Ir al contenido principal

Sesión 5 - Normas, políticas y gestión de la seguridad de la información


Actividad 1

La información, ya sea física o digital, ha de ser protegida siempre, sobretodo si formamos parte de una empresa y nuestros clientes confían ciertos datos personales en nosotros, además de que es necesario cumplir la normativa vigente, como es la Ley de Protección de Datos y de Firma Electrónica. En este caso hemos de crear una política de seguridad parra una pequeña empresa de reformas. Esta tiene 7 empleados. Tenemos a un Administrador General, dos administrativos que se encargan de controlar los presupuestos, pedidos, facturas, etc., en sus ordenadores conectados a internet, y cuatro operarios de obra. Nuestro objetivo es proteger, principalmente, la información que manejan los administrativos. 


Las pequeñas y medianas empresas suelen ser el blanco fácil de los hackers ya que a pesar de tener menos información valiosa, suelen tener menos políticas de privacidad y protección de datos, por ello es necesario crear una política de seguridad sólida para garantizar el éxito de nuestra empresa, y para ello hemos de tener en cuenta los siguientes elementos:


  • Hemos de determinar el sistema que va a tener nuestra política, cuál va a ser su alcance y el personal sobre la que se va a aplicar y que la van a aplicar. 
  • Tenemos que saber cuáles son los objetivos de nuestra política y saber definir cuáles son sus elementos.
  • Toda política ha de tener un conjunto de requerimientos mínimos que se han de cumplir, es necesario establecer cuando se está irrumpiendo la política y cuál es la sanción por hacerlo.
  • Los trabajadores que tienen acceso a esa información necesitan ser responsables con ella.


Para elaborar nuestra política de seguridad con éxito hemos de seguir una serie de parámetros. En primer lugar, vamos a llevar a cabo un análisis para averiguar cuáles son los riesgos reales que pueden amenazar a nuestra empresa, para centrarnos en lo importante, valorar los activos de los que disponemos y no malgastar tiempo ni dinero en cosas innecesarias. En una empresa de reformas, probablemente nuestro principal riesgo sería que los hackers pudieran llegar a los datos de nuestros clientes o a los de la propia empresa, que nuestro sistema adquiriese algún virus o que nuestros empleados cometan algún error. Por ello vamos a centrarnos en proteger a nuestro personal, el hardware, el software, los datos y los sistemas con los que vamos a trabajar. Podemos determinar que la protección de nuestro servidor es más importante que la protección de los equipos que usa cada uno de los administrativos por separado. Por esto mismo podríamos restringir el acceso a este servidor o bien descargarnos un firewall y un antivirus para nuestro hardware y software, entre otras medidas. Además deberíamos crear políticas de IT para que sean acordes a nuestra política de seguridad, así como realizar cambios en las distintas contraseñas de manera periódica para que así sea mas fácil acceder a ellas, así como servicios de autenticación para asegurar que cada empleado trabaja únicamente con la información necesaria y que nadie exterior a la empresa tendrá acceso a ella. 


Una vez hemos determinado lo importante, deberíamos comunicar nuestra política a todos y cada uno de los trabajadores, haciendo más responsables a los administrativos ya que los datos más importantes recaen en ellos, pero es necesario que todos los empleados sepan como actuar para que no cometan errores y sepan las sanciones en el caso de que lo hagan. La sanción en caso de que el error sea muy grave (como que el propio empleado malverse los datos de la empresa) debería ser la expulsión inmediata. En el caso de que el fallo sea menor y las consecuencias no sean muy catastróficas, no tendríamos porque ser tan intransigentes. Asimismo, cada uno de los empleados únicamente manejará aquella información que sea necesaria para poder cumplir con su trabajo, con que los operarios de obra no trabajaran con los datos privados y personales, ni de los clientes ni de la empresa, estos datos únicamente podrán ser manejados por los administrativos y por el Administrador General. Una vez creada nuestra política, es importante que vayamos actualizándola de manera periódica, es importante valorar de manera constante si los riesgos han cambiado o no, actualizar las protecciones, revisar nuestra política cada vez que decidamos cambiar de sistema, de servidor, de hardware o software, así como revisar si hay nuevas amenazas, por ello la responsabilidad de que la política se cumpla y de revisarla recae en el Administrador General de nuestra empresa. También sería necesario que estos activos estuviesen físicamente protegidos, es decir, que el lugar físico de nuestra empresa sea seguro. Esto lo podemos conseguir con alarmas que la protejan, sistemas antirrobo avanzados, que todas las puertas se tuviesen que abrir con llave (sobre todo aquellas que llevan a los despachos de los administrativos donde están los ordenadores), y que hubiese una caja fuerte con la información más relevante. 

