UNIVERSIDAD PONTIFICIA COMILLAS

ESCUELA TCNICA SUPERIOR DE INGENIERA (ICAI)

INGENIERO EN INFORMTICA

PROYECTO FIN DE CARRERA

PLAN DE SEGURIDAD PARA UNA PEQUEA EMPRESA

AUTOR: JORGE COLINAS RAMREZ MADRID, Septiembre del 2008

Porque el ayer es slo un sueo y el maana una visin: Pero el presente bien vivido hace del ayer un sueo de felicidad y del maana una visin de esperanza.

Aprovecha bien, pues, el da de hoy. Proverbio snscrito

Jorge.

II

AGRADECIMIENTOS
En primer lugar, quiero dar las gracias por su afecto y amistad a todos los compaeros con los que he compartido el viaje que han supuesto estos aos en la Universidad. De la misma manera, quiero reconocer a todos mis profesores la labor, en ocasiones no demasiado fcil, de transmitir sus conocimientos que suponen y supondrn la inspiracin necesaria para los futuros grandes retos que llegue a plantear la vida. Por ltimo, pero no menos importante, agradecer a mis padres el apoyo y confianza depositada en m en todo momento. Gracias a todos. Merece una mencin especial Ana, cuyo apoyo, ayuda e inspiracin me sirven para conseguir superar da a da los retos que me plantea la vida. Muchas gracias mi vida.

Jorge.

III

RESUMEN

El presente proyecto es el resultado de la realizacin de un completo anlisis de la empresa Arroyo-Fuensaldaa, ubicada en Valladolid, para evaluar el nivel de seguridad de sus datos y sus procesos informticos. Primeramente se ha estudiado la empresa para evaluar cul es su situacin respecto a estos trminos, enumerando las amenazas que la afectaran, as como el impacto que produciran stas en la empresa en el caso de que llegaran a producirse. De esta manera se determinan cules son las vulnerabilidades de la empresa y qu medidas sera necesario adoptar para conseguir dotar a la misma de un nivel de seguridad adecuado para proteger su informacin en funcin del tipo de empresa, elementos informticos usados y activos en peligro. Para la elaboracin del proyecto se han seguido las siguientes fases: Anlisis de la empresa. Realizacin de un inventario de todos los elementos Hardware y Software con que cuenta la empresa. Anlisis de riesgos, determinando cules pueden afectar a la empresa y el posible impacto que pueden tener. Identificacin de las vulnerabilidades de la empresa en funcin de los riesgos que pueden afectarla y sus agujeros de seguridad. Recomendaciones para eliminar las vulnerabilidades existentes y conseguir un adecuado nivel de seguridad informtica.

Para determinar los riesgos que pueden afectar a la empresa se tienen en cuenta factores ambientales, fallos de las instalaciones, fallos humanos, robos, problemas con el Software o Hardware, empleados descontentos, etc. Para proponer soluciones a adoptar dentro de la empresa se ha tenido en cuenta la situacin de la empresa en el mercado, las vulnerabilidades que podran afectarle y las medidas de seguridad con las que ya cuenta la empresa.

IV

ABSTRACT

This project is a result of a complex analysis production made by ArroyoFuensaldaa Company, located in Valladolid (Spain), to evaluate the security level of their data bank and informatic processes. First of all the company has been scrutinized to evaluate its situation on this matter, listing the threats that may affect it, as well as their impact they may produce in case that they occur. This way determines which are company's vulnerabilities and the measures it should be neccesary to adapt to achieve equip it of a suitable security level to protect its information according to the kind of company, infomratic elements used and actives in risk.

NDICE

INTRODUCCIN ............................................................................................................................. 1 1. ANLISIS DE LA EMPRESA ......................................................................................................... 3 1.1 Historia ................................................................................................................................ 3 1.2 Actividades .......................................................................................................................... 3 1.3 Sede de la empresa ............................................................................................................. 4 1.4 Balance econmico 2007 .................................................................................................... 4 1.5 Personal ............................................................................................................................... 4 1.6 Arquitectura ........................................................................................................................ 5 1.7 Estrategia a seguir ............................................................................................................... 6 2. INVENTARIO HARDWARE .......................................................................................................... 7 2.1 Introduccin ........................................................................................................................ 7 2.2 Hardware instalado ............................................................................................................. 7 2.3 Comunicaciones ................................................................................................................ 10 2.4 Seguridad fsica ................................................................................................................. 12 2.5 Conclusiones...................................................................................................................... 13 3. INVENTARIO SOFTWARE ......................................................................................................... 14 3.1 Introduccin ...................................................................................................................... 14 3.2 Software instalado ............................................................................................................ 14 3.3 Seguridad software ........................................................................................................... 17 3.4 Conclusiones...................................................................................................................... 19 4. PLAN DE RECUPERACIN EXISTENTE ...................................................................................... 20 4.1 Introduccin ...................................................................................................................... 20 4.2 Hardware de recuperacin................................................................................................ 20 4.3 Software de recuperacin ................................................................................................. 20 VI

4.4 Recursos humanos ............................................................................................................ 20 4.5 Estrategias de respaldo ..................................................................................................... 20 5. ANLISIS DE RIESGOS .............................................................................................................. 21 5.1 Introduccin ...................................................................................................................... 21 5.2 Identificacin de las amenazas.......................................................................................... 22 5.2.1 Desastres naturales .................................................................................................... 23 5.2.1.1 Tormentas y rayos ............................................................................................... 23 5.2.1.2 Terremotos .......................................................................................................... 24 5.2.1.3 Inundaciones ....................................................................................................... 27 5.2.2 Estructurales............................................................................................................... 29 5.2.2.1 Incendios ............................................................................................................. 29 5.2.2.2 Cortes elctricos .................................................................................................. 31 5.2.2.3 Agua..................................................................................................................... 32 5.2.2.4 Refrigeracin ....................................................................................................... 32 5.2.2.5 Comunicaciones .................................................................................................. 33 5.2.3 Hardware .................................................................................................................... 34 5.2.3.1 Fallo de servidores .............................................................................................. 34 5.2.3.2 Fallo de estaciones PC ......................................................................................... 34 5.2.3.3 Fallo de porttiles................................................................................................ 35 5.2.4 Software ..................................................................................................................... 37 5.2.4.1 Errores en los SSOO ............................................................................................. 37 5.2.4.2 Errores en las Bases de Datos ............................................................................. 38 5.2.4.3 Errores en las aplicaciones .................................................................................. 38 5.2.4.4 Errores en los elementos de seguridad ............................................................... 40 5.2.5 Red LAN y WAN .......................................................................................................... 42 5.2.5.1 Red interna .......................................................................................................... 42 5.2.5.2 Sistemas de seguridad de las comunicaciones ................................................... 42 VII

5.2.5.3 Redes pblicas ajenas ......................................................................................... 44 5.2.6 Copias de seguridad ................................................................................................... 46 5.2.6.1 Fallos en soportes de copias de seguridad.......................................................... 46 5.2.7 Informacin ................................................................................................................ 47 5.2.7.1 Ficheros ............................................................................................................... 47 5.2.7.2 Procedimientos de seguridad de la informacin ................................................ 48 5.2.7.3 Planes de contingencia ........................................................................................ 48 5.2.8 Personal ...................................................................................................................... 49 5.2.8.1 Errores y ataques de personal interno ................................................................ 49 5.2.8.2 Errores y ataques de personal externo ............................................................... 49 5.2.9 Riesgos contra el patrimonio ..................................................................................... 51 5.2.9.1 Robo .................................................................................................................... 51 5.2.9.2 Prdida no intencionada de activos .................................................................... 52 5.2.10 Legislacin ................................................................................................................ 54 5.2.11 Otros riesgos ............................................................................................................ 55 5.2.11.1 Terrorismo ......................................................................................................... 55 5.2.11.2 Imagen de empresa ........................................................................................... 56 5.2.11.3 Insolvencia de servicios externos ...................................................................... 57 6. ANALISIS DE VULNERABILIDADES ............................................................................................ 59 6.1 Introduccin ...................................................................................................................... 59 6.2 Identificacin de vulnerabilidades .................................................................................... 59 6.2.1 Vulnerabilidades relacionadas con desastres naturales ............................................ 59 6.2.2 Vulnerabilidades relacionadas con amenazas estructurales ..................................... 60 6.2.3 Vulnerabilidades relacionadas con el Hardware ........................................................ 60 6.2.4 Vulnerabilidades relacionadas con el Software ......................................................... 61 6.2.5 Vulnerabilidades relacionadas con las redes de comunicacin ................................. 62 6.2.6 Vulnerabilidades relacionadas con las copias de seguridad ...................................... 62 VIII

6.2.7 Vulnerabilidades relacionadas con la informacin .................................................... 63 6.2.8 Vulnerabilidades relacionadas con el personal .......................................................... 63 6.2.9 Vulnerabilidades relacionadas con el patrimonio ...................................................... 64 6.2.10 Vulnerabilidades relacionadas con la legislacin ..................................................... 64 6.2.11 Otras vulnerabilidades ............................................................................................. 64 6.3 Valoracin de las vulnerabilidades .................................................................................... 65 7. PLAN DE SEGURIDAD ............................................................................................................... 68 7.1 Introduccin ...................................................................................................................... 68 7.2 Plan de seguridad .............................................................................................................. 68 7.2.1 Medidas aplicadas a desastres naturales ................................................................... 69 7.2.2 Medidas aplicadas a problemas estructurales .......................................................... 69 7.2.3 Medidas aplicadas a problemas de Hardware .......................................................... 70 7.2.4 Medidas aplicadas a problemas de Software............................................................ 71 7.2.5 Medidas aplicadas a problemas de red ..................................................................... 71 7.2.6 Medidas aplicadas a problemas de las copias de seguridad ..................................... 72 7.2.7 Medidas aplicadas a problemas con la informacin ................................................. 73 7.2.8 Medidas aplicadas a problemas con el personal....................................................... 74 7.2.9 Medidas aplicadas a problemas con el patrimonio................................................... 74 7.2.10 Medidas aplicadas a informacin que debe ser declarada ante la Agencia de Proteccin de Datos ............................................................................................................ 75 7.2.11 Medidas aplicadas a problemas provocados por otros riesgos ............................... 76 7.3 Resumen de medidas de seguridad .................................................................................. 77 8. RECOMENDACIONES FINALES ................................................................................................. 80 8.1 Introduccin ...................................................................................................................... 80 8.2 Recomendaciones ............................................................................................................. 80 9. PLANIFICACION........................................................................................................................ 81 10. PRESUPUESTO ....................................................................................................................... 86 IX

11. CONCLUSIONES ..................................................................................................................... 87 BIBLIOGRAFA .............................................................................................................................. 89 ANEXOS ....................................................................................................................................... 90 ANEXO 1. WinAudit ................................................................................................................. 90 ANEXO 2. ISO 17799 ................................................................................................................ 93 ANEXO 3. Diagnstico de la empresa ...................................................................................... 94

NDICE DE FIGURAS
Figura 1.1: Planta de la oficina.5 Figura 2.1: Equipo 1.7 Figura 2.2: Equipo 2.8 Figura 2.3: Equipo 3.8 Figura 2.4: Impresora 1.9 Figura 2.5: Impresora 2.9 Figura 2.6: Escner9 Figura 2.7: Fotocopiadora9 Figura 2.8: Telfono 1.10 Figura 2.9: Telfono 2.11 Figura 2.10: Mvil 1..11 Figura 2.11: Mvil 2..11 Figura 2.12: Mvil 3..11 Figura 2.13: Fax11 Figura 2.14: Router12 Figura 2.15: Destructora12 Figura 9.1: Paquetes de trabajo...81 Figura 9.2: Inventario Hardware..82 Figura 9.3: Inventario Software82 Figura 9.4: Plan de recuperacin existente.83 Figura 9.5: Anlisis de riesgos83 Figura 9.6: Planificacin.84 Figura A.1: Pantalla principal WinAudit..90 Figura A.2: Pantalla de anlisis WinAudit..91 Figura A.3: Informacin recolectada WinAudit.92

XI

NDICE DE TABLAS
Tabla 3.1: Terremotos.24 Tabla 6.1: Valoracin de vulnerabilidades65 Tabla 7.1: Medidas preventivas77 Tabla 7.2: Medidas correctoras78 Tabla 7.3: Riesgos asumibles..79 Tabla 10.1: Presupuesto86 Tabla A.1: Diagnstico de la empresa..94

XII

INTRODUCCIN
La informacin es hoy en da uno de los activos ms importantes con los que cuenta cualquier empresa; un activo que no siempre tiene la consideracin e importancia necesaria dentro de algunas empresas. Antiguamente toda la informacin era almacenada en papel, por lo que toda su seguridad se limitaba a una seguridad fsica, actualmente existen multitud de dispositivos en los que se puede almacenar la informacin, por lo tanto la forma de evitar accesos a esa informacin ha cambiado. El primer ataque informtico considerado como tal ocurri un viernes 13 de 1989 en el que una revista especializada distribuyo disquetes promocionales, los cuales estaban infectados con un virus que afecto a multitud de empresas y particulares. Actualmente la naturaleza y la forma de difusin de los ataques ha cambiado; antes los hackers buscaban producir daos en los sistemas por el simple hecho de conseguir un poco de fama, actualmente slo buscan obtener informacin y dinero levantando el menor revuelo posible y siempre aprovechando los recursos disponibles en la Web. Al da se producen ms de 6.000 ataques informticos; las empresas que se llevan la peor parte de estos ataques suelen sufrirlos mediantes troyanos que intentan robar informacin de los sistemas en los que se instalan. La mayora de estos ataques (se calcula que en torno al 60%) provienen de la propia organizacin por parte de algn empleado descontento y que quiere infligir dao a la empresa. [Web 6] Es necesario hacer ver a las empresas la importancia que tiene la seguridad de su informacin dentro de sus procesos de negocio puesto que una prdida de informacin puede comprometer negocios que en algunos casos podran llegar a suponer prdidas millonarias para las empresas. Las grandes empresas (varias sucursales y mucho personal) suelen ser muy sensibles a aplicar tcnicas de seguridad informtica en su organizacin puesto que en general son conscientes del peligro que supone tener su red interna, sus equipos, etc. abiertos al exterior, o a un posible ataque interno. Sin embargo en el caso de empresas pequeas (pequeas sucursales y poco personal) la seguridad informtica no suele ser un tema de mxima prioridad por lo que pueden llegar a tener problemas de prdidas de informacin o de intrusismos en su red. Por ello es necesario poner nfasis en esas medianas y pequeas empresas para conseguir hacer ver a sus responsables que los datos de su negocio 1

pueden verse comprometidos intencionada o accidentalmente en cualquier momento y sin que ellos puedan hacer nada para remediarlo si no disponen de un correcto sistema de seguridad y respaldo.

