miércoles, 1 de octubre de 2014

PROYECTO 1 - CONCEPTOS DE PROTECCIÓN DE DATOS

Aplicar medidas de seguridad pasiva en sistemas informáticos describiendo características de entornos y relacionándolas con sus necesidades

 Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:
  • El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
  • El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
  • Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
  • Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva)
  • El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
  • Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
  • Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
  • El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
  • Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.

Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?
  1. Deberían de contratar como mínimo uno por edificio aunque sea, pero deberían poner mas guardias si es una empresa de gran valor.
  2.  En el CPD pondría un vigilante de la misma compañía o especializados ya que hay estará la información mas privada o importante y las llamadas las reenviaría a la casa de mi secretaria o a mi mismo.
  3. En primer lugar compraría una o mas cintas con el espacio suficiente para hacer dicha copia de todo el servidor. Después dichas copias las guardaría en un lugar seguro y restringido.
  4. Intentaría de alguna forma posible de hacer que la habitación este fría y si no se pudiera ninguna manera seria cambiar de lugar el servidor a un lugar mas adecuado.
  5. Tendría precaución con el disco duro y tendría otro con el mismo guardado de datos por motivos de mas seguridad. 
  6. Se recomendaría instalar RAID en el disco duro para prevenir futuros fallos.
  7. Seria mejor poner una contraseña (aunque sea muy simple) ya que se arriesgan a un robo de datos muy fácilmente. 

Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
  • Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.
  • La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
  • En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.
  • Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.
  • La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
  • Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.
  • El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04. 


Termina la entrevista del segundo día porque tiene otro compromiso.

De nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?
  1. Debería de tener una contraseña si o si ya que pueden meterse cualquiera a la servidor de la empresa. Aunque sea que la pongan en la sala de espera en un papel la contraseña y que se renueve cada cierto tiempo.
  2. Es una locura el dicho uso de un antivirus así ya que puede ser de todo menos un antivirus y el pendrive es un peligro en potencia si se uso de esa forma.
  3. A la hora de las actualizaciones, es recomendable que se actualicen y si hay un atasco de datos seria mejor acordar unas horas para hacer las actualizaciones y así no haber una saturación.
  4. No deberían de utilizar Hamachi como método de conectividad, aunque sea bueno siempre corre el riesgo de sufrir algún fallo. 
  5. Seria recomendable actualizar el SSOO.

Reconocer la legislación y normativa sobre seguridad y protección de datos analizando las repercusiones de su incumplimiento


Como te encuentras un poco pez sobre la LOPD, decides buscar información sobre distintos conceptos que te suena que están relacionados y sobre cuestiones que te surgen sobre el tema.


     Elige uno de los siguientes temas, prepara una presentación y exponla al resto de tus compañeros.

1.    Qué regula la LOPD (Ley Orgánica de Protección de Datos).
2.    Niveles que establece según la sensibilidad de los datos y medidas a tomar en cada nivel.
3.    Según la actual LOPD, en qué nivel se sitúa el tratamiento de los siguientes datos:
a)  Información sobre las multas de tráfico de una persona
b)  Historial médico de una persona
c)  Orientación sexual de una persona
d)  Dirección personal o social de un titular o empresa
e)  Afiliación política
f)   Información tributaria básica

4.    Sanciones por no cumplir la LOPD.
5.    Funciones de la AGPD/APD (Agencia de Protección de Datos).
6.    Ejemplo de documento en papel u on-line donde se informe de nuestros derechos sobre los datos recabados.
7.    Qué regula la LSSI-CE (Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico).
8.    Qué regula la LPI (Ley de Propiedad Intelectual).
9.    El canon digital.
10.  La SGAE.
11.  Administración electrónica.
12.  Firma electrónica.
13.  Ley sobre normas reguladoras de firma electrónica.
14.  El DNI electrónico.
15.  Ley sobre el DNI electrónico.


Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoria. Tus notas son las siguientes:



La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.


  • Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?
  • Qué nivel de seguridad requerirá el fichero?
  • Qué medidas de seguridad requiere este nivel?
  •  Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.
  1. Claro, con tal de no hacer un mal uso de ellos si pueden hacer tal fichero. También es la manera de ponerse en contacto con los usuarios registrados.
  2. Un nivel muy alto, ya que contiene información delicada y privada.
  3. Podría ser una protección física (como llevarlo uno mismo en un portátil, disco duro o pendrive y dejarlo en tu casa o lugar seguro) como lógica (hacer una copia de seguridad, ponerle clave al fichero y carpeta...).
  4. Infracciones que puede acarear al mal uso fichero:
  • Crear ficheros para almacenar datos que revelen datos especialmente protegidos.
  • Recogida de datos de manera engañosa o fraudulenta.
  • Recabar datos especialmente protegidos sin la autorización del afectado.
  • No atender u obstaculizar de forma sistemática las solicitudes de cancelación o rectificación.
  • Vulnerar el secreto sobre datos especialmente protegidos.
  • La comunicación o cesión de datos cuando ésta no esté permitida.
  • No cesar en el uso ilegítimo a petición de la AGPD.
  • Tratar los datos de forma ilegítima o con menosprecio de principios y garantías que le sean de aplicación.
  • No atender de forma sistemática los requerimientos de la AGPD.
  • La transferencia temporal o definitiva de datos de carácter personal con destino a países sin nivel de protección equiparable o sin autorización
En conclusión toda seguridad es poca en una empresa en hoy en día, donde cualquiera con suficientes conocimientos puede intentare robarte o hacer algún mal a la empresa


Publicado por en
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)

Formulario de inscripción

Subscribe to our mailing list

* indicates required

Pac-Man
Night Diamond Bloody Red - Link Select