Actividad 2

Como bien sabemos, nos estamos refiriendo a una empresa de reformas, y por ello vamos a comentar los distintos tipos de activos que puede tener la misma. En primer lugar vamos a hablar de los activos físicos; entre ellos podemos encontrar el edificio en el que trabajen los miembros de la compañía, así como los distintos instrumentos que se utilizan para hacer las reformas (si suponemos que se trata de reformar casas hablaríamos de los planos, la madera, las herramientas, los uniformes…), así como también los ordenadores que utilizan los administrativos de la empresa (el hardware, los servidores…). Si pasamos a hablar de los activos de información, que son los que nos interesan desde el punto de vista informático, podemos hablar del software que utilizan los ordenadores de la empresa, así como el sistema operativo, las bases de datos (datos sobre nuestros clientes, empleados, sobre la propia empresa, contraseñas…), los manuales de la empresa, el propio manual sobre la política de seguridad, las normas que se han de seguir, los correos electrónicos… También podemos hablar de los activos de servicios de TI, en los que incluiríamos los servicios de red o de autenticación, y por último podemos hablar de los activos humanos, que serían nuestros empleados (el Administrador General, los administrativos, los operarios, los proveedores, nuestros clientes…), además de los conocimientos y virtudes que estos tienen que son fundamentales para el buen funcionamiento del negocio. 

Actividad 3


En esta ocasión hemos hecho un análisis de cuáles son los activos más importantes para nuestra empresa de reformas y hemos establecido algunos de los que consideramos que podrían ser los principales riesgos y amenazas para las mismas, y hemos puntuado en una escala del 0 al 5 siendo el 0 un riesgo totalmente improbable o poco importante y el 5 los principales riesgos, más probables y que más daño podrían causar a nuestro negocio. 

Actividad 4 




















Hemos utilizado un Diagrama de Gantt para establecer nuestro sistema de gestión de seguridad de la información de nuestra empresa en un plazo de tres meses. En el primer mes nos dedicaremos a elaborar nuestra política de seguridad y que esta sea aprobada por la alta dirección, así como en tomar las decisiones más relevantes sobre la misma. En el segundo mes nos encargaremos de hacer participes a los trabajadores de nuestra empresa, les informaremos de cuál es la política y las sanciones que tendrán si no la cumplen, así como estableceremos los servicios de autenticación para determinar qué empleados pueden trabajar con una u otra información y asegurarnos de que el resto de personas no lleguen hasta ella. Para finalizar, durante el último mes nos encargaremos de que las contraseñas de los usuarios se cambien constantemente, así como de que las copias de seguridad se realizan con éxito para no perder la información y mantenerla segura, además de revisar de que nuestros trabajadores están cumpliendo con las directrices de nuestra política y que no hay nuevos riesgos ni amenazas acechando al éxito de nuestro negocio. 

Actividad 5 

ISO 27002 es un estándar que establece una serie de pasos que se han de seguir para garantizar la seguridad de la información, cuya versión más reciente fue publicada en 2013 por la Organización Internacional de la Información y la Comisión Electrotécnica Internacional. Vamos a escoger una de las medidas de control establecidas en su catálogo y vamos a explicar cuál es su aplicación en relación con nuestro sistema de gestión. 



En esta ocasión nos vamos a basar en el punto 6 que nos habla sobre los aspectos organizativos de la seguridad de la información. En primer lugar, es necesario establecer una organización interna, según nos dice el punto 6.1. Para ello es necesario asignar las responsabilidades para la seguridad de la información (6.1.1), y en nuestro caso la mayor responsabilidad va a recaer en el Administrador General, al que hemos escogido como alta dirección, que será el encargado de aprobar la política de seguridad y de determinar las tareas del resto de los empleados y, por tanto, de determinar las responsabilidades de estos y de la información que podrá manejar cada uno de ellos. Por esto mismo será necesario segregar las tareas (6.1.2), siendo el Administrador General el encargado de supervisar y organizar las tareas de sus subordinados. Los dos administrativos serán los encargados de trabajar con los datos y la información de la empresa, los empleados, los proveedores, los clientes… por lo que recaerá sobre ellos una gran responsabilidad a la hora de seguir la política de seguridad. Por este mismo motivo será muy importante que estos tengan un contacto y una comunicación fluida con el Administrador General (6.1.3), para poder reparar cualquier fallo a tiempo y ser capaces de sobrepasar los inconvenientes y los riesgos que se presenten. También serán los encargados de estar en contacto con los grupos de interés (6.1.4), que son principalmente nuestros clientes y proveedores. Además, en todo momento deberemos garantizar la seguridad de la información en la gestión de nuestros distintos proyectos (6.1.5). 