1. ANLISIS DE LA EMPRESA
1.1 Historia
Arroyo-Fuensaldaa naci el 21 de febrero de 2001 como empresa promotora. Ubicada originalmente en el nmero 20 de la calle Santiago de Valladolid inicia su actividad realizando una pequea promocin de 3 viviendas unifamiliares adosadas en la localidad de Fuensaldaa, ubicada a 6 kilmetros de Valladolid. Tras el xito de esa primera promocin Arroyo-Fuensaldaa realiz otra promocin en esa misma localidad de 10 viviendas unifamiliares pareadas y plane la construccin de 100 viviendas en altura tambin ubicadas en dicha poblacin. En la misma poca en la que se inici la promocin de las 10 viviendas unifamiliares pareadas, Arroyo-Fuensaldaa inici otra actividad relacionada con el sector, como es la gestin de suelo para la construccin de viviendas. El 16 de junio de 2004 Arroyo-Fuensaldaa traslad su sede del nmero 20 al nmero 13 de la calle Santiago; una sede mucho ms grande y ms confortable. La empresa ha llegado a la actualidad dedicndose principalmente a los negocios de suelo para construccin y en los ltimos tiempos, sobre todo para intentar salvar la crisis que est afectando al sector, ha comenzado a invertir en el negocio de las obras de arte con la apertura de una galera, que sirve para potenciar a nuevos artistas, en la calle Claudio Moyano nmero 5 de Valladolid.

1.2 Actividades
Arroyo-Fuensaldaa naci como una empresa promotora de viviendas principalmente en la localidad de Fuensaldaa, con la experiencia y los buenos resultados de las promociones los administradores de la empresa decidieron cambiar la principal actividad de la misma para dedicarse principalmente al negocio del suelo para construccin. En el ltimo ao, la empresa ha decidido introducirse tambin en el negocio del arte con la apertura de una galera para exposicin de pintura y escultura.

1.3 Sede de la empresa

La empresa se localiza en el 2 G del nmero 13 de la calle Santiago en Valladolid. sta es la nica sede con la que cuenta la empresa.

1.4 Balance econmico 2007

Gracias a los negocios que mantiene la empresa, y a pesar de la crisis que est viviendo el sector, Arroyo-Fuensaldaa consigui una facturacin en el ao 2007 de 987 M.

1.5 Personal
La empresa cuenta con pocos empleados, nicamente dos personas trabajan en ella a diario. A pesar del escaso personal con el que cuenta es una de las empresas importantes en el sector en la zona de Valladolid (Castilla y Len).

1.6 Arquitectura
Al tratarse de una empresa pequea (con pocos empleados) y contar nicamente con una sede, su arquitectura de red no es muy complicada pues tiene pocos puestos de trabajo.

Figura 1.1: Planta de la oficina

La empresa cuenta nicamente con tres estaciones de trabajo, dos fijas situadas cada una en uno de los despachos y una mvil que suele estar en la sala de reuniones. La empresa cuenta con conexin exterior a Internet mediante banda ancha, pero no dispone de una arquitectura de red local. En la figura se puede ver la ubicacin de los elementos fsicos que componen la empresa.

1.7 Estrategia a seguir

Para conseguir dotar a la empresa de un nivel de seguridad de su informacin aceptable se van a seguir los siguientes pasos: Obtencin de una fotografa del estado actual de la seguridad de la informacin dentro de la empresa, poniendo especial atencin a la informacin ms delicada para el negocio. Evaluacin de material Hardware y Software con que cuenta la empresa para proteger la informacin de su negocio. Evaluacin de los riesgos que pueden afectar a la empresa. Midiendo en qu grado pueden afectar cada uno de esos riesgos, cul sera su impacto, que probabilidades reales existen de que ese riesgo se materialice y cmo evitar que el riesgo llegue a producirse o cmo minimizar su impacto. Elaboracin de recomendaciones de cara a mantener la seguridad de la informacin dentro de la empresa.

2. INVENTARIO HARDWARE
2.1 Introduccin
A continuacin se va a detallar todo el Hardware del que dispone la empresa para llevar a cabo sus procesos informticos. En este apartado se va a realizar un inventario de todo el Hardware instalado, poniendo especial atencin en si existe Hardware especfico dedicado a Backup o elementos de seguridad similares. Tambin se realizar un inventario de las comunicaciones existentes, tanto con el exterior como dentro de la misma oficina as como los elementos de seguridad fsica existentes dentro de la oficina tales como alarmas, cerraduras, etc.

2.2 Hardware instalado

Para realizar el inventario del Hardware instalado de forma adecuada se ha usado el programa WinAudit [Web 2] con el que se puede realizar una auditora completa de los equipos informticos. - Equipo 1. Ordenador en torre. Procesador: Intel(R) Pentium(R) 4 CPU 3.00GHz, 2998MHz. Placa base: ASUSTeK Computer Inc. Memoria SDRAM: 512 MB. Memoria cach L1: 16 KB. Memoria cach L2: 2.048 KB. Disco duro: Maxtor 6V160E0 de 149 GB. Unidades DVD: BENQ DVDDD DW1640. HL-DT-ST DVD-ROM G0R8164B. Tarjetas de red: Intel PRO/1000 MT Network Connection. Linksys Wireless-B usb Network Adapter v2.8. Monitor: LG Flatron L1717S.
Figura 2.1: Equipo 1

Equipo 2. Ordenador en torre.

Procesador: Intel(R) Pentium(R) 4 CPU 1.80GHz, 1793MHz. Placa base: Quntumn Designs Limited. Memoria DRAM: 256 MB. Memoria cach L1: 8 KB. Memoria cach L2: 256 KB. Disco duro: ST360020A de 55,9 GB. Unidades DVD: LG DVD-ROM DRD8160B. Unidades CD: HL-DT-ST CD-RW GCE-8400B. Tarjetas de red: NIC Fast Ethernet PCI Familia RTL8139 de Realtek. Monitor: LG Studioworks 700S.
Figura 2.2: Equipo 2

Equipo 3. Ordenador porttil.

Procesador: Intel(R) Pentium(R) M processor 1.73GHz, 1728MHz. Placa base: HTW00 de Toshiba. Memoria SDRAM: 1022MB. Memoria cach L1: 32 KB. Memoria cach L2: 2.048 KB. Disco duro: TOSHIBA MK6034GSX de 55.9GB. Unidades DVD: Pioneer DVD-RW DVR-K165.
Figura 2.3: Equipo 3

Tarjetas de red: Realtek RTL8139/810x Family Fast Ethernet NIC. Intel(R) PRO/Wireless 2915ABG Network Connection. Bluetooth Personal Area Network from Toshiba.

Impresoras

HP Deskjet 5657.

Figura 2.4: Impresora 1

HP Laserjet 1160.

Figura 2.5: Impresora 2

Escner

Color page-Vivid III v2 de Genius.

Figura 2.6: Escner

Fotocopiadora

Gestenter 1802d de Aticio.

Figura 2.7: Fotocopiadora

2.3 Comunicaciones
A continuacin se van a detallar los distintos tipos de comunicaciones de los que dispone la empresa, tanto dentro de los equipos informticos como telfonos, etc. Equipo 1

Dispone de dos tarjetas de red: o Intel PRO/1000 MT Network Connection. o Linksys Wireless-B usb Network Adapter v2.8.

Equipo 2

Dispone de una nica tarjeta de red: o NIC Fast Ethernet PCI Familia RTL8139 de Realtek.

Equipo 3

Dispone de tres tarjetas de red: o Realtek RTL8139/810x Family Fast Ethernet NIC. o Intel(R) PRO/Wireless 2915ABG Network Connection. o Bluetooth Personal Area Network from Toshiba.

Telfonos

En la oficina se dispone de varios terminales fijos as como varios mviles. o Telfono fijo Siemens euroset 2015 (2 unidades).

Figura 2.8: Telfono 1

10

o Telfono fijo inalmbrico Telcom SPC-Solac.

Figura 2.9: Telfono 2

o Telfono mvil Nokia 6230. [Web 5]

Figura 2.10: Mvil 1

o Telfono mvil Nokia 6220 (2 unidades). [Web 5]

Figura 2.11: Mvil 2

o Telfono mvil-pda Htc p3300. [Web 9]

Figura 2.12: Mvil 3

Fax o Brother FAX-T74.

Figura 2.13: Fax

11

Router o Zyxel proporcionado por Telefnica.

Figura 2.14: Router

Conexin a Internet [Web 11] o Conexin ADSL de 3 MB contratada con Telefnica.

2.4 Seguridad fsica

En este apartado se van a detallar los elementos de seguridad fsica con los que cuenta la oficina para hacer frente a posibles accesos no deseados a sus equipos o a informacin confidencial de su negocio. Destructora de documentos ABC Shredmaster. Todos los documentos que se tiran a la basura han de ser pasados primeramente por la destructora de documentos.
Figura 2.15: Destructora

Alarma SERURMAP de MAPFRE seguridad. La oficina cuenta con 7 detectores de alarma: o 1 en cada una de las 5 habitaciones. o 1 en el pasillo. o 1 en la entrada. Puerta de acceso blindada de seguridad. Todos los despachos donde hay equipamiento documentacin crtica cuentan con cerradura. informtico y

La oficina tambin cuenta con mquinas de aire acondicionado en cada una de las salas donde hay instalado un equipo.

12

2.5 Conclusiones
La empresa cuenta con un equipamiento informtico tal vez un poco obsoleto para el tipo de equipos que existen hoy en da. Los equipos estn escasos, sobre todo, en memoria RAM. Las medidas de seguridad fsicas son correctas puesto que son adecuadas para evitar el acceso a personal ajeno a la empresa al equipamiento y documentacin de la misma. Tal vez un punto dbil es el Router de conexin a Internet pues ese modelo es un poco anticuado y puede ser vulnerable a ataques externos.

13

3. INVENTARIO SOFTWARE
3.1 Introduccin
A continuacin se van a detallar todos los elementos Software de los que est provista la empresa, poniendo especial atencin en aquellos que estn destinados especficamente a la seguridad de los datos almacenados dentro de la empresa. Tambin se intentar especificar el nivel de proteccin Software con que cuenta la empresa para poder analizar posteriormente los riesgos a los cuales puede estar expuesta.

3.2 Software instalado

Para realizar el inventario de del Software instalado de forma adecuada se ha usado el programa WinAudit con el que se puede realizar una auditora completa de los equipos informticos. Equipo 1

El equipo 1 cuenta con el siguiente Software instalado: o Sistema Operativo Windows XP Home Edition con Service pack 2 o Acrobat Reader 7.0 o Adobe Photoshop Album Startes Edition 3.0 o ATI catayst control center o Avast! Antivirus [Web 3] o Barra Yahoo o Google toolbar para Internet Explorer o Java SE runtime enviroment 6 o Macromedia Flash player 8 o Macromedia Shockwave player o Microsoft .NET Framework 1.1 o Microsoft Office Professional Edition 2003 o Mozilla Firefox 14

o Nero 6 ultra edition o Omni Mouse driver 4.0 o Power DVD o Software de conexiones de red Intel(R) PRO v9.2.4.9 o Windows installer 3.1 o Windows media 11

Equipo 2

El equipo 2 cuenta con el siguiente Software instalado: o Sistema Operativo Windows XP Home Edition con Service pack 2 o AD-Aware SE Professional o Acrobat Reader 5.0 o Adobe Flash player activex o Boleto de condicionadas (Software que realiza Quinielas) o Google toolbar para Internet Explorer o HP Laserjet 116/1320 series o HP print scren utility o IVA 2002 (Programa de la Agencia Tributaria) o IVA 2003 (Programa de la Agencia Tributaria) o J2SE Runtime enviroment 5.0 o Java 6 o Modelo 180. De los aos 2002, 2003, 2004 (Programa de Agencia Tributaria) la

o Modelo 190. De los aos 2002, 2003, 2004, 2005 (Programa de la Agencia Tributaria) o Modelo 347. De los aos 2002, 2003, 2004, 2005 (Programa de la Agencia Tributaria) o Nero burning room 15

o McAfee security center o McAfee VirusScan Professional o Microsoft Office 2000 Premium o Olympus Camedia master 4.1 o Power DVD o Quick Time o Windows media 11 o Sociedades. De los aos 2002, 2003, 2004, 2005, 2006 (Programa de la Agencia Tributaria) o Sociedades. En sus versiones 5.1, 5.2, 6.0, 6.1, 6.2, 7.0 (Programa de la Agencia Tributaria)

Equipo 3

El equipo 3 cuenta con el siguiente Software instalado: o Sistema Operativo Windows XP Professional Service pack 2 o AD-Aware SE Personal o Adobe Photoshop CS o Acorbat Reader 8.1 o Autocad 2006 o Autocad 2007 o Avg antivirus 7.5 o Avg antispyware 7.5 o Compresor WinRar o Compresor WinZip o Canon utilities PhotoStich 3.1 o Divx player o Google earth o Google talk 16

o WinDVD 4 o iTunes o J2SE Runtime Environment 5.0 o Macromedia Studio MX o Microsoft Office 2003 Professional o Microsoft Office 2007 Enterprise o Mozilla Firefox o Nero 7 o Panel de control ATI o PDF Creator o Quick time o Skipe

3.3 Seguridad software

A continuacin se va a detallar la seguridad Software con la que cuentan los equipos. Equipo 1

Este equipo cuenta con la versin 4.7 del antivirus avast [Web 3]. Este antivirus dispone adicionalmente de antispyware y antirootkit y proporciona una seguridad adecuada para el equipo. Actualmente el antivirus de este equipo no se encuentra correctamente actualizado por lo que puede ser una amenaza para la seguridad del equipo. El equipo est protegido por el Firewall de Windows. El equipo est conectado a la red de la empresa mediante una conexin inalmbrica y configurada de forma que se le otorga la direccin IP automticamente.

17

Equipo 2

Este equipo cuenta con la proteccin del sistema McAfee Virus Scan Professional [Web 4] el cual cuenta con, adems del antivirus, antispyware y antiHacker. Proporciona una seguridad adecuada al equipo aunque al igual que en el caso del equipo 1 el antivirus no se encuentra correctamente actualizado. Este equipo tambin cuenta con la proteccin del antispyware AD-Aware SE Professional el cual s se encuentra correctamente actualizado. El equipo est protegido por el Firewall de Windows. El equipo est conectado a la red mediante un cable RJ45 directamente conectado con el Router de salida a Internet y configurado de forma que el Router le asigna automticamente la direccin IP.

Equipo 3

El equipo 3 cuenta con la proteccin del antivirus Avg en su versin 7.5. Al contrario que en el caso de los equipos actuales este antivirus est instalado en su versin gratuita y se encuentra correctamente actualizado. Tambin cuenta con el antispyware de Avg tambin en su versin 7.5. As mismo cuenta con la proteccin del AD-Aware SE Personal. Ambos antispyware se encuentran correctamente actualizados. El equipo se conecta a la red de la empresa mediante la conexin inalmbrica y est configurado para recibir automticamente la direccin IP del Router cada vez que se conecte a la red.

Router

El Router ha sido proporcionado por la compaa distribuidora de la lnea ADSL y su configuracin es: o Servidor DHCP activado de forma que cada vez que un equipo es conectado a la red se le concede una direccin IP privada dentro del rango que tiene determinado. o Para la conexin inalmbrica dispone de clave de acceso WEP. o No dispone de ninguna poltica de encriptacin de los datos.

18

3.4 Conclusiones
Los equipos de la empresa no estn excesivamente cargados de Software pero se aprecia un grave problema en la seguridad Software. Se dispone de antivirus pero stos no estn correctamente actualizados lo que puede ser un grave problema de seguridad. El Firewall usado en todos los equipos es el que trae por defecto el Sistema Operativo Windows y aunque no sea un mal Software puede no ser el ms indicado para un entorno empresarial. Dos de los tres equipos tienen instalada la versin Home edition del Sistema Operativo Windows XP; puede ser mucho ms til disponer de la versin Professional debido a sus caractersticas para conexiones en red. El Router de acceso a la red est correctamente configurado en el sentido de que dispone de una clave WEP para las conexiones inalmbricas pero sera deseable algn mtodo de encriptacin de la informacin o que el Router no asignara las direcciones IP automticamente. Tambin se puede observar que todo el Software, y por lo tanto la informacin, para la realizacin de las declaraciones a la Agencia Tributaria se encuentra en un nico equipo lo cual no es muy recomendable debido a que si ese equipo falla se perder toda la informacin relacionada con las ltimas declaraciones de Hacienda, las cuales deben ser guardadas durante un periodo estipulado.

