ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

Memoria Seguridad


Enviado por   •  26 de Mayo de 2014  •  1.776 Palabras (8 Páginas)  •  264 Visitas

Página 1 de 8

INTRODUCCIÓN

En esta memoria se detallan algunos de los puntos desarrollados en la presentación, para explicar algún aspecto concreto del mismo. Los principales temas a tratar en este informe son:

• Riesgos existentes en los Sistemas de Información de la organización que pueden afectar a la puesta en marcha del nuevo servicio de asesoría on-line, en lo relativo fundamentalmente a la disponibilidad. Se prestará especial atención a la disponibilidad por parte de los clientes.

• Medidas correctoras o salvaguardas necesarias para evitar los riesgos anteriormente expuestos. Se reflejará un coste aproximado de la implantación de dichas medidas así como el impacto final de los riesgos. Se incluye una tabla que relaciona el coste de las salvaguardas con las mejoras que esto supone para la seguridad.

• Detectar posibles incumplimientos de legislación, que pueden suponer multas elevadas y una mala imagen de la organización, dificultando la incorporación de nuevos clientes.

Activos principales de la organización

Activos esenciales:

• Las aplicaciones y bases de datos del servicio de asesoramiento se encuentran instaladas, y dispuestas para el paso a producción, en un servidor en “hosting” dentro del CPD del proveedor de alojamiento y hosting “Service Fortress”. El mantenimiento lo realiza la empresa “Softnew”. Los niveles de servicio, calidad y garantías de “Service Fortress” y “Softnew” son conocidos y aprobados por la dirección, y se recogen en los correspondientes contratos.

- ASES-APP

- ASES-BBDD

• Base de datos GEST-CLI es consultada exclusivamente con el fin de recuperar los datos personales y de facturación de aquellos clientes que son usuarios de otros servicios de la empresa (se calcula un 25% de usuarios) y ofrecerles descuentos preferentes.

Equipamiento informático

• Red local única para servidores y PC (192.168.1.x).

• Firewall único ejecutado sobre servidor que gestiona toda la entrada y salida del tráfico desde el edificio a Internet. La configuración del Firewall era gestionada exclusivamente por el trabajador de sistemas despedido y no ha sido modificada desde entonces.

• Conexión a LAN mediante switch en la misma planta para los especialistas

• Equipos con Sistema operativo Windows 7, los antivirus son instalados y actualizados en cada equipo independientemente (encuentras un registro de estas instalaciones, pero no está actualizado).

Servicios subcontratados a terceros

• Servidores mediante proveedor externo “Service Fortress”, al que se están trasladando la mayoría de los servicios.

Instalaciones físicas

• La sala de servidores dispone de una garantía de reparación hardware en 4 horas de negocio, y tiene redundados tanto los discos como las fuentes de alimentación. La sala está debidamente climatizada, la canalización de agua más cercana a la misma se encuentra a 45 metros, y existe un extintor de CO2, pero no sistema de detección de incendios ni elementos ignífugos.

Personal

• Usuarios y claves. No existe caducidad en las contraseñas de los usuarios para el acceso al sistema. Tampoco se limita el intento de acceso reiterado al mismo. Algunos usuarios tienen privilegios de administración del equipo, por lo que, entre otras cosas, potencialmente pueden instalar aplicaciones en ellos.

DISPONIBILIDAD

Riesgos asociados a la disponibilidad

• Perdida de información en BBDD: La perdida de datos impide el desarrollo de las tareas diarias de la organización. Se puede producir por varios motivos, como acceso a la sala de servidores que no cuenta con unas normas de seguridad suficientes (cerrado con llave) o bien mediante ataques externos a la organización

• Fallo o manipulación del firewall: Firewall sobre servidor obsoleto, con configuración establecida por un antiguo empleado. Este empleado, bastante descontento tras ser despedido de la compañanía de forma poco cordial, podría acceder al firewall y modificar la configuración, ya que no se ha producido desde su salida una reconfiguración del mismo. También existe la posibilidad de que falle el servidor, que tiene bastante antigüedad y no cuenta con las garantías necesarias de mantenimiento y reposición.

• Fallo del Switch: Switch con demasiada antigüedad, sin garantías vigentes de reparación ni sustitución. Un fallo del switch provocaría que los especialistas no se puedan conectar y resolver las consultas en el período que dure el problema.

• Equipos no actualizados: Equipos sin los registros de actualizaciones al día, lo que podría indicar actualizaciones pendientes. Es probable que no tengamos instaladas las últimas versiones de antivirus y otras aplicaciones, lo que facilitaría un ataque a nuestros equipos.

• Problemas de comunicación: Única red para los servidores y PCs. El sistema de la organización se basa en una única red LAN, por lo que una caída de esta provocaría la falta de acceso al servicio por parte de los clientes y los trabajadores tampoco podrían resolver las consultas.

• Incendio: La sala de servidores no dispone de elementos antiincendios, ni de elementos de detección ni de elementos ignífugos. Un incendio en esta sala provocaría la pérdida de la base de datos GEST_CLI, impidiendo ofrecer el servicio, además de las dificultades que podemos tener para reponer esta BBDD.

• Corrupción de usuarios: Las claves de los usuarios no se renuevan periódicamente y permite intentos de entrada sucesivos, por lo que es sencillo suplantar la identidad de un usuario. Con esto se producen riesgos en los equipos y problemas de seguridad con la información privada de los usuarios.

Activo Amenaza Valoración activo Degradación % Impacto Probabilidad Riesgo

Activos esenciales Perdida de información BBDD MA 100 MA A A

Equipamiento informático Fallo o manipulación del firewall MA 100 MA B N

Equipamiento informático Fallo Switch MA 100 MA M A

Equipamiento informático Equipos no actualizados A 70 A A A

Equipamiento informático Problemas de comunicación MA 100 MA A A

Instalaciones físicas Incendio A 80 A MB N

Personal Corrupción de usuarios A 80 A B N

Salvaguardas

• Incremento de medidas de seguridad y de acceso en la sala de servidores. Incluir algún tipo de medida de seguridad de acceso físico, que sea capaz de reconocer que usuario accede a la sala y una red de televisión en circuito

...

Descargar como (para miembros actualizados) txt (13 Kb)
Leer 7 páginas más »
Disponible sólo en Clubensayos.com