existe normativa relativa a la seguridad de los SI No

Existen procedimientos relativos a la seguridad de los SI No

Existe un responsable de las políticas, normas y procedimientos

No

Existen mecanismos para la comunicación a los usuarios de las normas

No

Existen controles regulares para verificar la efectividad de las políticas

No

Organización de la seguridad

Existen roles y responsabilidades definidos para las personas implicadas en la seguridad

No

Existe un responsable encargado de evaluar la adquisición y cambios del SI

No

Existen condiciones contractuales de seguridad con terceros y outsourcing

Sí

Se revisa la organización de la seguridad periódicamente por una empresa externa

No

Existe un contrato de mantenimiento y soporte con Sí

95

empresa externa para contingencias

Existen programas de formación en seguridad No

Clasificación y control de activos

Existe un inventario de activos actualizado Sí

El inventario contiene activos de datos, software, equipos y servicios

Sí

Se dispone de una clasificación de la información según la criticidad de la misma

No

Existen procedimientos para clasificar la información No

Existen procedimientos de etiquetado de la información No

Seguridad del personal

Se tienen definidas responsabilidades y roles de seguridad

No

Se tiene en cuenta la seguridad en la selección de personal

No

Se plasman las condiciones de confidencialidad y responsabilidades en los contratos

No

Se imparte la formación adecuada de seguridad No

Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad

No

Se recogen los datos de los incidentes de forma detallada

No

Informan los usuarios de las vulnerabilidades observadas o sospechadas

Sí

Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades

Sí

Seguridad física y del entorno

Existe un perímetro de seguridad física Sí

Existen controles de entrada para protegerse frente al acceso de personal no autorizado

Sí

96

Un área segura ha de estar cerrada y aislada No

En las áreas seguras existen controles adicionales al personal propio y ajeno

No

Las áreas de carga y expedición están aisladas de las áreas del SI

No aplicable

La ubicación de los equipos está de tal manera para minimizar accesos innecesarios

No

Existen protecciones frente a fallos en la alimentación eléctrica

No

Existe seguridad en el cableado frente a daños e intercepciones

No

Se asegura la disponibilidad e integridad de todos los equipos

No

Existe algún tipo de seguridad en los equipos ubicados exteriormente

No aplicable

Existen políticas de limpieza en el puesto de trabajo Sí

Gestión de comunicaciones y operaciones

Todos los procedimientos operativos identificados en la política de seguridad han de estar documentados

No

Están establecidas responsabilidades para controlar cambios en los equipos

No

Están establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a incidentes de seguridad

No

Existe algún método para reducir el mal uso accidental o deliberado en los sistemas

No

Existe una separación de los entornos de desarrollo y producción

No

Existen contratistas externos para la gestión de los SI Sí

Existe un plan de capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento

No

97

Existen criterios de aceptación de nuevos SI, incluyendo actualizaciones y nuevas versiones

No

Controles contra software maligno Sí

Realizar copias de backup de la información esencial para el negocio

No

Existen logs para las actividades realizadas por los operadores y administradores

No

Existen logs de fallos detectados No

Existe algún control en las redes No

Hay establecidos controles para realizar la gestión de los medios informáticos

No

Eliminación de los medios informáticos. Pueden disponer de información sensible

No

Existe seguridad de la documentación de los sistemas No

Existen acuerdos para intercambio de información y software

No

Existen medidas de seguridad de los medios en el transito Sí

Existen medidas de seguridad en el comercio electrónico

No aplicable

Se han establecido e implantado medidas para proteger la confidencialidad e integridad de la información publicada

No

Control de accesos

Existe una política de control de accesos No

Existe un procedimiento formal de registro y de baja No

Se controla y restringe la asignación y uso de privilegios en entornos multiusuario

No

Existe una gestión de los password de los usuarios No

Existe una revisión de los derechos de acceso de los usuarios

No

98

Existe el uso de password No

Se protege el acceso a los equipos desatendidos No

Existe una política de uso de los servicios de red No

Se asegura la ruta desde el terminal al servicio No

Existe una autenticación de usuarios en conexiones externas

No

Existe una autenticación de los nodos No

Existe un control en la conexión de las redes No

Existe un control de routing de las redes No

Existe una identificación automática de los terminales No

Existen procedimientos de log-on al terminal No

Está controlado el teletrabajo en la organización No aplicable

Desarrollo y mantenimiento de los sistemas

Se asegura que la seguridad está implantada en los SI Sí

Existe seguridad en las aplicaciones Sí

Existen controladores criptográficos No

Existe seguridad en los ficheros de los sistemas No

Existe seguridad en los procesos de desarrollo y soporte No

Gestión de la continuidad del negocio

Existen procesos para la gestión de la continuidad No

Existe un plan de continuidad del negocio y análisis de impacto

No

Existe un diseño, redacción e implantación de planes de continuidad

No

Existe un marco de planificación para la continuidad del negocio

No

Existen prueba, mantenimiento y reevaluación de los planes de continuidad del negocio

No

99

Conformidad

Se tiene en cuenta el cumplimiento con la legislación No

Existe una revisión de la política de seguridad y de la conformidad técnica

No

Existen consideraciones sobre las auditorias de los sistemas

No

Tabla A.1: Diagnóstico de la empresa

plan de seguridad para una pequeña empresa...iv resumen el presente proyecto es el resultado de la...

Documents