19

4. PLAN DE RECUPERACIN EXISTENTE

4.1 Introduccin
En este apartado se determinar si la empresa cuenta con un plan de recuperacin adecuado en caso de producirse una prdida accidental o intencionada de los datos, especialmente los que puedan considerarse crticos para su negocio.

4.2 Hardware de recuperacin

Dentro de la empresa no disponen de Hardware especfico de recuperacin para casos de prdidas de equipamiento informtico o prdidas de informacin accidental o intencionada.

4.3 Software de recuperacin

Como en el caso del apartado anterior, dentro de la empresa no existe ningn Software especficamente dedicado a la recuperacin de informacin perdida.

4.4 Recursos humanos

Dentro de la empresa no existe un responsable informtico ni de seguridad que controle las polticas a seguir para realizar copias de respaldo de la informacin o en caso de prdida de informacin para recuperarla. Cuando surge algn problema relacionado con el equipamiento informtico, desde la empresa se contacta con el proveedor que suministr los equipos para que revise los posibles problemas.

4.5 Estrategias de respaldo

Dentro de la empresa no existe ningn tipo de estrategias de respaldo para evitar prdidas importantes de informacin. Es un fallo muy importante de seguridad pues ni siquiera se tienen copias de los archivos distribuidas en los diferentes equipos con los que se cuenta por lo que un fallo en alguno de los equipos podra resultar catastrfico pues se podra perder informacin valiosa y que no fuera posible su recuperacin. 20

5. ANLISIS DE RIESGOS
5.1 Introduccin
En este apartado se va a realizar un anlisis de riesgos completo de todo el sistema informtico de la empresa para ver las posibles amenazas que pueden afectar a la empresa, las vulnerabilidades de sta con respecto a las amenazas y el impacto que estas amenazas pudieran tener en la empresa en el caso de llegar a materializarse. En este apartado se van a tratar los siguientes temas: Activo: Algo de valor al que afecta una amenaza. Actor: Quin o qu puede violar los requisitos de seguridad. Amenaza: Actor cuya intrusin en el sistema puede provocar una violacin de los requisitos de seguridad de un activo (prdida de confidencialidad, prdida de disponibilidad, destruccin, prdida de integridad,). El motivo por que se produce una amenaza puede ser accidental (por ejemplo un desastre natural) o intencionado (por ejemplo una accin humana). Impacto: Efecto que producir una amenaza en el sistema si sta llega a hacerse realidad. Vulnerabilidad: Debilidad del sistema, la cual propicia que una amenaza se pueda hacer realidad. Riesgo: Posibilidad de que una amenaza se materialice debido a una vulnerabilidad del sistema sin corregir.

21

5.2 Identificacin de las amenazas

Las amenazas se van a clasificar en funcin de la importancia que pueden tener a la hora de afectar a la empresa en el caso de que ocurran. Se van a clasificar las amenazas en tres niveles: Importancia Alta: Tendran una repercusin muy alta dentro de la empresa en el caso de producirse; son las amenazas que se debern evitarse a toda costa. Sern identificadas con una A. Importancia Media: Tendran una repercusin importante aunque no muy crtica dentro de la empresa en el caso de producirse; aunque no resultan tan crticas como las clasificadas en Alta es conveniente tratar de evitar que ocurran. Sern identificadas con una M. Importancia Baja: No tienen una repercusin muy importante dentro del sistema y de la empresa. Es recomendable que no se produzcan pero tampoco sera necesario establecer medidas concretas para evitar este tipo de amenazas. Sern identificadas con una B.

Cada amenaza va a ser clasificada en 5 niveles de gravedad: Muy alta: Las prdidas para la empresa son importantsimas e irreparables. Alta: Las prdidas para la empresa son muy importantes pero pueden tener un remedio a medio-largo plazo. Media: Las prdidas son importantes pero tienen una solucin en corto plazo. Baja: Se producen prdidas mnimas sin gran impacto dentro de la organizacin. Muy baja: No se producen prdidas o stas son insignificantes y no afectan en prcticamente ningn grado a la organizacin.

22

5.2.1 Desastres naturales

Acciones climatolgicas y por lo tanto incontrolables que pueden afectar al sistema.

5.2.1.1 Tormentas y rayos

Una tormenta es una perturbacin atmosfrica violenta acompaada de aparato elctrico y viento fuerte, lluvia, nieve o granizo. [Web 1] Un rayo es una chispa elctrica de gran intensidad producida por descarga entre dos nubes o entre una nube y la tierra [Web 1] Las tormentas con alto contenido elctrico pueden provocar picos de tensin lo que puede provocar prdidas de datos o daos irreparables en el equipamiento elctrico. Impacto dentro de la empresa En la zona geogrfica donde se ubica la empresa son comunes las tormentas en primavera y verano pero las tormentas elctricas se producen en contadas ocasiones. Por lo tanto es una amenaza que tendr un impacto bajo en la empresa y se podra englobar dentro de las amenazas de tipo B. Impacto de la amenaza segn su nivel: Tipo A: Se dara en el caso de que impactara un rayo directamente en el edificio donde se encuentra la empresa. Esto podra provocar un dao estructural en el edificio, daos severos en el Hardware de la empresa y ocasionalmente incendios. La gravedad de la amenaza sera muy alta, pero la probabilidad de que se llegue a materializar es baja. Tipo M: Se dara en el caso en que la tormenta afectara directamente al suministrador de servicios de la empresa, como por ejemplo el suministrador de energa elctrica, y que puede afectar al funcionamiento normal de la empresa as como al funcionamiento de los equipos informticos de sta si los problemas de la empresa suministradora son graves y los cortes del servicio se prolongan demasiado en el tiempo. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es baja pues las empresas de servicios suelen estar muy bien protegidas contra ese tipo de amenazas.

23

Tipo B: Se dara en el caso de cortes de electricidad de corta duracin por problemas de la instalacin elctrica del edificio debidos a la tormenta o por problemas de las lneas de la empresa suministradora. La gravedad de esta amenaza puede considerarse como media/baja y la probabilidad de que ocurra es media pues es frecuente que puedan producirse cortes intermitentes de luz durante una tormenta. Medidas preventivas contra los impactos dentro de la empresa Instalacin en el edificio de elementos de proteccin contra las tormentas como por ejemplo pararrayos. Dispositivos de proteccin de las lneas elctricas contra sobrecargas. Aplicacin de medidas contra incendios. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) que garanticen que los equipos no sufrirn un corte brusco de energa y que realizarn un apagado ordenado. Polticas de Backup localizado fuera del edificio de la empresa.

5.2.1.2 Terremotos
Un terremoto es una sacudida del terreno ocasionada por el choque de las placas tectnicas localizadas en la litosfera terrestre. [Web 1] Los terremotos se miden segn la escala de magnitud local o de Richter la cual mide la intensidad de un terremoto segn una escala que va desde -1,5 hasta 12. Magnitud de Richter -1,5 Referencia Rotura de una roca en un laboratorio Pequea explosin en un sitio en construccin Bomba convencional de la Segunda Guerra Mundial Explosin de un taque de gas

1,0

1,5

2,0

24

2,5

Bombardeo a la ciudad de Londres Explosin de una planta de gas Explosin de una mina Bomba atmica de baja potencia Tornado promedio Terremoto de Albolote, Granada (Espaa). 1956 Terremoto de Little Skull Mountain, Nevada (EEUU). 1992 Terremoto de Double Spring Flat, Nevada (EEUU). 1994 Terremoto de Nortbridge, California (EEUU). 1994 Terremoto de Hyogo-Ken Nambu, Japon. 1995 Terremoto de Landers, California (EEUU). 1992 Terremoto de Mxico. 1985 Terremoto de Anchorage, Alaska (EEUU). 1964 Terremoto del Ocano Indico. 2004 Terremoto de Valdivia, Chile. 1960 Estimado para el 25

3,0

3,5 4,0

4,5 5,0

5,5

6,0

6,5

7,0

7,5

8,0

8,5

9,2

9,6

10,0

choque de un meteorito de 2 km de dimetro a 25 km/s 12,0 Fractura de la tierra por el centro

Tabla 3.1: Terremotos

Un terremoto de alta graduacin en la escala de Richter puede producir derrumbamientos de edificios as como cortes de electricidad o rotura de material debido a cadas o golpes. Impacto dentro de la empresa La zona donde se localiza la empresa es ssmicamente estable registrndose movimientos ssmicos puntuales de poca intensidad. Por lo tanto es una amenaza que tendr un impacto bajo en la empresa y se podra englobar dentro de las amenazas de tipo B. Impacto de la amenaza segn su nivel: Tipo A: Se dara en el caso de un sesmo de intensidad superior a 6 en la escala de magnitud local y puede afectar a la estructura del edificio provocando incluso su derrumbe en casos extremos o incendios. Puede provocar graves daos en los equipos informticos debidos a roturas y fuertes golpes. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es muy baja. Tipo M: Se dara en el caso de un sesmo de intensidad igual a 5 o inferior. Los daos seran inferiores a los producidos en el tipo A. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es muy baja. Tipo B: Sesmo inferior que puede ocasionar desalojos en los edificios y que producira una prdida mnima de tiempo de trabajo. La gravedad de esta amenaza puede considerarse como baja/muy baja y la probabilidad de que ocurra es baja pues es en la zona no se dan terremotos lo suficientemente intensos como para propiciar un desalojo de edificios. Medidas preventivas contra los terremotos dentro de la empresa La nica medida posible para evitar los daos producidos por un terremoto es la construccin de edificios con medidas antissmicas.

26

5.2.1.3 Inundaciones
Se entiende por inundaciones de agua cubrir los terrenos, poblaciones o edificios. [Web 1] Una inundacin puede ser producida por un exceso de lluvias, desbordamiento de ros, rotura de presas, rotura de caeras, exceso de humedad Una inundacin en la zona donde se encuentren los equipos informticos puede producir daos materiales en los equipos. Impacto dentro de la empresa La zona donde se localiza la empresa no es propicia a que se produzcan lluvias torrenciales y tampoco existe ninguna presa cerca. S existe cerca del edificio donde se ubica la empresa un ro y aunque se han producido desbordamientos existen pocas posibilidades de que llegue a desbordarse y que en tal caso que el agua llegue a las dependencias de la empresa. S podran producirse inundaciones en la empresa debido a rotura de tuberas o humedades excesivas que pueden daar los equipos informticos y producir prdida de datos e informacin crtica para la empresa. Impacto de la amenaza segn su nivel: Tipo A: Grave inundacin, que anegara todo el edificio y que afectara a los equipos de forma que se podran perder datos crticos y se suspendera la actividad de la empresa por un tiempo indefinido. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es media/baja. Tipo M: Inundacin de una zona donde se encuentre equipamiento informtico con datos crticos para el funcionamiento de la empresa y que producira una prdida parcial de informacin o de horas de trabajo. La gravedad de la amenaza puede considerarse como media/alta, pero la probabilidad de que se produzca es media/baja. Tipo B: Pequeas inundaciones debidas a roturas de tuberas o filtraciones de agua debido a humedades en las paredes y que pueden daar algn equipo. La gravedad de esta amenaza puede considerarse como media/alta y la probabilidad de que ocurra es alta pues es relativamente fcil que ocurra algn un problema en una tubera. 27

Medidas preventivas contra inundaciones dentro de la empresa Detectores y alarmas de humedad. Desages en perfecto estado. Dispositivos de drenaje en falso techo o falso suelo.

28

5.2.2 Estructurales
Amenazas debidas a fallos en los elementos del edificio tales como cableado elctrico, conductos del aire acondicionado, elementos de comunicacin [Web 1] Pueden ser controlados y evitados.

5.2.2.1 Incendios
Fuego no controlado que puede ser extremadamente peligroso para los seres vivos y las estructuras, produciendo adems gases txicos. Las causas de un incendio pueden ser diversas: Existencia de una fuente de ignicin cercana a un material inflamable. Problemas en cuadros elctricos. Cortocircuitos. Etc.

Un incendio puede daar gravemente el equipamiento informtico de la empresa, pudiendo dejarlo completamente inservible, as como la documentacin existente en formato papel. Impacto dentro de la empresa Un incendio que afecte a la empresa puede deberse a causas naturales, accidentales o ser premeditado para infligir dao. Impacto de la amenaza segn su nivel: Tipo A: Gran incendio que afecte a todo el edificio donde est ubicada la empresa. Un incendio de estas caractersticas podra dejar inutilizadas completamente todas las instalaciones de la empresa as como destruir todo el equipamiento informtico y la informacin vital de sta que se encuentre en cualquier tipo de soporte, lo que podra producir la paralizacin total de la actividad de la empresa por un periodo de tiempo muy largo si no se dispone de una copia de Backup convenientemente actualizada y que no se localizara en las instalaciones que han sido afectadas por el fuego. La gravedad de la amenaza sera muy alta, aunque la probabilidad de que se llegue a materializar es media/alta debido a que si se produce un incendio de estas caractersticas debido a un descuido o de una forma intencionada puede resultar muy difcil para los equipos de extincin conseguir controlar un fuego tan grande y evitar que no se produzcan daos graves en el edificio. 29

Tipo M: Incendio en una parte localizada del edificio que aunque no afecte directamente a la empresa y a su equipamiento puede dificultar las labores normales de trabajo dentro de la empresa durante un periodo de tiempo medio (entre 3 y 6 meses). La gravedad de la amenaza puede considerarse como media/alta, y la probabilidad de que se produzca es media/alta aunque en este caso los equipos de extincin tendrn mucho ms fcil la labor de extinguir rpidamente el fuego. Tipo B: Incendio en una sala de ordenadores y afecta directamente a equipos concretos. En el caso de disponer de copias de seguridad de esos equipos la puesta en marcha de nuevo del trabajo que se estuviera realizando en ellos puede ser inmediata. La gravedad de esta amenaza puede considerarse como media/alta porque en el caso de que no se disponga de una copia de seguridad de los equipos afectados se puede perder informacin valiosa. La probabilidad de que ocurra es alta, pues es relativamente fcil que se produzca un cortocircuito que provoque un fuego aunque como es centralizado sera de fcil y rpida extincin. Medidas preventivas contra incendios dentro de la empresa Detectores y alarmas de humos. Dispositivos automticos de extincin de incendios. Revisiones peridicas de toda la instalacin elctrica. Revisiones de todas las obras y trabajos que se realicen en el entorno de la empresa para evitar posibles accidentes debido al manejo de materiales inflamables. Disponer de extintores repartidos por toda la empresa, especialmente cerca de los equipos informticos.

