1ª Parte del Trabajo.
- El
edificio tiene un servicio de vigilancia a través de una empresa externa.
Por reducción del presupuesto, ahora solo hay un vigilante que también
atiende el edificio del otro lado de la calle.
Tener una propia seguridad, poner una cámara de vigilancia que lo gestiona nuestra propia empresa, o poner nuestros propios vigilantes y no permitir a todos los empleados entrar, solamente los de mantenimiento y los jefes.
- El CPD
tiene otro vigilante, de otra compañía, que también atiende el teléfono de
la centralita a partir de las 3, cuando termina el turno del
recepcionista.
Cerrar la sala donde se encuentra el CPD, de esta forma nadie pueda pasar personas.
- Para entrar al CPD, cada informático tiene una
tarjeta particular, si bien hay una en el cajón de la mesa del vigilante
para el personal de limpieza o por si ocurre una emergencia.
Las tarjetas de pase no tiene que estar en un cajón, el personal de limpieza tendrá que pedir la tarjeta de pase al seguridad, no al vigilante.
- Una vez a la semana se hace la copia de
seguridad. Como solo disponen de un dispositivode cinta, los cuatro
servidores se reparten cada semana del mes. Dado que solo hay un vigilante
para el CPD, las cintas se dejan dentro de la sala, cada una encima de su
servidor (cada servidor tiene una cinta en exclusiva).
El problema estaría en que la cinta no se guarde en el mismo sitio donde se encuentra los CPD, porque si ocurre alguna cosa (incendio, terremoto…) se destruiría las copias. Y que las copias se hagan diariamente.
- El
edificio pertenece al patrimonio histórico y no admite reformas en la
fachada. Por tanto, no ha sido posible instalar equipos de aire
acondicionado en el CPD. Para combatir el calor que desprenden los
ordenadores, las ventanas están siempre abiertas.
La solución sería o cambiar de sitio los CPD y los trabajadores. O también pueden hacer que los servidores debajo de la tierra, que supone una reducción en emisiones en el Medio-Ambiente.
- Cada servidor tiene un disco duro de alta gama,
que no ha fallado nunca.
Se tiene que cambiar cada cierto tiempo, ya que no hay que esperar a que se rompa antes de cambiarlo.
- Los
servidores tienen doble fuente de alimentación, por si se estropea alguna.
Que los fuentes se revisen cada cierto tiempo para prevenir una caída del primer fuente de alimentación.
- El
presidente y el contable tienen cada uno un portátil de la empresa. El
disco duro de estas máquinas no está cifrado porque no se arriesgan al
desastre que supondría olvidar la contraseña.
Tienen que tener los disco cifrados, para proteger los datos, o requerir una aplicación como de terceros para recordar las contraseñas, como por ejemplo 1password.
- Los
ordenadores tienen dos usuarios: uno para las tareas normales y otro
cuando necesitan realizar alguna instalación o modificar un parámetro del
sistema operativo. Los empleados saben cuándo deben usar cada uno.
Ningún empleado tiene que tener al acceso de instalar programas o modificar los parámetros del sistema, eso tiene que hacerlo el administrador. El empleado solo tiene que tener su usuario básico con los permisos.
Termináis por hoy la entrevista porque ha
sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras
algo que mejorar? ¿Qué alternativa le puedes proponer?
Si, en temas de vigilancia. Se tiene que contratar dos empresas para la vigilancia.
2ª Parte del Trabajo
RA: Asegurar la privacidad de la información transmitida en redes
informáticas describiendo vulnerabilidades e instalando software específico
Al día siguiente continúa la entrevista. Tus nuevas notas son
- Hay una
red wifi en la oficina que permite entrar en la red de ordenadores y salir
a Internet. No tiene contraseña para que los clientes puedan utilizarla
con total comodidad.
Tenemos que habilitar que solamente pueda acceder a la red los MAC permitidos, asi que los equipos que no estén en la lista no puedan acceder, y hay que ocultar la SSID de la red Wifi para que no puedan buscarlo.
- La
mayoría de los ordenadores utilizan Windows XP, pero algunos empleados
necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas
licencias, están utilizando software pirata.
Clonar un ordenador con Windows 7, ya que Windows 7 tiene mas seguridad, instalarlo a todos los ordenadores que tengan Windows XP, buscar actualización de los programas que corren solo en Windows XP. Los programas que solo funcionan con Windows XP y no pueden soportar Windows 7, instalarlos a maquinas virtuales para que funcione.
- En cuanto al antivirus, cada empleado pone el que
más le gusta y se los pasan entre ellos mediante dispositivos USB.
Desinstalar todos los antivirus puestos en todos los equipos, contactar con alguna empresa para la seguridad del ordenador. Hacer un servidor FTP para poder compartir archivos.
- Los
ordenadores que hacen de servidores tienen activadas las actualizaciones
automáticas de todas las aplicaciones y el sistema operativo, pero en los
ordenadores de empleados no se hace porque han visto que se satura la
conexión a Internet.
Hay que deshabilitar las actualizaciones automáticas, tenemos que poner que busque actualizaciones y nos deje instalar. Los empleados no tienen que configurar nada de la configuración del equipo. Hay que tener un horario cada semana para que los equipos se puedan actualizar.
- La
mayoría de los equipos de red son switch y routers, pero algunos despachos
todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
Hay que cambiar el HUB, porque si enviamos paquetes a este, esto lo envía a todos, y no es muy seguro, tenemos que poner un switch en todas las salas en donde los switch están conectados al router.
Diferencias entre un HUB y un Switch
- Para
entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y
muy sencillo de instalar
Desde mi punto de vista, no tiene que utilizar Hamachi, sino un servidor proxy-cache, para filtrar el tráfico de la red.
- El
servidor web está instalado sobre una máquina con sistema operativo Linux
Ubuntu Server 9.04.
Hay que actualizar el servidor web con una nueva versión. O sino alquilar otra empresa especializada en páginas web para tener más seguridad.
- De
nuevo, ¿encuentras algo que mejorar? ¿Qué le puedes proponer?
Si, los empleados no pueden configurar nada de los ordenadores, ese trabajo tiene que ser del administrador de los equipos, tienen que tener permisos.
3ª Parte del Trabajo
La empresa recoge datos de las personas que solicitan información acerca de
las promociones que tiene actualmente. El objetivo es poder enviarles
información sobre futuras promociones. Los datos que se solicitan son: nombre,
dirección y correo electrónico. Una secretaria introduce los datos en una hoja
Excel en su ordenador.
- ¿Crees
que tendría que haber solicitado a la Agencia de Protección de Datos la
creación del fichero que contiene los datos?
Sí, porque es un documento importante y personal.
- ¿Qué
nivel de seguridad requerirá el fichero?
Nivel Básico, ya que el fichero es de carácter personal.
- ¿Qué medidas de seguridad requiere este nivel?
Identificar y autentificar a los usuarios acontecidos en el fichero
Llevar un registro de incidencias acontecidas en el fichero
Realizar copia de seguridad como mínimo semanalmente.
- Haz un
listado de las infracciones que podrían cometerse con respecto al fichero
y destaca cuáles de ellas supondrían una sanción mayor.
No cumplir las instrucciones de la AEPD
No tener Documento de Seguridad
No atender los derechos se un cliente
Puede tener sanciones de unos 900€ hasta 40.000€ si no los cumple.
No hay comentarios:
Publicar un comentario