Por otra parte, el punto 6.2 nos habla de los dispositivos para movilidad y teletrabajo. En el momento que vivimos actualmente debido a la pandemia del Covid-19, muchas personas han tenido que desplazar su lugar de trabajo habitual en una oficina a sus casas, debido a los distintos confinamientos, tener posibles síntomas, que tus familiares los tengan… por ello es importante establecer estas políticas. En primer lugar, tendremos que determinar qué dispositivos pueden y no pueden salir de nuestra oficina (6.2.1); por ejemplo, los ordenadores de mesa no podrán salir de nuestro lugar de trabajo habitual, así como los datos que tengamos en físico (nóminas, cuentas corrientes, información confidencial sobre la empresa, clientes). Sin embargo, podemos establecer un plan de trabajo para que nuestros administrativos y Administrador General puedan instalar en sus PCs particulares los programas y sistemas necesarios para poder teletrabajar desde sus casas (6.2.2), asegurando en todo momento que la información va a estar bien protegida, y en el caso de que no dispongan de estos PCs podríamos plantear que fuera nuestra empresa la que se los proporcionase únicamente para ser usados con fines profesionales, lo que también nos permitiría una mejor supervisión de que nuestra política de seguridad está teniendo éxito. 


Comentarios

Publicar un comentario

Entradas populares de este blog

Sesión 4 - Modelo de Seguridad CIA

El modelo de seguridad CIA hace referencia a la Confidencialidad (Confidentiality), la Integridad (Integrity) y la Disponibilidad (Availability) de la información. Establece estos tres principios como parte básica de toda gestión de la seguridad de la información, ya que sin estos tres principios nos encontraríamos ante riesgos y amenazas constantes. Si bien es cierto que no existe ningún sistema de seguridad que sea completamente fiable y ajeno a las intrusiones, hemos de conseguir que sea al menos lo menos vulnerable posible.   La confidencialidad es el principio que hace referencia a que la información únicamente puede ser tratada por los usuarios o plataformas que estén autorizadas para hacerlo, para garantizar que estos datos no puedan ser divulgados ni vistos por cualquier persona.  La integridad, por su parte, se refiere a que las personas o sistemas que vayan a tratar con estos datos no van a poder manipularlos, cambiarlos o modificarlos sin tener autorización para ell...
Publicar un comentario
Leer más

Sesión 4 - Creación de Correo Electrónico

  A continuación, voy a exponer los pasos que he seguido para crearme una cuenta de correo electrónico y cuáles han sido los distintos impedimentos que he encontrado en distintas plataformas, así como porqué he elegido la plataforma escogida.   La primera plataforma en la que me he intentado suscribir ha sido Yandex Mail . Sin embargo, nos pide el número de teléfono, y por ello la vamos a descartar. En segundo lugar, lo he intentado con Proton Mail . En esta ocasión, se nos ha pedido un segundo email para poder recuperar la contraseña en caso de que haya algún tipo de fallo, y la cuenta ha sido creada con éxito. No obstante, no es el correo final. Además, cabe resaltar que en esta plataforma se podía acceder con un plan gratuito, pero también había otros de pago. En Zoho Mail , he intentado crear la cuenta pero ninguno de los planes existentes era gratuito, únicamente nos encontramos con una prueba gratuita de 15 días, por lo que vamos a descartar esta plataforma. En el cas...
Publicar un comentario
Leer más

Sesión 11 - eGarante

En la entrada de hoy, vamos a hablar sobre la herramienta web eGarante mail. El objetivo es el de conocer como funcionan los “testigos online”, cuya principal función es la certificación del envío de un correo y de su contenido teniendo en cuenta a los adjuntos, a los destinatarios y la fecha de certificación, entregando al servidor de correo del destinatario una copia exacta del mensaje. Puede ser muy útil en el envío de informes o contratos.   Lo que vamos a hacer para poner a prueba esta plataforma es entrar en dicha web y mandar un mail a nuestro correo personal, utilizando para ello nuestro correo de la universidad, pero incluyendo también a la cuenta de correo de eGarante, que es mailsigned@egarante.com . De este modo, eGarante nos devolverá un segundo correo para certificarlo y asegurar el envío.  A continuación, vamos a llevar a cabo el mismo procedimiento pero utilizando la herramienta eGarante web, que puede servirnos para comprobar si los contenidos de redes socia...
Publicar un comentario
Leer más