30

5.2.2.2 Cortes elctricos

Corte temporal del suministro de energa elctrica por parte de la compaa suministradora. El corte puede ser de corta duracin o puede llegar a ser de varios das. [Web 1] Un corte en la energa de alimentacin de los equipos de la empresa puede llegar a provocar daos irreparables en algunos equipos. Impacto dentro de la empresa Las causas para que la compaa elctrica corte el suministro elctrico pueden ser naturales o provocadas. Impacto de la amenaza segn su nivel: Tipo A: Corte elctrico que se prolongue varios das. Afectar gravemente al desarrollo normal de las actividades de la empresa durante un largo periodo de tiempo. La gravedad de la amenaza sera alta, aunque la probabilidad de que se llegue a materializar es baja. Tipo M: Corte elctrico de menor duracin que el de tipo A y que afectar al desarrollo de las actividades de la empresa por un tiempo no superior a un mes. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Corte elctrico de poca duracin y que afectar al desarrollo de las actividades de la empresa por 24 horas o menos. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media pues es relativamente fcil que se produzca un pequeo corte en el suministro elctrico debido, por ejemplo a una sobrecarga en la red del suministrador. Medidas preventivas contra cortes elctricos dentro de la empresa Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) que garanticen que los equipos no sufrirn un corte brusco de energa y que realizarn un apagado ordenado.

31

5.2.2.3 Agua
Corte temporal del suministro de agua por parte de la compaa suministradora. El corte puede ser de corta duracin o incluso de varios das. Impacto dentro de la empresa En el caso de esta empresa ninguno de los equipos tiene instalada ningn tipo de refrigeracin mediante conductos de agua por lo que un corte en el suministro de agua de la empresa no afectar en ninguna medida al equipamiento informtico de la misma.

Medidas preventivas contra cortes de agua dentro de la empresa Puesto que el corte del suministro de agua no afecta en ningn modo al equipamiento informtico no ser necesaria la implantacin de ningn tipo de medidas preventivas.

5.2.2.4 Refrigeracin
Fallos en el normal funcionamiento de la maquinaria de climatizacin que existe dentro de la empresa. Los fallos pueden ser debido a cortes en el suministro elctrico, fugas en los aparatos de climatizacin, etc. El equipamiento informtico de la empresa no est funcionando a ritmo completo las 24 horas del da por lo que no necesita unas condiciones especiales en lo que se refiere a la temperatura ambiente. Impacto dentro de la empresa Los equipos informticos slo deben estar en funcionamiento durante el horario de trabajo, por lo que, incluso con temperaturas excesivamente elevadas debidas a un fallo en el sistema de refrigeracin, el correcto funcionamiento de los equipos no se vera afectado, no es crtico que un determinado puesto de trabajo deba ser desconectado durante un tiempo para conseguir disminuir su temperatura y evitar fallos de Hardware. Medidas preventivas contra cortes en la refrigeracin dentro de la empresa Aunque no es necesario se podran instalar en los equipos elementos de ventilacin ms potentes para conseguir una mejora en su refrigeracin.

32

5.2.2.5 Comunicaciones
Corte temporal en los sistemas de comunicacin de la empresa debido a un problema externo (puede deberse a un fallo de la compaa telefnica suministradora). El corte puede ser de corta duracin (un da) o ms extenso (varios das). Las causas para que se produzca un fallo en las comunicaciones por problemas de la compaa telefnica puede deberse a factores naturales o a factores humanos. Impacto dentro de la empresa Un fallo en el sistema de comunicaciones puede producir un grave trastorno a la empresa, pues depende en gran medida de stas para desarrollar su negocio. Debido a la naturaleza de la empresa puede no ser tan crtico un fallo en las comunicaciones de los equipos informticos como en las comunicaciones de voz. Impacto de la amenaza segn su nivel: Tipo A: Corte en las comunicaciones durante un periodo largo de tiempo. Hasta el momento, en lo que lleva constituida la empresa (constituida en febrero 2001), no se han producido este tipo de cortes, por lo que se supone que no llegarn a producirse. Tipo M: Corte en las comunicaciones durante varios das lo que puede retrasar y complicar ligeramente las actuaciones de la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Corte en las comunicaciones durante un tiempo inferior a 24 horas o micro cortes durante un periodo corto de tiempo. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es tambin baja. Medidas preventivas contra cortes en las comunicaciones dentro de la empresa Contratacin de varias lneas con suministradores diferentes. Separacin de lneas de datos y lneas de voz para que no se pierda el servicio de las dos al mismo tiempo.

33

5.2.3 Hardware
Amenazas debidas a problemas en el equipamiento fsico de la empresa. Pueden ser controladas.

5.2.3.1 Fallo de servidores

Fallo temporal en alguno o todos de los servidores de la empresa. El fallo puede deberse a un corte de la corriente elctrica de los servidores, un fallo humano de la gestin de los mismos, errores en el Hardware o en el Software, etc. Impacto dentro de la empresa La empresa no dispone de servidores puesto que cuenta nicamente con estaciones de trabajo por lo que esta amenaza no requiere ser tenida en cuenta. Medidas preventivas contra fallos en los servidores de la empresa Ninguna.

5.2.3.2 Fallo de estaciones PC

Fallo temporal en alguna o todas las estaciones de trabajo de que dispone la empresa. El fallo puede deberse a un corte de la corriente elctrica de los equipos, un fallo humano de la gestin de los mismos, errores en el Hardware o en el Software, etc. Impacto dentro de la empresa Fallos y prdidas de servicio en los equipos de trabajo pueden afectar al trabajo normal de la empresa pudindose perder datos vitales para el correcto funcionamiento del negocio. Un fallo en los equipos de trabajo puede ocasionar prdidas de horas de trabajo o algo mucho ms grave, prdidas de informacin crtica para el correcto funcionamiento de la empresa. Impacto de la amenaza segn su nivel: Tipo A: Fallo en todos los equipos de trabajo de la empresa durante un periodo de tiempo superior a una semana o prdida de informacin almacenada en esos equipos. 34

La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa, aunque la probabilidad de que se produzca es baja. Tipo M: Fallo en alguno de los equipos durante un tiempo inferior a una semana, sin prdida de ningn tipo de informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Fallo en algn equipo durante un tiempo inferior a 24 horas o pequeos fallos durante ese tiempo sin darse prdida de informacin. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja. Medidas preventivas contra fallos en los equipos de la empresa Tener un sistema de Backup convenientemente actualizado para prevenir la prdida de informacin crtica. Tener contratado un buen sistema de servicio tcnico que sea rpido a la hora de reparar posibles fallos en los equipos del sistema. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energa repentinos.

5.2.3.3 Fallo de porttiles

Fallo temporal en alguna o todas las estaciones de trabajo porttiles de que dispone la empresa. El fallo puede deberse a un corte de la corriente elctrica de los equipos, un fallo humano de la gestin de los mismos, errores en el Hardware o en el Software, etc. Impacto dentro de la empresa Fallos y prdidas de servicio en los equipos de trabajo porttiles pueden afectar al trabajo normal de la empresa pudindose perder datos vitales para el correcto funcionamiento del negocio. Un fallo en los equipos de trabajo porttiles puede ocasionar prdidas de horas de trabajo o algo mucho ms grave, prdidas de informacin crtica para el correcto funcionamiento de la empresa.

35

Impacto de la amenaza segn su nivel: Tipo A: Fallo en todos los equipos de trabajo porttiles de la empresa durante un periodo de tiempo superior a una semana o prdida de informacin almacenada en esos equipos. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa aunque la probabilidad de que se produzca es baja. Tipo M: Fallo en alguno de los equipos porttiles durante un tiempo inferior a una semana pero no se da prdida de ningn tipo de informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como media, y la probabilidad de que se produzca es baja. Tipo B: Fallo en algn equipo porttil durante un tiempo inferior a 24 horas o pequeos fallos durante ese tiempo sin darse prdida de informacin. La gravedad de esta amenaza puede considerarse como baja y la probabilidad de que ocurra es media/baja. Medidas preventivas contra fallos en los equipos porttiles de la empresa Tener un sistema de Backup convenientemente actualizado para prevenir la prdida de informacin crtica. Tener contratado un buen sistema de servicio tcnico rpido y eficaz a la hora de reparar posibles fallos en los equipos del sistema. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energa repentinos.

36

5.2.4 Software
Fallos debidos a amenazas que pueden afectar al Software que emplea la empresa para desarrollar su actividad de negocio. Pueden ser evitados.

5.2.4.1 Errores en los SSOO

Errores internos de los Sistemas Operativos instalados en los equipos de los que dispone la empresa. El fallo se debe a errores de programacin o a la no instalacin de las actualizaciones de seguridad que distribuye la empresa desarrolladora cada cierto tiempo. Impacto dentro de la empresa Un fallo en los Sistemas Operativos de la empresa puede provocar fallos en los procesos informticos de la empresa, retrasos en los procesos que dependan del equipamiento informtico, lo que constituira un grave agujero en la seguridad informtica de la empresa. Impacto de la amenaza segn su nivel: Tipo A: Fallo en los Sistemas Operativos de todos los equipos informticos de la empresa durante un tiempo superior a un da. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa debido, sobre todo, a que pueden producirse importantes agujeros de seguridad, aunque la probabilidad de que se produzca es baja, pues los Sistemas Operativos estn correctamente actualizados. Tipo M: Fallo en el Sistema Operativo de algunos de los equipos informticos durante un tiempo mximo de un da. La gravedad de la amenaza puede considerarse como media/alta, pues si falla el equipo en el que se encuentra toda la informacin referente a la Agencia Tributaria es un dao grave, pero si falla otro equipo con informacin menos crtica no es tan importante. La probabilidad de que se produzca es baja pues los Sistemas Operativos estn correctamente actualizados. Tipo B: Fallo en el Sistema Operativo de un equipo que no contenga informacin muy crtica durante un periodo inferior a un da. La gravedad de esta amenaza puede considerarse como baja puesto que si el equipo no contiene informacin muy crtica para el correcto funcionamiento de la empresa y el periodo del fallo es inferior a un da no 37

repercutir excesivamente en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es baja, pues los Sistemas Operativos estn correctamente actualizados. Medidas preventivas contra fallos el Sistemas Operativos de la empresa Disponer de Software original y garantizado por el distribuidor. Realizar las actualizaciones del Sistema Operativo que proporcione el fabricante.

5.2.4.2 Errores en las Bases de Datos

Errores internos en las Bases de Datos instalados en los equipos de los que dispone la empresa. El fallo puede deberse a errores de programacin de los programas que trabajan con las Bases de Datos, fallos puntuales en alguna de las tablas o fallos en la creacin de las Bases de Datos. Impacto dentro de la empresa La empresa no dispone de bases de datos; toda su informacin se guarda en ficheros de texto almacenados en un directorio de las mquinas. Por lo tanto esta amenaza no es aplicable. Medidas preventivas contra fallos en las Bases de Datos de la empresa Ninguna.

5.2.4.3 Errores en las aplicaciones

Errores internos en las diferentes aplicaciones instalados en los equipos de los que dispone la empresa. El fallo se debe a errores de programacin o a la no instalacin de las actualizaciones que distribuye la empresa desarrolladora cada cierto tiempo.

38

Impacto dentro de la empresa Un fallo en las aplicaciones que se utilizan dentro la empresa puede provocar problemas en el correcto funcionamiento de los procesos de la empresa. Adems de aplicaciones comerciales, dentro de la empresa tambin se usan aplicaciones especficamente desarrolladas para ella, como por ejemplo programas de contabilidad. Al no ser aplicaciones comerciales con gran respaldo pueden producirse ms fallos y, generar incluso problemas de seguridad. Impacto de la amenaza segn su nivel: Tipo A: Fallo en aplicaciones consideradas crticas dentro la empresa durante un tiempo superior a un da. Aplicaciones crticas se pueden considerar por ejemplo las aplicaciones desarrolladas a medida para la empresa y de las que es ms complicado recibir soporte, pero son muy importantes para el correcto desarrollo de los procesos de negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta porque perjudicar gravemente el negocio de la empresa debido a que muchas aplicaciones estn instaladas nicamente en un equipo y si fallan se perder su utilidad durante el tiempo de fallo. La probabilidad de que se produzca es media/baja pues las aplicaciones comerciales estn correctamente actualizadas, pero las aplicaciones elaboradas a medida presentan un mantenimiento ms complicado. Tipo M: Fallo en aplicaciones consideradas crticas dentro de la empresa durante un tiempo mximo de un da. La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la aplicacin no sea extenso, puede perjudicar al correcto funcionamiento de la empresa. La probabilidad de que se produzca es media/baja, como se ha comentado en el tipo A, las aplicaciones comerciales estn correctamente actualizadas, pero las aplicaciones elaboradas a medida tienen un mantenimiento ms complicado. Tipo B: Fallo en aplicaciones no crticas, es decir, que no afecten al desarrollo normal de los procesos de la empresa durante un periodo inferior a un da. La gravedad de esta amenaza puede considerarse como baja puesto que si el fallo se da en aplicaciones no crticas, o que estn instaladas en varios equipos no se alterarn los procesos de la empresa. La probabilidad de que ocurra es baja pues las aplicaciones no crticas son las comerciales y estn correctamente actualizadas e instaladas en ms de un equipo. 39

Medidas preventivas contra fallos en las aplicaciones de la empresa Disponer de Software original y garantizado por el distribuidor. Realizar las actualizaciones del Software que proporcione el fabricante. En el caso de Software a medida se deber acordar con el desarrollador un plan de mantenimiento ante cualquier circunstancia.

5.2.4.4 Errores en los elementos de seguridad

Errores en los elementos de seguridad que dispone la empresa, puede tratarse de errores Software tales como fallo de antivirus o firewall, o errores en los elementos fsicos tales como fallo de las alarmas, etc. Los fallos en los elementos de seguridad pueden deberse a fallos en las actualizaciones de los antivirus o, por ejemplo, cortes de suministro elctrico que afecten al correcto funcionamiento de la alarma. Impacto dentro de la empresa Un fallo en las medidas de seguridad dentro la empresa puede provocar graves problemas en el correcto funcionamiento de los procesos de la empresa, as como prdidas de informacin importante. Impacto de la amenaza segn su nivel: Tipo A: Fallo en las medidas de seguridad Hardware o Software de la empresa durante un tiempo superior a un da. La gravedad de la amenaza puede considerarse como muy alta, porque un fallo grave en las medidas de seguridad de la empresa perjudicar gravemente el negocio de sta. Tambin pueden producirse robos que afecten econmicamente a la empresa. La probabilidad de que se produzca es media/baja, pues las medidas de seguridad fsica estn en correcto funcionamiento, pero las medidas Software no tienen un control adecuado sobre su actividad. Tipo M: Fallo en las medidas de seguridad Hardware o Software de la empresa durante un tiempo mximo de un da. La gravedad de la amenaza puede considerarse como alta pues aunque el tiempo de fallo de la seguridad no sea extenso, compromete seriamente a la empresa. La probabilidad de que se produzca es media/baja pues como se ha comentado en el tipo A las medidas de seguridad fsica estn en correcto funcionamiento, pero las medidas Software no tienen un control adecuado sobre su actividad. Tipo B: Fallos de seguridad leves durante un periodo inferior a un da. 40

Fallos de seguridad leves se puede considerar que el antivirus deje de funcionar durante una hora, un corte elctrico breve que afecte a la alarma, etc. La gravedad de esta amenaza puede considerarse como media/baja puesto que aunque el fallo de elementos de seguridad es grave, si estos sistemas estn sin funcionamiento un tiempo mnimo el impacto en la empresa no ser grave. La probabilidad de que ocurra es media/alta ya que pequeos errores, como el fallo temporal de un antivirus suelen ser frecuente. Medidas preventivas contra fallos en los elementos de seguridad de la empresa Controlar que las medidas de seguridad Software estn continuamente funcionando y correctamente actualizadas. Revisin peridica de los elementos de seguridad fsica para comprobar su correcto funcionamiento.

