- El edificio tiene un servicio de vigilancia a través de una empresa externa. Por reducción del presupuesto, ahora solo hay un vigilante que también atiende el edificio del otro lado de la calle.
- El CPD tiene otro vigilante, de otra compañía, que también atiende el teléfono de la centralita a partir de las 3, cuando termina el turno del recepcionista.
- Para entrar al CPD, cada informático tiene una tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para el personal de limpieza o por si ocurre una emergencia.
- Una vez a la semana se hace la copia de seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD, las cintas se dejan dentro de la sala, cada una encima de su servidor (cada servidor tiene una cinta en exclusiva).
- El edificio pertenece al patrimonio histórico y no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos de aire acondicionado en el CPD. Para combatir el calor que desprenden los ordenadores, las ventanas están siempre abiertas.
- Cada servidor tiene un disco duro de alta gama, que no ha fallado nunca.
- Los servidores tienen doble fuente de alimentación, por si se estropea alguna.
- El presidente y el contable tienen cada uno un portátil de la empresa. El disco duro de estas máquinas no está cifrado porque no se arriesgan al desastre que supondría olvidar la contraseña.
- Los ordenadores tienen dos usuarios: uno para las tareas normales y otro cuando necesitan realizar alguna instalación o modificar un parámetro del sistema operativo. Los empleados saben cuándo deben usar cada uno.
Termináis por hoy la entrevista porque ha sido una reunión muy larga. Todavía no has redactado el informe final, pero ¿encuentras algo que mejorar? ¿Qué alternativa le puedes proponer?
Si, opino que todos y cada uno de las indicaciones se pueden mejorar y añadiendo mas. Acontinuacion indicare cada una de las mejoras que se pueden tener en cuenta para una mejora en la seguridad fisica y logica comentando punto por punto.
1 y 2 Seria a consejable que se centralizase el personal de seguridad en una sola empresa ademas que el primero no tuviese que atender a los 2 edificios sino atender nuestras necesidades.
3 La tarjeta de acceso solo estaria permitido en caso de emergencia y para el personal de limpieza previa autorizacion y con supervision del de partamento de tecnologia.
4 Las copias de seguridad deberian hacer copia de seguridad todos los dias a las 00.00. Cada uno debera tener minimo 2 cintas para envitar problemas en caso de emergencia y deberan estar archivadas debidamente en un lugar estanco para evitar daño con el tiempo.
5 Las ventanas deberan estar selladas sin dar la oportunidad de poder abrirlas e instalaremos unos aires acondicionados portatiles que puedan refrigerar los servidores y controlar el nivel de humedad.
6 Aunque los discos duros sean de alta gama y nunca hallan fallado eso no quiere decir que deberemos conformarnos deberemos de tener 2 por servidor y uno mas por cada uno por caso de averia tener unos funcionando y otro en reserva para su instalacion.
7 Me parece correcto que tenga 2 fuentes de alimentacion para en caso de averia sigamos teniendo funcionabilidad pero aun asi seria aconsejable la instalacion de SAIS.
8 Ya que el Presidente y el Contable no quieren que se encriptemn los discos por si se perdiese la contraseña doy una solucion la encriptacion de los discos darles contraseñas y la copia de esas contraseñas las tendran tambien el departamento de tecnologia debidamente guardadas y caso de que se les olvide solo tendran que solicitarlas.
9 Solo el departamento de tecnolofgia tendra acceso al usuario que pueda tener permisos para la modificacion del SO y el usuario normal solo tendra permisos para usar los recursos justos y necesarios.
Abria que trabajar mas con la politica de la empresa unza inversion ahora nos solucionara problemas en un futuro, necesitamos un SO que tenga soporte tecnico para cualquier fallo ademas que nos de soluciones de agujeros de seguridad, es necesario utilizar sofware original.
Eso deberia estar prohibido ya que no se sabe lo que se puede estar trasladando dentro del usb como virus, gusqanos, troyanos etc.... Debe de haber un virus para todos iguales y que tenga soporte tecnico y actualizaciones constantes .
Seria aconsejables ir sustituyendo los hubs por switch para mejora la red. Una inversion periodica en la red ahora nos supone un ahorro grande en un futuro.
RA: Asegurar la privacidad de la información transmitida en redes informáticas describiendo vulnerabilidades e instalando software específico
Al día siguiente continúa la entrevista. Tus nuevas notas son:
Hay una red wifi en la oficina que permite entrar en la red de ordenadores y salir a Internet. No tiene contraseña para que los clientes puedan utilizarla con total comodidad.
Estoria deberia ser modificado poner contraseña y poner filtros dependiendo del acceso a contenidos ya que asi la red esta completamente expuesta a ser utilizada para tareas no deseadas.
La mayoría de los ordenadores utilizan Windows XP, pero algunos empleados necesitan Windows 7. Como la empresa no puede afrontar la compra de nuevas licencias, están utilizando software pirata.
En cuanto al antivirus, cada empleado pone el que más le gusta y se los pasan entre ellos mediante dispositivos USB.
Los ordenadores que hacen de servidores tienen activadas las actualizaciones automáticas de todas las aplicaciones y el sistema operativo, pero en los ordenadores de empleados no se hace porque han visto que se satura la conexión a Internet.
La mayoría de los equipos de red son switch y routers, pero algunos despachos todavía tienen hubs porque son fiables y el ancho de banda es suficiente.
Para entrar a la red desde Internet utilizan Hamachi, un servicio gratuito y muy sencillo de instalar.
El servidor web está instalado sobre una máquina con sistema operativo Linux Ubuntu Server 9.04.
Termina la entrevista del segundo día porque tiene otro compromiso.
Fortalecido con tus nuevos conocimientos sobre la LOPD, afrontas con valor el tercer y último día de auditoría. Tus notas son las siguientes:
La empresa recoge datos de las personas que solicitan información acerca de las promociones que tiene actualmente. El objetivo es poder enviarles información sobre futuras promociones. Los datos que se solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce los datos en una hoja Excel en su ordenador.
o ¿Crees que tendría que haber solicitado a la Agencia de Protección de Datos la creación del fichero que contiene los datos?
Si, en caso de que algun cliente se siente molesto podria ponernos una reclamacion y las multas seria un coste por la empresa, es mejor tramitar la solicitud al organismo publico qu eno hacer nada y llevarse una sancion
o ¿Qué nivel de seguridad requerirá el fichero?
Solicita un nivel basico en relacion a los datos que disponemos de los clientes
o ¿Qué medidas de seguridad requiere este nivel?
Documentos de seguridad, regimen de funciones y obligaciones del personal, registro de incidencias, control de acceso y gestion de soporte
o Haz un listado de las infracciones que podrían cometerse con respecto al fichero y destaca cuáles de ellas supondrían una sanción mayor.
En caso de que se incumpla ya sea por no informar al cleinte correctamente o en caso de vender esta informacion a terceros sin previo consentimiento las sanciones por datos que tenemos son:
Nombre y direccion nos supondria una infraccion leve pero con una sancion de hasta 40000€
Otros datos inferiores hasta 900€
No hay comentarios:
Publicar un comentario