41

5.2.5 Red LAN y WAN

Fallos debidos a amenazas que pueden afectar a las comunicaciones tanto internas como externas de la empresa.

5.2.5.1 Red interna

Fallos en las comunicaciones de la red interna debidos a cadas temporales de sta. Las cadas en la red interna pueden deberse a fallos en el Router que da servicio a la red, problemas con el cableado o el emisor inalmbrico. Impacto dentro de la empresa Dentro de la empresa no existe una infraestructura de red interna, las nicas comunicaciones de red que existen son hacia el exterior por lo tanto los fallos en la red interna no tienen ningn tipo de impacto dentro de la empresa. Medidas preventivas contra fallos en la red interna de la empresa Ninguna.

5.2.5.2 Sistemas de seguridad de las comunicaciones

Errores en los sistemas que aseguran que las comunicaciones de la empresa se van a poder realizar sin problemas y adems no existen terceras personas ajenas a la organizacin que intercepten esas comunicaciones. Los fallos en los sistemas de seguridad pueden deberse a fallos en las actualizaciones de los antivirus, sobre todo en los antispyware y firewalls que no detecten intrusos en la red o fallos en el acceso al Router de comunicaciones y un intruso pueda modificar la configuracin del mismo e impedir que se realicen las comunicaciones correctamente o interceptar las mismas. Impacto dentro de la empresa Un fallo en los sistemas de seguridad en las comunicaciones de la empresa puede provocar graves problemas de seguridad y cortes en las comunicaciones lo que puede producir, desde prdidas importantes de informacin a la imposibilidad de comunicar la empresa con el exterior, al menos, va Web.

42

Impacto de la amenaza segn su nivel: Tipo A: Fallo en los sistemas anti intrusos de la red lo que provoca un agujero de seguridad del que se aprovecha alguien ajeno a la organizacin para introducirse en el sistema, inutilizar los sistemas de comunicacin hacia el exterior (inutilizar el Router de comunicacin) y, potencialmente, puede provocar una prdida de informacin crtica para el negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta porque un fallo de este tipo en las medidas de seguridad de la empresa provocara un grave perjuicio en el negocio de sta, no tanto por la imposibilidad de comunicarse con el exterior como por la prdida de informacin valiosa. La probabilidad de que se produzca es media pues dentro de la empresa se tienen adecuadamente instaladas medidas anti intrusos pero no se presta demasiada atencin a su mantenimiento y actualizacin. Tipo M: No se contempla este tipo para esta amenaza. Tipo B: Fallo de las medidas de seguridad de acceso al Router de la empresa lo que puede provocar que alguien ajeno a la empresa intente colarse en la configuracin del Router y la cambie para impedir el acceso desde dentro de la empresa al exterior. La gravedad de esta amenaza puede considerarse como baja pues aunque se produjera la situacin no se produciran daos importantes en los procesos de la empresa por el hecho de no poder comunicarse con el exterior va Web. Por otra parte la amenaza es fcilmente solucionable, pues basta con realizar un reinicio del Router para que vuelva a su configuracin inicial y pueda ser nuevamente configurado con las caractersticas necesarias de la organizacin. La probabilidad de que ocurra es baja pues el acceso al Router est perfectamente protegido mediante contraseas. Medidas preventivas contra fallos en los sistemas de seguridad de las comunicaciones de la empresa Mantener correctamente actualizados los sistemas de seguridad para que detecten, eviten e informen de posibles ataques externos e internos a nuestro sistema.

43

5.2.5.3 Redes pblicas ajenas

Fallos de la empresa suministradora de servicios de red y que provoquen una prdida en los servicios de conexin de la organizacin hacia el exterior. Los fallos en el servicio de comunicaciones de la empresa son debidos a fallos de la empresa suministradora y, por tanto, completamente ajenos a la empresa. Impacto dentro de la empresa Un fallo en el servicio de comunicaciones de la empresa puede provocar algn retraso en alguno de los procesos de la empresa pero debido a la naturaleza de la misma, en ningn momento este tipo de fallos afectarn gravemente a sus negocios. Impacto de la amenaza segn su nivel: Tipo A: Fallo en los sistemas de comunicacin informtica durante un tiempo superior a cuarenta y ocho horas. La gravedad de la amenaza puede considerarse como media/baja porque un fallo en las comunicaciones informticas no afectar especialmente a la empresa salvo que el fallo se produzca en pocas del ao determinadas, en las que por ejemplo debido al fallo en las comunicaciones se imposibilite el envi de la documentacin a la Agencia Tributaria va Web desde la organizacin. La probabilidad de que se produzca es baja. Tipo M: Fallo en los sistemas de comunicacin informtica durante un tiempo no superior a veinticuatro horas. La gravedad de la amenaza puede considerarse como media/baja porque igual que ocurre en el tipo A, un fallo en las comunicaciones informticas no afectar especialmente a la empresa, salvo que el fallo se produzca en pocas del ao determinadas, en las que, por ejemplo, debido al fallo en las comunicaciones se imposibilite el envi de la documentacin a la Agencia Tributaria va Web desde la organizacin. La probabilidad de que se produzca es baja. Tipo B: Fallo en los sistemas de comunicacin intermitentes durante un periodo inferior a un da. La gravedad de esta amenaza puede considerarse como baja puesto que cortes intermitentes en las comunicaciones no afectan en ninguna forma a los procesos realizados en la empresa. La probabilidad de que ocurra es media/baja pues debido a problemas del suministrador es frecuente sufrir cortes leves de servicio a lo largo de un da. 44

Medidas preventivas contra fallos de las redes pblicas ajenas a la empresa Contratar con la empresa suministradora un servicio de mantenimiento que asegure una rpida reparacin en caso de prdida del servicio. En el caso de que fuera necesario disponer siempre de un servicio de conexin, contratar una lnea adicional con otra compaa para evitar prdidas de servicio.

45

5.2.6 Copias de seguridad

Problemas en los soportes de Backup que tengan como consecuencia el dao o la prdida de la informacin que ha sido duplicada en esos soportes de copias de seguridad.

5.2.6.1 Fallos en soportes de copias de seguridad

Fallos en los soportes donde han sido almacenadas copias de seguridad, debido a los cuales se produce un dao o una prdida de informacin til para el negocio de la empresa. Los fallos en los soportes de Backup pueden ser debidos a fallos de fabricacin, a un mal almacenamiento o simplemente un fallo del soporte. Impacto dentro de la empresa Dentro de la empresa no existen polticas de Backup, por lo tanto no se dispone de soportes de copias de seguridad. Por lo que esta amenaza no tiene ningn tipo de impacto dentro de la empresa. Medidas preventivas contra fallos en los soportes de copias de seguridad de la empresa Ninguna.

46

5.2.7 Informacin
Qu problemas pueden afectar a la informacin almacenada dentro de la empresa, la cual es valiosa para llevar a cabo los procesos de negocio.

5.2.7.1 Ficheros
Fallos o prdidas de los ficheros donde se almacena la informacin valiosa de la empresa. Los problemas con los ficheros pueden ser debidos a una mala gestin de los mismos, a fallos en los equipos donde estn almacenados los ficheros, etc. Impacto dentro de la empresa Debido a la no existencia de Bases de Datos dentro de la empresa, toda la informacin se encuentra almacenada en ficheros, por lo tanto si se producen fallos en ficheros con informacin, los cuales no se encuentran replicados, los problemas para la empresa pueden ser muy graves. Impacto de la amenaza segn su nivel: Tipo A: Prdida de ficheros con informacin muy crtica sobre los negocios que mantiene la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin no est replicada en ningn otro equipo, ni generalmente, en ningn otro soporte, la prdida del fichero es irreparable. La probabilidad de que se produzca es media debido a que, generalmente, dentro de la empresa nicamente se cuenta con una copia de cada fichero almacenado. Tipo M: Prdida temporal (no superior a cuarenta y ocho horas) del acceso a ficheros con informacin crtica para la empresa. La gravedad de la amenaza puede considerarse como alta debido a que puede afectar al retraso de alguna de las operaciones de la empresa si no puede acceder momentneamente a informacin importante. La probabilidad de que se produzca es media. Tipo B: Prdida temporal (no superior a veinticuatro horas) del acceso a ficheros sin demasiada importancia para los negocios de la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin almacenada en esos ficheros no es extremada y no repercutira en el correcto funcionamiento de la empresa. La probabilidad de que ocurra es media.

47

Medidas preventivas contra fallos en los ficheros de la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. El uso de bases de datos centralizadas en un equipo independiente de los que usan los empleados habitualmente favorecera la posibilidad de que aunque se den fallos en un equipo no se pierda informacin importante.

5.2.7.2 Procedimientos de seguridad de la informacin

Fallos en los procedimientos de seguridad para salvaguardar la informacin y evitar daos o prdidas. Los fallos en los procedimientos de seguridad generalmente son debidos a una aplicacin incorrecta de los mismos. Impacto dentro de la empresa Dentro de la empresa no se dispone de procedimientos de seguridad para la informacin por lo tanto esta amenaza no es aplicable. Medidas preventivas contra fallos en los procedimientos de seguridad de la informacin de la empresa Ninguna.

5.2.7.3 Planes de contingencia

Fallos en los planes de contingencia ideados para salvaguardar la informacin y evitar daos o prdidas. Los fallos en los planes de contingencia generalmente son debidos a una aplicacin incorrecta de los mismos. Impacto dentro de la empresa Dentro de la empresa no se dispone de un plan de contingencia para la informacin por lo tanto esta amenaza no es aplicable. Medidas preventivas contra fallos en los planes de contingencia de la empresa Ninguna.

48

5.2.8 Personal
La mayora de los ataques informticos a una empresa provienen desde dentro de la misma perpetrados por sus propios empleados. Es importante contar con estrategias de control de los empleados, as como de las acciones que realizan en el sistema.

5.2.8.1 Errores y ataques de personal interno

El personal que trabaja en la empresa puede provocar fallos en los sistemas de la empresa o prdidas de informacin debido a falta de formacin, falta de conocimiento, mala intencionalidad Impacto dentro de la empresa La empresa nicamente cuenta con dos empleados los cuales tienen participacin dentro de la empresa por lo que ninguno de ellos va a atentar intencionadamente contra su propia empresa. Por ello esta amenaza no es aplicable. Medidas preventivas contra fallos del personal de la empresa Ninguna.

5.2.8.2 Errores y ataques de personal externo

Personas ajenas a la empresa pueden querer daarla por algn motivo por lo que es necesario preparar a la organizacin para evitar ataques externos a sus sistemas. Los ataques externos pueden provenir de ex empleados descontentos, personas que desean obtener informacin confidencial para su propio beneficio, etc. Impacto dentro de la empresa Existe la posibilidad de que personal ajeno a la empresa desee hacerse con informacin confidencial de ella para usarla en su propio beneficio. En el mundo en el que realiza sus operaciones la empresa, la informacin es un activo muy importante y una posible prdida de esa informacin a favor de otra empresa puede suponer la prdida de varios millones de Euros.

49

Impacto de la amenaza segn su nivel: Tipo A: Acceso al sistema de la empresa y prdida de informacin de la operacin en marcha, la cual es crucial para una buena finalizacin del negocio para la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin sustrada es de mxima utilidad para la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias para que su informacin este protegida. Tipo M: Acceso a los sistemas de la empresa y prdida de informacin de negocios ya concluidos por la empresa. La gravedad de la amenaza puede considerarse como alta debido a que a pesar de que el negocio ya ha sido finalizado la informacin del mismo es un importante activo para futuros negocios. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias para que su informacin este protegida. Tipo B: Acceso a los sistemas de la empresa y prdida de informacin de poca importancia para la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin perdida no es de gran importancia por lo que no tendr ningn efecto negativo en la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias para que su informacin este protegida. Medidas preventivas contra los ataques de personal externo a la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. Ser especialmente cuidadosos con la informacin crtica de los negocios y que sta nunca est fcilmente al alcance.

50

5.2.9 Riesgos contra el patrimonio

5.2.9.1 Robo
Cualquier empresa puede ser objetivo de un robo debido a que en sus dependencias suelen tener material valioso e incluso dinero. Impacto dentro de la empresa Al igual que cualquier otra empresa o domicilio particular est expuesta a intentos de robos que pueden provocar la prdida de equipamiento informtico, documentacin importante, etc. Impacto de la amenaza segn su nivel: Tipo A: Robo de activos de la empresa en el cual son sustrados equipamientos y documentos en los que se almacenaba informacin importante para el negocio de la empresa. La gravedad de la amenaza puede considerarse como muy alta debido a que la informacin sustrada es de mxima utilidad para la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias contra robos. Tipo M: Robo de activos de la empresa en el cual son sustrados equipamiento y documentacin con informacin que, aun siendo importante, no es crucial para llevar a cabo correctamente el negocio de la empresa. La gravedad de la amenaza puede considerarse como alta debido a que, a pesar de que la informacin sustrada no es crtica, s es muy importante y puede llegar a causar algn prejuicio la falta de esa informacin o equipo. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias contra robos. Tipo B: Robo de activos de la empresa en el cual son sustrados equipamiento y documentacin con informacin irrelevante para los negocios de la empresa. La gravedad de esta amenaza puede considerarse como baja puesto que la importancia de la informacin perdida no es importante para llevar a cabo los negocios de la empresa. La probabilidad de que se produzca es baja debido a que la empresa cuenta con las medidas de proteccin necesarias contra robos.

51

Medidas preventivas contra robos a la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. Tener siempre conectada la alarma de la empresa cuando no se encuentre nadie dentro de la oficina.

5.2.9.2 Prdida no intencionada de activos

A pesar de que en todas las empresas intentan proteger al mximo sus activos, stos pueden estar en peligro debido a fallos no intencionados del personal. Estas prdidas pueden acarrear a la empresa muchos gastos en reponer los activos perdidos e incluso prdidas irreemplazables. Impacto dentro de la empresa Puesto que los dos nicos empleados de la empresa son socios de la misma, no tendrn inters en que se pierdan activos importantes para su negocio, sin embargo, a pesar del empeo que pueden poner dichos empleados en evitar el extravo de sus activos, siempre ocurren accidentes que pueden producir su prdida. Impacto de la amenaza segn su nivel: Tipo A: Prdida no intencionada de activos muy crticos para la empresa debido a fallos del personal. La gravedad de la amenaza puede considerarse como muy alta debido a que los activos perdidos tienen una gran importancia para la empresa. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la informacin ms importante de su negocio. Tipo M: Prdida no intencionada de activos importantes para la empresa pero que no llegan a ser crticos para el desarrollo de su negocio. La gravedad de la amenaza puede considerarse como alta debido a que a pesar de que los activos son importantes para la empresa no se corre un riesgo extremo con su prdida. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la informacin importante de su negocio. Tipo B: Prdida de activos no importantes para la empresa debido a fallos del personal. 52

La gravedad de esta amenaza puede considerarse como baja, puesto que la importancia de la informacin perdida no es importante para llevar a cabo los negocios de la empresa. La probabilidad de que se produzca es baja debido a que los empleados de la empresa ponen especial cuidado en la informacin de su negocio. Medidas preventivas contra prdidas no intencionadas de activos de la empresa Tener copias de seguridad de los ficheros importantes en diferentes soportes. Tener siempre mucho cuidado con la informacin que se trabaja para que no se produzcan prdidas.

53

5.2.10 Legislacin
La informacin que manejan las empresas est sujeta al cumplimiento de las actuales leyes nacionales y europeas sobre la proteccin de datos de carcter personal. [Web 8] En Espaa la Agencia de Proteccin de Datos se encarga de velar para que se cumplan las diferentes leyes que conciernen a los datos que manejan las empresas. Algunas de las leyes que afectan a los datos manejados por las organizaciones son: Ley Orgnica de Proteccin de Datos: ley aprobada en el ao 1999 y actualizada en el ao 2008. Todas las empresas han de declarar sus ficheros que contengan datos personales ante la AGPD. La ley contempla tres niveles de seguridad de los datos y duras sanciones dependiendo del grado de incumplimiento de la ley. Ley de Servicios de la Sociedad de la Informacin y del Comercio Electrnico: establece la regulacin para la realizacin de actividades comerciales en Internet as como la distribucin de correo electrnico con carcter comercial.

Impacto dentro de la empresa La empresa, debido a su actividad, no debe someterse a la LSSI-CE puesto que no acta en Internet. La LOPD s afecta a la organizacin; en la empresa trabajan dos empleados por lo que sus datos personales y fiscales estn sometidos al nivel bajo de la LOPD y deben ser protegidos y declarados ante la AGPD.

54

5.2.11 Otros riesgos

Existen otro tipo de riesgos que son ajenos a la empresa, pero que aun as pueden afectar a su correcto funcionamiento.

5.2.11.1 Terrorismo
Los actos de terrorismo son actos de violencia para infundir terror. [Web 1] En el mundo actual el terrorismo se est convirtiendo en una de las grandes amenazas para todo el conjunto de la sociedad. Impacto dentro de la empresa Valladolid, ciudad donde se ubica la empresa, no ha sido histricamente objetivo de grandes atentados terroristas como puede haber sido Madrid pero sin embargo s se ha perpetrado alguno y en especial dirigido a negocios, sobre todo de hostelera, de la ciudad. Impacto de la amenaza segn su nivel: Tipo A: Destruccin completa del edificio donde se localiza la sede de la empresa debido a un atentado terrorista con la consiguiente prdida de todos los activos de la empresa que estuvieran ubicados all. La gravedad de la amenaza puede considerarse como muy alta debido a que se perdern todos los activos ms importantes de la empresa. La hiptesis de que se produzca es baja debido a que existen pocas probabilidades de que se lleve a cabo un atentado de esa magnitud en Valladolid. Tipo M: Atentado terrorista que afecte a parte del edificio e impida el acceso a la empresa durante un tiempo no superior a 1 mes. La gravedad de la amenaza puede considerarse como alta debido a que a paralizara parte de la actividad de la empresa durante el tiempo que no se pudiera acceder a su sede. La hiptesis de que se produzca es baja debido a que existen pocas probabilidades de que se lleve a cabo un atentado de esa magnitud en Valladolid. Tipo B: Atentado terrorista que afecte a parte del edificio e impida el acceso a la empresa durante un tiempo no superior a 1 semana. La gravedad de esta amenaza puede considerarse como media/baja puesto que podra paralizar parte de la actividad de la empresa durante el tiempo que no se pueda acceder a su sede. La probabilidad de que se produzca es media/baja.

55

Medidas preventivas contra riesgo de ataques terroristas Polticas de Backup localizado fuera del edificio de la empresa. La nica medida contra actos terroristas es la lucha de los cuerpos de seguridad del estado.

5.2.11.2 Imagen de empresa

Su imagen es uno de los activos ms importantes que tiene una empresa, si por alguna razn la imagen de una empresa resulta daada, puede conllevar prdidas millonarias para ella. Una prdida de imagen puede deberse a diversas causas como pueden ser prdidas graves de informacin por parte de la empresa, problemas en negocios, publicidad inadecuada, etc. Impacto dentro de la empresa El mundo empresarial en el que desarrolla su actividad la empresa es un sector en el que todas las empresas se conocen entre s, pero el pblico general no suele reconocer. En el mundo inmobiliario la imagen de empresa la forman ms los negocios que realizas o los activos inmobiliarios que posees. Centrndose en el tema informtico, una posible prdida de informacin de la empresa no afectara excesivamente a su imagen por lo tanto esta amenaza no es aplicable. Medidas preventivas contra prdidas de imagen de la empresa Ninguna.

56

5.2.11.3 Insolvencia de servicios externos

Cualquier empresa, por pequea que sea, depende en parte de terceras empresas que le suministran sus productos o servicios. Por ello si una empresa suministradora sufre algn contratiempo, ese contratiempo tambin afectar en mayor o menor medida a la empresa suministrada. Impacto dentro de la empresa Para llevar a cabo la contabilidad de la empresa, se dispone de un Software elaborado a medida por una pequea empresa externa que se encarga tambin de su mantenimiento.

Impacto de la amenaza segn su nivel: Tipo A: Que la empresa externa que ha desarrollado y mantiene el Software de contabilidad desaparezca con el consiguiente perjuicio de la prdida del mantenimiento del Software. La gravedad de la amenaza puede considerarse como media/alta debido a que el Software de contabilidad es muy importante para el desarrollo normal de las actividades de la empresa. La probabilidad de que se produzca es media/baja. Tipo M: Problemas de la empresa externa que ha desarrollado y mantiene el Software de contabilidad que imposibilitan que den un servicio adecuado durante un periodo no superior a un mes. La gravedad de la amenaza puede considerarse como baja debido a que el mantenimiento del Software no se requiere todos los meses. La probabilidad de que se produzca es media/baja. Tipo B: Problemas de la empresa externa que ha desarrollado y mantiene el Software de contabilidad que imposibilitan que den un servicio adecuado durante un periodo no superior a una semana. La gravedad de la amenaza puede considerarse como baja debido a que el mantenimiento del Software no se requiere todas las semanas. La probabilidad de que se produzca es media/baja. Medidas preventivas contra prdidas de solvencia de los servicios externos a la empresa Establecer con el proveedor un contrato que exija el cumplimiento de unas condiciones de mantenimiento o en su defecto una compensacin. 57

Usar Software comercial que asegure actualizaciones y mantenimiento con periodicidad.

58

6. ANLISIS DE VULNERABILIDADES
6.1 Introduccin
En el apartado anterior se han enumerado una por una todas las amenazas que podran afectar a la empresa y se ha descrito el posible impacto que esa amenaza tendra dentro de la empresa en el caso de producirse. En este apartado, se van a identificar las vulnerabilidades que tiene la empresa y que pueden ser aprovechadas por alguna amenaza para producir algn tipo de dao en la misma.

6.2 Identificacin de vulnerabilidades

En este apartado se van a identificar todas las vulnerabilidades de la empresa. Para evaluar las distintas vulnerabilidades, se van a seguir las mismas categoras usadas para el anlisis de riesgos del captulo 5. La mayor parte de las intrusiones a los sistemas que se producen hoy en da se deben a la explotacin de vulnerabilidades, por ello es de vital importancia poder identificar todas aquellas vulnerabilidades susceptibles de ser aprovechadas por una amenaza, para evitar que sta llegue a materializarse. La vulnerabilidades pueden deberse a fallos de seguridad de la propia empresa o fallos de seguridad en los productos suministrados por terceras empresas.

6.2.1 Vulnerabilidades relacionadas con desastres naturales

Los desastres naturales pueden llegar a ser, como se ha visto en el captulo 5, amenazas muy graves para la empresa en el caso de que llegasen a materializarse en su tipo de impacto ms alto. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: Tormentas y rayos. Terremotos. Inundaciones.

59

Se pueden identificar las siguientes vulnerabilidades: - Falta de pararrayos en el edificio. - Falta de polticas de Backup.

6.2.2 Vulnerabilidades relacionadas con amenazas estructurales

Las amenazas debidas a fallos estructurales son muy graves debido a que afectaran a todos los activos de la empresa provocando graves problemas de continuidad para la misma. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: - Incendios. - Cortes elctricos. - Agua. - Refrigeracin. - Comunicaciones. Se pueden identificar las siguientes vulnerabilidades: - Falta de detectores de humos. - Falta de polticas de Backup. - Falta de dispositivos SAI que garanticen el suministro elctrico. - Dependencia exclusiva de un nico proveedor de comunicaciones.

6.2.3 Vulnerabilidades relacionadas con el Hardware

Los problemas con el Hardware afectan directamente a los procesos informticos de la empresa lo que puede provocar graves problemas en el transcurso normal de los negocios de la empresa. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: - Fallo de servidores. - Fallo de estaciones PC. 60

- Fallo de porttiles. Se pueden identificar las siguientes vulnerabilidades: - Falta de polticas de Backup. - Falta de dispositivos SAI que garanticen el suministro elctrico.

6.2.4 Vulnerabilidades relacionadas con el Software

Los fallos y errores de Software son muy perjudiciales, y son stos los que ms fcilmente pueden llegar a producirse si no se tiene cuidado con su correcto mantenimiento. Las vulnerabilidades del Software son las ms sensibles de ser aprovechadas por amenazas para infligir algn tipo de dao dentro de una organizacin. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: - Errores en los Sistemas Operativos. - Errores en las Bases de Datos. - Errores en las aplicaciones. - Errores en los elementos de seguridad. Se pueden identificar las siguientes vulnerabilidades: - Mala actualizacin de los sistemas antivirus, firewalls y dems Software de seguridad - Mala actualizacin de Software de gestin. - Se dispone de Software elaborado a medida para la empresa por personal externo a sta, pero que no responde adecuadamente del mantenimiento del mismo.

61

6.2.5 Vulnerabilidades relacionadas con las redes de comunicacin

Las redes de comunicacin son uno de los elementos ms vulnerables a ser explotados por una amenaza, si no se cuida correctamente su mantenimiento y proteccin. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: - Red interna. - Sistemas de seguridad de las comunicaciones - Redes pblicas ajenas. Se pueden identificar las siguientes vulnerabilidades: Dependencia exclusiva de un nico proveedor de comunicaciones. Bajo nivel de seguridad a la hora de realizar accesos a la red interna de la empresa. Mala actualizacin de Software de seguridad. No disponer de una red interna para realizar las comunicaciones dentro de la empresa y poder acceder a informacin interna sin necesidad de salir al exterior.

6.2.6 Vulnerabilidades relacionadas con las copias de seguridad

Para el correcto mantenimiento de la informacin generada por la empresa es recomendable que sta sea replicada en diferente formato y en diferente lugar de donde se ha generado para salvaguardarla. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: Fallos en los soportes de copias de seguridad.

Se pueden identificar las siguientes vulnerabilidades: No existe una poltica de copias de seguridad por lo que una prdida de datos sera irreparable.

62

6.2.7 Vulnerabilidades relacionadas con la informacin

La informacin es el activo ms importante con que cuenta la empresa y por lo tanto en donde se debe poner ms atencin para evitar que tenga vulnerabilidades. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: Ficheros. Procedimientos de seguridad de la informacin. Planes de contingencia.

Se pueden identificar las siguientes vulnerabilidades: No existen polticas de backup de la informacin. No existe una ubicacin centralizada de almacenamiento de la informacin; sta se encuentra repartida en los diferentes equipos de la empresa. No existen polticas ni medios de cifrado de la informacin crtica. No existen planes de contingencia para casos de prdidas de informacin.

6.2.8 Vulnerabilidades relacionadas con el personal

El personal de la empresa es una de las vulnerabilidades ms importantes que puede tener una organizacin debido a que es un punto de fuga de informacin o un foco de ataques a la organizacin. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: Errores y ataques de personal interno. Errores y ataques de personal externo.

Se pueden identificar las siguientes vulnerabilidades: No existe una poltica de contraseas para el acceso a los equipos. No existe una poltica de restriccin de acceso a los datos.

63

6.2.9 Vulnerabilidades relacionadas con el patrimonio

Proteger los activos de la empresa ante terceros o prdidas accidentales, es de vital importancia para no sufrir prdidas graves de activos. Teniendo en cuenta las categoras empleadas para llevar a cabo el anlisis de riesgos: Robo. Prdida no intencionada de activos.

Se pueden identificar las siguientes vulnerabilidades: En la empresa existe un buen sistema de seguridad fsica que evita la prdida de activos debido a robos, pero los sistemas Software de seguridad no estn lo suficientemente bien adaptados a las necesidades de la empresa.

6.2.10 Vulnerabilidades relacionadas con la legislacin

Todos los ficheros tanto de nivel bajo, medio o alto han de ser declarados ante la Agencia de Proteccin de Datos as como establecer una proteccin adecuada para los datos bajo penas de multas econmicas que van desde los 600 hasta los 600.000 . En el caso de la empresa, los datos que maneja se engloban dentro del nivel bajo de proteccin por los que la empresa est expuesta a sanciones desde 600 hasta los 60.000 si se comete alguna de las siguientes infracciones: [Web 8]

No solicitar la inscripcin del fichero en la AGPD. No atender a las solicitudes de los interesados sobre datos que les conciernen. Recoger los datos sin informar a los interesados sobre: la existencia del fichero, el uso que se va a dar a los datos, el responsable del fichero, los derechos de los interesados.

6.2.11 Otras vulnerabilidades

Otras vulnerabilidades que se pueden apreciar en la empresa: - Falta de conciencia por parte de los responsables de la empresa de que es necesaria una buena poltica de seguridad informtica. 64

6.3 Valoracin de las vulnerabilidades

En este apartado se van a valorar las diferentes vulnerabilidades encontradas en la empresa. Para analizar las vulnerabilidades se usara el siguiente criterio de valoracin: Alta: La vulnerabilidad es grave debido a que es muy probable que sea aprovechada por una amenaza para infligir dao a la organizacin y provocar una prdida de activos irreparable. Media: La vulnerabilidad es importante pero tiene poca probabilidad de ser aprovechada por una amenaza. Baja: Existe una vulnerabilidad pero no hay una amenaza que la pueda explotar o existen muy pocas posibilidades que la amenaza llegue a materializarse en esa vulnerabilidad. Cdigo Vulnerabilidad Activos a los que afecta Informacin de la empresa Activos materiales (Equipos, documentacin fsica,) Equipamiento informtico Comunicaciones de la empresa Valoracin

Falta de polticas de Backup Falta de detectores de humos

Alta

Media

Falta de dispositivos SAI Dependencia exclusiva de un nico proveedor de comunicaciones Mala actualizacin de Software de seguridad Mala actualizacin de Software de gestin

Media

Baja

Informacin de la empresa

Alta

Informacin de la empresa

Media

65

Mal mantenimiento de Software a medida No disponer de red interna

Informacin de la empresa

Baja

Informacin de la empresa y comunicaciones Informacin de la empresa

Baja

No existe una poltica de copias de seguridad No existe un almacenamiento centralizado de la informacin No existen polticas ni medios para el cifrado de la informacin No existen planes de contingencia No existe poltica de contraseas No existe polticas de restriccin de acceso a datos Software de seguridad no adaptado correctamente a la empresa No declaracin de los ficheros de informacin personal ante la AGPD

Alta

10

Informacin de la empresa

Media

11

Informacin de la empresa

Media

12

Informacin de la empresa Informacin de la empresa Informacin de la empresa

Alta

13

Baja

14

Baja

15

Informacin de la empresa

Media

16

Informacin de la empresa

Baja

66

17

Falta de conciencia de los encargados de la empresa

Informacin de la empresa, equipamiento informtico y comunicaciones

Alta

Tabla 6.1: Valoracin de vulnerabilidades

67

7. PLAN DE SEGURIDAD
7.1 Introduccin
Hasta este punto se ha realizado un completo anlisis de la situacin de la empresa en lo que se refiere a la seguridad de la informacin. A continuacin se van a detallar las posibles soluciones que debe implantar la empresa para conseguir establecer un nivel de seguridad de su informacin adecuado para evitar prdidas y daos de activos.

7.2 Plan de seguridad

A la hora de realizar el anlisis de la empresa, se han detectado ciertas vulnerabilidades graves como por ejemplo que no exista un replicado de la informacin, que no existan polticas de acceso a la informacin o la ms importante, que los responsables de la empresa no tengan conciencia de la importancia de dotar a su empresa de unas adecuadas medidas de seguridad para proteger la informacin de la misma. Para conseguir reducir el riesgo de la empresa se van a detallar las medidas que se debern emplear para conseguir que consiga ponerse al da en la seguridad de su informacin y elementos informticos. Dentro de las medidas a emplear para eliminar las vulnerabilidades y dotar a la empresa de una seguridad adecuada, se pueden distinguir varios tipos: Medidas preventivas: Medidas que se debern implantar en la empresa para prevenir la posible explotacin de una vulnerabilidad por parte de una amenaza. Medidas correctoras: Medidas que se debern implantar en la empresa para corregir problemas o fallos debidos a amenazas que se han materializado. Riesgos asumibles: Pueden existir vulnerabilidades de la empresa que no sean sensibles a que un riesgo las explote, por lo que esa vulnerabilidad no es necesario que sea tenida en cuenta a la hora de establecer las medidas de seguridad.

68

7.2.1 Medidas aplicadas a desastres naturales

A la hora de establecer medidas para proteger a la empresa de daos debidos a desastres naturales hay que tener en cuenta que no se puede controlar que lleguen, o no, a materializarse por lo que la empresa est expuesta a ellos y nicamente se pueden establecer medidas preventivas para intentar minimizar en lo posible el dao. Medidas preventivas a adoptar dentro de la empresa: Instalacin de dispositivos de proteccin de lneas elctricas contra sobrecargas. Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para garantizar el suministro elctrico en caso de cada del sistema elctrico general. Realizacin peridica de copias de Backup localizadas en servidores externos a la empresa.

Aunque antes se ha comentado que para tratar los desastres naturales slo se pueden establecer medidas preventivas, la realizacin de copias de Backup se puede incluir tambin dentro de medidas correctoras.

7.2.2 Medidas aplicadas a problemas estructurales

Los posibles daos estructurales que se den en la empresa, an siendo ajenos a la propia empresa s pueden ser controlados mediante revisiones peridicas o mediante la contratacin de servicios alternativos. Medidas preventivas a adoptar dentro de la empresa: Revisin peridica de la instalacin elctrica. Instalacin de dispositivos automticos de extincin de incendios. Distribucin de extintores a lo largo de toda la dependencia de la empresa, en especial cerca de elementos informticos crticos. Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para garantizar el suministro elctrico en caso de cada del sistema elctrico general. Contratacin de dos lneas exteriores con suministradores de internet para garantizar siempre una conexin mnima a la red.

69

Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.

Riesgos asumibles en la empresa: Prdida de las comunicaciones durante un periodo inferior a 24 horas.

7.2.3 Medidas aplicadas a problemas de Hardware

En el anlisis realizado dentro de la empresa se han detectado varios fallos en el correcto mantenimiento y seguridad del equipamiento Hardware disponible, sobre todo debido a la ausencia de un sistema de almacenamiento centralizado, lo que pone en grave riesgo la integridad de la informacin almacenada dentro de dicho Hardware. Algunas medidas aplicables para evitar prdidas: Medidas preventivas a adoptar dentro de la empresa: Instalacin de un servidor de almacenamiento centralizado donde se almacene toda la informacin generada dentro de la empresa y que garantice un acceso adecuado, y seguro, a la misma cuando sea necesario. Disponer de copias de respaldo almacenadas en servidores exteriores a la empresa para prevenir posibles fallos de Hardware. Dispositivos SAI (Sistemas de Alimentacin Ininterrumpida) para evitar posibles fallos de los equipos debidos a cortes de energa repentinos. Tener contratado un buen servicio tcnico que asegure una rpida reparacin y puesta en marcha de los equipos si se produce un fallo.

Medidas correctoras a adoptar dentro de la empresa: Tener contratado un buen servicio tcnico que asegure una rpida reparacin y puesta en marcha de los equipos si se produce un fallo. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.

Riesgos asumibles en la empresa: Fallo en alguna estacin PC o porttil durante un periodo inferior a 24 horas. 70

7.2.4 Medidas aplicadas a problemas de Software

El Software es el elemento ms crtico de la empresa, pues debido a la falta de concienciacin de seguridad de los responsables de la misma; los elementos Software que componen los activos de la empresa no estn siempre correctamente actualizados y preparados para evitar posibles prdidas de informacin no deseadas. Medidas preventivas a adoptar dentro de la empresa: Realizar peridicamente, o cuando sea requerido por el distribuidor del Software, las actualizaciones oportunas para mantener al da los distintos programas y Sistemas Operativos. Instalacin de bases de datos centralizadas donde se almacenen todos los datos importantes generados por la empresa para facilitar el almacenamiento, accesibilidad y seguridad de los datos. Disponer de Software de calidad y debidamente revisado. Establecer una poltica de contraseas para acceder a los diferentes equipos de la empresa.

Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.

7.2.5 Medidas aplicadas a problemas de red

La red es uno de los elementos ms sensibles de la empresa, puesto que dentro de la misma no son conscientes de lo perjudicial que puede llegar a ser un ataque exterior y tampoco saben aprovechar las oportunidades que sta puede proporcionar. Medidas preventivas a adoptar dentro de la empresa: Montaje de una red interna en la empresa para garantizar que todas las comunicaciones internas y de carcter confidencial no salen de la estructura de la propia empresa. Mantener correctamente instalados y actualizados los sistemas de seguridad Software de los que dispone la empresa. Instalacin en la totalidad de equipos de la empresa igual Software de seguridad que garantice la seguridad de los equipos.

71

Establecimiento de polticas de seguridad de acceso a la red mediante el empleo de contraseas. Instalacin de un Router de acceso gestionable, ms adecuado para la empresa que el proporcionado por la empresa suministradora del servicio. Establecer una correcta configuracin de seguridad para la red inalmbrica que evite accesos indeseados.

Medidas correctoras a adoptar dentro de la empresa: Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones que aseguren una rpida reparacin y restablecimiento del servicio en caso de problemas con la lnea. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.

Riesgos asumibles en la empresa: Fallo en los sistemas de comunicacin de red durante un periodo no superior a 24 horas.

7.2.6 Medidas aplicadas a problemas de las copias de seguridad

La poltica de copias de seguridad es sin duda el taln de Aquiles de la empresa, pues dentro de la misma no se dispone de ningn sistema que garantice que se realicen copias de los datos crticos, ni que estas copias estn a salvo y replicadas en algn sistema de almacenamiento exterior a la empresa. En este punto, tambin se detecta una falta de concienciacin de los responsables de la empresa de lo importante que resulta tener la informacin replicada. Como nota de la importancia de este punto cabe resear que durante la elaboracin del presente proyecto se perdieron en la empresa los datos fiscales que se encontraban informatizados del ltimo ao. Medidas preventivas a adoptar dentro de la empresa: Instalacin de un servidor centralizado de copias de seguridad en el cual se almacenen peridicamente copias de los datos actualizados.

72

Realizacin peridica de copias de seguridad de los datos, en especial de los datos crticos, generados en la empresa. Realizacin peridica de copias de Backup localizadas en servidores externos a la empresa para garantizar la disponibilidad de los datos ante cualquier contratiempo en la empresa.

Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.

7.2.7 Medidas aplicadas a problemas con la informacin

La informacin es uno de los activos ms importantes con los que cuenta la empresa y por tanto uno de los ms crticos y que ms habra que proteger. Medidas preventivas a adoptar dentro de la empresa: Disponibilidad de copias de seguridad de los ficheros ms importantes en diferentes soportes. Instalacin de bases de datos centralizadas donde se almacenen todos los datos importantes generados por la empresa para facilitar el almacenamiento, accesibilidad y seguridad de los datos. Establecimiento de procedimientos de seguridad que establezcan las acciones a realizar en caso de prdidas de informacin. Establecimiento de planes de contingencia para salvaguardar la informacin y evitar daos o prdidas de la misma.

Medidas correctoras a adoptar dentro de la empresa: Seguimiento de los procedimientos de seguridad establecidos para cada caso. Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Seguimiento del plan de contingencia especificado para cada caso.

73

7.2.8 Medidas aplicadas a problemas con el personal

En cualquier organizacin el personal es un punto crtico pues un empleado descontento puede provocar graves daos desde dentro de la organizacin. Cabe recordar que el 80% de los ataques informticos que sufren las empresas proceden de dentro de la misma. En este caso un ataque desde dentro no es aplicable pues el personal que trabaja en la empresa es a la vez dueo de la misma y no realizar acciones conscientes que daen a su propia empresa; an as, como se ha comentado ya con anterioridad, el personal est muy poco concienciado con disponer de una adecuada seguridad y poltica de respaldo dentro de la empresa para garantizar la salvaguarda de su informacin. Medidas preventivas a adoptar dentro de la empresa: Conseguir una adecuada concienciacin del personal de la empresa sobre lo importante que es mantener un cierto nivel de seguridad en los procesos que se realizan dentro de la empresa. As como establecer una adecuada poltica de respaldo de informacin. Disponibilidad de copias de seguridad de los ficheros ms importantes en diferentes soportes. Establecer una poltica de contraseas para el acceso a los recursos del sistema.

Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Realizacin de cursos de concienciacin sobre la importancia de la seguridad de los datos para el personal de la empresa.

7.2.9 Medidas aplicadas a problemas con el patrimonio

En cualquier momento se puede estar sujeto a un robo o a una prdida no intencionada de activos que provoque un problema de disponibilidad de datos importantes o una prdida irrecuperable de los mismos. Medidas preventivas a adoptar dentro de la empresa: Disponibilidad de copias de seguridad de los ficheros ms importantes en diferentes soportes. Disponer de un completo inventario de todos los activos de la empresa. 74

Tener la alarma conectada cuando no hay personal dentro de las instalaciones de la empresa.

Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos.

7.2.10 Medidas aplicadas a informacin que debe ser declarada ante la Agencia de Proteccin de Datos
Los ficheros con informacin de carcter personal, como lo son por ejemplo las nminas, entran dentro del nivel bajo de la LOPD por lo que adems de declarar esos ficheros a la Agencia de Proteccin de Datos se deben establecer las siguientes medidas de seguridad para los ficheros: [Web 8] Creacin de un documento de seguridad, de obligado cumplimiento para el personal que tenga acceso a los datos. Adopcin de medidas para que el personal conozca las normas de seguridad. Creacin de un registro de incidencias. Creacin de una relacin de usuarios (procesos o personas) que tengan acceso al sistema de informacin. Establecer mecanismos de control de acceso. Establecer mecanismos de control de soporte.

Medidas correctoras a adoptar dentro de la empresa: Se deben declarar ante la Agencia de Proteccin de Datos los ficheros que contienen las nminas de los empleados de la organizacin. Se deben establecer las medidas de seguridad establecidas dentro de la LOPD para adecuarse a lo establecido dentro de la ley.

75

7.2.11 Medidas aplicadas a problemas provocados por otros riesgos

Otros factores que pueden afectar a la seguridad de los activos de la empresa pueden ser problemas de terrorismo, problemas con la imagen de la empresa, problemas de solvencia de los servicios externos, etc. Medidas preventivas a adoptar dentro de la empresa: Disponer de copias de respaldo almacenadas en servidores exteriores a la empresa. Uso de Software comercial mantenimiento con periodicidad. que asegure actualizaciones y

Medidas correctoras a adoptar dentro de la empresa: Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Trabajar nicamente con proveedores de probada solvencia y que garanticen una rpida reparacin y restitucin del servicio en caso de fallos.

76

7.3 Resumen de medidas de seguridad

En este apartado se van a detallar en resumen las medidas correctoras que se recomiendan para dotar a la empresa de un nivel de seguridad adecuado para sus activos.

Medidas preventivas Instalacin de dispositivos de proteccin de lneas elctricas contra sobrecargas. Instalacin de dispositivos SAI (Sistemas de Alimentacin Ininterrumpida). Realizacin peridica de copias de Backup localizadas en servidores externos a la empresa. Revisin peridica de la instalacin elctrica. Instalacin de dispositivos automticos de extincin de incendios. Distribucin de extintores a lo largo de toda la dependencia de la empresa, en especial cerca de elementos informticos crticos. Contratacin de dos lneas exteriores con suministradores de internet para garantizar siempre una conexin mnima a la red. Instalacin de un servidor de almacenamiento centralizado. Realizar peridicamente, o cuando sea requerido por el distribuidor del Software, las actualizaciones oportunas para mantener al da los distintos programas y Sistemas Operativos. Instalacin de bases de datos centralizadas. Disponer de Software de calidad y debidamente revisado. Establecer una poltica de contraseas. Montaje de una red interna en la empresa. Mantener correctamente instalados y actualizados los sistemas de seguridad Software de los que dispone la empresa. Instalacin en la totalidad de equipos de la empresa igual Software de seguridad que garantice la seguridad de los equipos. Instalacin de un Router de acceso gestionable ms adecuado para la empresa que el proporcionado por la empresa suministradora del 77

servicio. Establecer una correcta configuracin de seguridad para la red inalmbrica. Instalacin de un servidor centralizado de copias de seguridad. Realizacin peridica de copias de seguridad. Establecimiento de procedimientos de seguridad. Establecimiento de planes de contingencia. Conseguir una adecuada concienciacin del personal de la empresa. Disponer de un completo inventario de todos los activos de la empresa. Tener la alarma conectada cuando no hay personal dentro de las instalaciones de la empresa. Uso de Software comercial que mantenimiento con periodicidad.
Tabla 7.1: Medidas preventivas

asegure

actualizaciones

Medidas correctoras Restauracin de copias de Backup en el caso de haberse producido una prdida de datos. Tener contratado un buen servicio tcnico que asegure una rpida reparacin y puesta en marcha de los equipos si se produce un fallo. Disponer de un correcto servicio de mantenimiento por parte de la empresa suministradora de servicios de comunicaciones. Seguimiento de los procedimientos de seguridad establecidos para cada caso. Seguimiento del plan de contingencia especificado para cada caso. Trabajar nicamente con proveedores de probada solvencia y que garanticen una rpida reparacin y restitucin del servicio en caso de fallos. Realizacin de cursos de concienciacin sobre la importancia de la 78

seguridad de los datos para el personal de la empresa. Dar de alta los ficheros con informacin del personal en la Agencia de Proteccin de Datos. Establecer las medidas de seguridad recogidas en la LOPD para los ficheros que lo requieran.
Tabla 7.2: Medidas correctoras

Riesgos asumibles Prdida de las comunicaciones durante un periodo inferior a 24 horas. Fallo en alguna estacin PC o porttil durante un periodo inferior a 24 horas. Fallo en los sistemas de comunicacin de red durante un periodo no superior a 24 horas.
Tabla 7.3: Riesgos asumibles

79

8. RECOMENDACIONES FINALES
8.1 Introduccin
La seguridad es un proceso continuo, no se pueden establecer unas medidas de seguridad extremas para mantener la integridad de los datos y procesos de la empresa y luego, olvidar que es necesario realizar un seguimiento continuo de las medidas implantadas, actualizacin de Software, revisin peridica del Hardware, etc. Por ello una vez realizado el anlisis de la empresa y dadas las recomendaciones necesarias para conseguir dotar a la empresa de las medidas de seguridad necesarias que cubran las precariedades con las que cuenta la empresa en materia de seguridad informtica, se van a detallar unas recomendaciones finales, sobre todo de cara al futuro, para que la empresa consiga mantener el nivel de seguridad alcanzado gracias a las recomendaciones dadas.

8.2 Recomendaciones
Mantener correctamente actualizado todo el Software de la empresa, antivirus, Sistema Operativo, Software de gestin, etc. Realizar, al menos una vez a la semana, copias de respaldo de todos los datos generados durante el periodo desde la ltima copia de seguridad. Realizar auditoras peridicas, recomendablemente bienales, del nivel de seguridad en que se encuentra la empresa. Se recomienda la contratacin de personal adecuado para el mantenimiento de los sistemas y los procedimientos de seguridad (al menos una). Cumplir correctamente con todo lo referente a la Ley Orgnica de Proteccin de Datos. Que el personal de la empresa siga las recomendaciones dadas en este documento.

80

9. PLANIFICACIN
Para llevar a cabo este proyecto se ha realizado una planificacin dividiendo el proyecto en diferentes paquetes de trabajo. Para identificar los diferentes paquetes de trabajo se seguir la siguiente nomenclatura: WP x; donde x ser el nmero del paquete de trabajo y en el caso de los subpaquetes se definirn: WP x.y donde x ser el nmero del paquete e y sea el nmero de subpaquete.

PROYECTO

WP 1. Gestin del proyecto

WP 2. Planificacin del proyecto

WP 3.Ejecucin del proyecto

WP 4. Cierre del proyecto

WP 1.1 Reuniones de seguimiento

WP 3.1 Anlisis de la empresa

WP 3.2 Inventario Hardware

WP 3.3 Inventario Software

WP 3.4 Plan de recuperacin existente

WP 3.5 Anlisis de riesgos

WP 3.6 Anlisis de vulnerabilidades

WP 3.7 Plan de seguridad

WP 3.8 Recomendaciones finales

81

Figura 9.1: Paquetes de trabajo

WP 3.2 Inventario Hardware

WP 3.2.1 Hardware instalado

WP 3.2.2 Comunicaciones

WP 3.2.3 Seguridad fsica

Figura 9.2: Inventario Hardware

WP 3.3 Inventario Software

WP 3.3.1 Software instalado

WP 3.3.2 Seguridad Software

Figura 9.3: Inventario Software

82

WP 3.4 Plan de recuperacin existente

WP 3.4.1 Hardware de recuperacin

WP 3.4.2 Software de recuperacin

WP 3.4.3 Recursos humanos

WP 3.4.4 Estrategias de respaldo

Figura 9.4: Plan de recuperacin existente

WP 3.5 Anlisis de riesgos

WP 3.5.1 Identificacin de riesgos

WP 3.5.2 Valoracin de riesgos

Figura 9.5: Anlisis de riesgos

La gestin del proyecto abarcar toda su vida con la realizacin de reuniones de seguimiento mensuales con el cliente para informarle de los avances del anlisis de la empresa. Los paquetes de trabajo definidos en la ejecucin del proyecto se realizarn de forma secuencial. 83

84

Figura 9.6: Planificacin

Como se puede ver en la planificacin, la duracin del proyecto se estima en 8 meses siendo los paquetes de trabajo con mayor duracin: El anlisis de riesgos que tiene una duracin de 40 das. El anlisis de vulnerabilidades que tiene una duracin de un mes. La realizacin del plan de seguridad que tiene una duracin de un mes. La realizacin de las recomendaciones futuras que tiene una duracin de un mes.

85

10. PRESUPUESTO
A continuacin se va a detallar el presupuesto necesario para la realizacin de este proyecto. Para llevar a cabo este proyecto nicamente ser necesaria la contratacin de un auditor a tiempo completo durante la duracin del proyecto. Para realizar la valoracin econmica se considerara: Tarifa auditor: 50 la hora. Media de horas laborables al mes: 160. Tiempo de desarrollo del proyecto: 8 meses.

Tarifa Analista Junior Auditor 35 /hora 50 /hora Total

Horas mes 240 horas 60 horas

Total 8.400 3.000 11.400

Tabla 10.1: Presupuesto

86

11. CONCLUSIONES
Una vez concluido el trabajo de anlisis de la empresa y dadas las recomendaciones de seguridad oportunas se finaliza el proyecto detallando las conclusiones obtenidas. 1. Los responsables de la empresa no tienen una buena conciencia de lo importante que es la seguridad informtica. A lo largo de la realizacin del proyecto se ha comprobado en numerosas ocasiones que los responsables de la empresa no son conscientes de lo importante que es la seguridad informtica para su proceso de negocio y lo vulnerable que es la empresa a posibles prdidas de informacin.

2. La naturaleza de las amenazas que pueden afectar a una organizacin ha cambiado. Tal y como se comenta en la introduccin la naturaleza de las amenazas ha cambiado, los creadores de virus ya no tratan de propagarlos rpidamente y conseguir con ello un record de infecciones y cierta notoriedad sino que ahora tratan de colarse en sistemas para robar el mayor nmero de informacin posible sin ser detectados.

3. La empresa se encuentra muy desprotegida ante posibles ataques informticos Tal y como se ha visto a lo largo del proyecto en los anlisis que se han realizado dentro de la empresa, reflejan una falta de preocupacin por los sistemas de seguridad con los que ya se cuenta (la mayora del Software de seguridad no se encuentra actualizado) y por mejoras que se puedan implantar en los sistemas.

4. A pesar de ser una pequea empresa requiere una gran atencin en lo referente a la seguridad de su informacin. Arroyo-Fuensaldaa es una empresa con una nica sede y con poco personal, pero aun as requiere un gran esfuerzo, control y supervisin de todos los procesos informticos que se producen para asegurar que no tengan lugar perdidas de informacin.

87

5. Con las recomendaciones dadas en el presente documento se conseguir dotar a la empresa de la seguridad que necesita. Si se siguen todas las pautas dadas en el presente documento, la empresa podr ponerse al da en la seguridad de sus sistemas y estar adecuadamente protegida.

88

BIBLIOGRAFIA
[HOWA06] Howard. 19 Puntos clave sobre seguridad de Software Editorial McGraw-Hill, Madrid, 2006 [MAIW04] Maiwald, Eric. Fundamentos de seguridad de redes Editorial McGraw-Hill, Madrid, 2004 [ALVA04] lvarez Maran, Gonzalo y Prez Garca, Pedro. Seguridad informtica para la empresa y particulares Editorial McGraw-Hill, Madrid, 2004 [GOME06] Gmez Vieites, A. Enciclopedia de la Seguridad Informtica Editorial Ra-Ma, Madrid, 2006 [Web 1] [Web 2] [Web 3] [Web 4] [Web 5] [Web 6] [Web 7] [Web 8] [Web 9] [Web 10] www.rae.es www.abcdatos.com www.avasthome.com www.McAfee.es www.nokia.es www.bsecure.com www.iso27000.es www.agpd.es www.htc.es www.telefonica.es

89

ANEXOS
ANEXO 1. WinAudit
[Web 2] WinAudit es un completo programa bajo licencia Freeware con el que se puede realizar una completa auditoria de cualquier estacin informtica. WinAudit analiza completamente el equipo y realiza un informe completo incluyendo todo el Software instalado, configuracin de seguridad, configuracin de red, Hardware instalado, mapeo de puertos, configuracin de Firewall, incluso diagnsticos de fallo de Hardware. Los informes elaborados por WinAudit pueden imprimirse en diferentes formatos como html, pdf, txt, xml, etc. Requisitos mnimos WinAudit funciona bajo cualquier Sistema Operativo Windows, desde el 95 al Vista. No requiere de instalacin pues funciona simplemente con ejecutar el archivo .exe del programa.

Figura A.1: Pantalla principal WinAudit

90

Pantalla principal En la pantalla inicial del programa se puede seleccionar el idioma para realizar el inventario y a continuacin iniciar la recoleccin de datos de la estacin.

Figura A.2: Pantalla de anlisis WinAudit

Pantalla de anlisis Una vez iniciado el anlisis, y mientras ste se realiza, se puede detener en cualquier momento, as como elegir el formato en el que se mostrar la informacin.

91

Figura A.3: Informacin recolectada WinAudit

Informacin recolectada Una vez finalizado el anlisis WinAudit muestra toda la informacin que ha recolectado de la estacin. En la parte derecha se muestra un men desplegable gracias al cual es posible navegar a travs de las distintas informaciones recopiladas del equipo. Al realizar el guardado del documento, ste se almacenar en el formato escogido.

92

ANEXO 2. ISO 17799

La norma ISO 17799 es un cdigo de buenas prcticas en la seguridad de la informacin que estandariza el correcto tratamiento de la seguridad de la informacin dentro de la organizacin. La norma establece 10 reas de seguridad que hay que tener en cuenta: Polticas de seguridad. Organizacin de la seguridad. Clasificacin y control de activos. Seguridad ligada al personal. Seguridad fsica. Seguridad lgica. Control de accesos. Mantenimiento y desarrollo de los sistemas. Continuidad del negocio Cumplimiento con la legislacin vigente.

La norma tiene en cuenta 36 objetos de seguridad as como 127 controles de seguridad. La norma: Especifica los requisitos para establecer, implantar, documentar y evaluar un sistema de gestin de seguridad de la informacin segn la norma ISO 17799. Define los controles de seguridad a revisar. Define el marco general del sistema gestin de seguridad de la informacin. Define como implantar el sistema de gestin de seguridad de la informacin. Define como se realiza la explotacin. Define como realizar la revisin y mejora del sistema de gestin de seguridad de la informacin. 93

ANEXO 3. Diagnstico de la empresa

Como ayuda a la realizacin del anlisis de requisitos se ha realizado dentro de la empresa el cuestionario de diagnstico basado en la norma ISO 17799. A la hora de evaluar cada control de seguridad se har con: S: Si la medida se aplica en la empresa. No: Si la medida no se aplica en la empresa. No aplicable: Si la medida no es aplicable dentro de la empresa.

Polticas de seguridad

Se aplica en la empresa No No No No

Existen documento(s) de polticas de seguridad de SI Existe normativa relativa a la seguridad de los SI Existen procedimientos relativos a la seguridad de los SI Existe un responsable de las polticas, normas y procedimientos Existen mecanismos para la comunicacin a los usuarios de las normas Existen controles regulares para verificar la efectividad de las polticas Organizacin de la seguridad Existen roles y responsabilidades definidos para las personas implicadas en la seguridad Existe un responsable encargado de evaluar la adquisicin y cambios del SI Existen condiciones contractuales de seguridad con terceros y outsourcing Se revisa la organizacin de la seguridad peridicamente por una empresa externa Existe un contrato de mantenimiento y soporte con

No

No

No

No

No

S 94

empresa externa para contingencias Existen programas de formacin en seguridad Clasificacin y control de activos Existe un inventario de activos actualizado El inventario contiene activos de datos, software, equipos y servicios Se dispone de una clasificacin de la informacin segn la criticidad de la misma Existen procedimientos para clasificar la informacin Existen procedimientos de etiquetado de la informacin Seguridad del personal Se tienen definidas responsabilidades y roles de seguridad Se tiene en cuenta la seguridad en la seleccin de personal Se plasman las condiciones de confidencialidad y responsabilidades en los contratos Se imparte la formacin adecuada de seguridad Existe un canal y procedimientos claros a seguir en caso de incidente de seguridad Se recogen los datos de los incidentes de forma detallada Informan los usuarios de las vulnerabilidades observadas o sospechadas Se informa a los usuarios de que no deben, bajo ninguna circunstancia, probar las vulnerabilidades Seguridad fsica y del entorno Existe un permetro de seguridad fsica Existen controles de entrada para protegerse frente al acceso de personal no autorizado S S No S S No

No

No No

No

No

No No

No

95

Un rea segura ha de estar cerrada y aislada En las reas seguras existen controles adicionales al personal propio y ajeno Las reas de carga y expedicin estn aisladas de las reas del SI La ubicacin de los equipos est de tal manera para minimizar accesos innecesarios Existen protecciones frente a fallos en la alimentacin elctrica Existe seguridad en el cableado frente a daos e intercepciones Se asegura la disponibilidad e integridad de todos los equipos Existe algn tipo de seguridad en los equipos ubicados exteriormente Existen polticas de limpieza en el puesto de trabajo Gestin de comunicaciones y operaciones Todos los procedimientos operativos identificados en la poltica de seguridad han de estar documentados Estn establecidas responsabilidades para controlar cambios en los equipos Estn establecidas responsabilidades para asegurar una respuesta rpida, ordenada y efectiva frente a incidentes de seguridad Existe algn mtodo para reducir el mal uso accidental o deliberado en los sistemas Existe una separacin de los entornos de desarrollo y produccin Existen contratistas externos para la gestin de los SI Existe un plan de capacidad para asegurar la adecuada capacidad de proceso y de almacenamiento

No No

No aplicable

No

No

No

No

No aplicable

No

No

No

No

No

S No

96

Existen criterios de aceptacin de nuevos SI, incluyendo actualizaciones y nuevas versiones Controles contra software maligno Realizar copias de backup de la informacin esencial para el negocio Existen logs para las actividades realizadas por los operadores y administradores Existen logs de fallos detectados Existe algn control en las redes Hay establecidos controles para realizar la gestin de los medios informticos Eliminacin de los medios informticos. Pueden disponer de informacin sensible Existe seguridad de la documentacin de los sistemas Existen acuerdos para intercambio de informacin y software Existen medidas de seguridad de los medios en el transito Existen medidas de seguridad en el comercio electrnico Se han establecido e implantado medidas para proteger la confidencialidad e integridad de la informacin publicada Control de accesos Existe una poltica de control de accesos Existe un procedimiento formal de registro y de baja Se controla y restringe la asignacin y uso de privilegios en entornos multiusuario Existe una gestin de los password de los usuarios Existe una revisin de los derechos de acceso de los usuarios

No

S No

No

No No No

No

No No

S No aplicable

No

No No No

No No

97

Existe el uso de password Se protege el acceso a los equipos desatendidos Existe una poltica de uso de los servicios de red Se asegura la ruta desde el terminal al servicio Existe una autenticacin de usuarios en conexiones externas Existe una autenticacin de los nodos Existe un control en la conexin de las redes Existe un control de routing de las redes Existe una identificacin automtica de los terminales Existen procedimientos de log-on al terminal Est controlado el teletrabajo en la organizacin Desarrollo y mantenimiento de los sistemas Se asegura que la seguridad est implantada en los SI Existe seguridad en las aplicaciones Existen controladores criptogrficos Existe seguridad en los ficheros de los sistemas Existe seguridad en los procesos de desarrollo y soporte Gestin de la continuidad del negocio Existen procesos para la gestin de la continuidad Existe un plan de continuidad del negocio y anlisis de impacto Existe un diseo, redaccin e implantacin de planes de continuidad Existe un marco de planificacin para la continuidad del negocio Existen prueba, mantenimiento y reevaluacin de los planes de continuidad del negocio

No No No No No

No No No No No No aplicable

S S No No No

No No

No

No

No

98

Conformidad Se tiene en cuenta el cumplimiento con la legislacin Existe una revisin de la poltica de seguridad y de la conformidad tcnica Existen consideraciones sobre las auditorias de los sistemas
Tabla A.1: Diagnstico de la empresa

No No

No

99