SEGURIDAD INFORMÁTICA

Enunciado.

Una empresa dedicada a desarrollar software a medida en el ámbito industrial desea contratarte para que gestiones algunos aspectos relacionados con la seguridad de la empresa.

Responde a las siguientes cuestiones relacionadas con tu función:

1. En la empresa, podrían emplearse diferentes medidas de seguridad. Cita un ejemplo de herramientas o medidas, para cada tipo según la clasificación de seguridad que has visto en la unidad.

Seguridad activa: bajo esta clasificación agrupamos el conjunto de medidas que se toman para prevenir o minimizar los riesgos como podría ser un antivirus

Seguridad pasiva: en este caso, las medidas se enfocan a minimizar los daños una vez ha ocurrido la catástrofe como podrían ser las copias de seguridad

Seguridad física: entendemos seguridad física como el conjunto de medidas que se toman para proteger el hardware, las instalaciones y su acceso y demás elementos físicos del sistema como podrían ser los sistemas de alimentación ininterrumpida

Seguridad lógica: complementa a la seguridad física y se encarga de proteger los elementos lógicos del sistema como son el software y la información como podría ser el filtrado de direcciones MAC en conexiones inalámbricas

1. Si se produce una inundación en una oficina. ¿Podría poner en peligro la integridad, disponibilidad o confidencialidad de la información? Razona tu respuesta para cada uno de los tres aspectos.

Integridad: Podría poner en peligro la integridad de la información que tengamos en los equipos, al mojarse estos podrían ser dañados y podríamos perder información que tenemos guardados en ellos, por eso es importante tener copias de seguridad para poder recuperar la información ante un caso como este

Disponibilidad: si los equipos se han dañado, no están disponibles por lo que no podemos acceder a ellos, haciendo que la información no esté disponible hasta que podamos solucionar el problema

Confidencialidad: ante este aspecto la información no se vería afectada, que los equipos se dañen no significa que la información que en ellos hay deje de ser confidencial

1. Tu jefe o jefa te ha dicho que debes encargarte de la política de seguridad de la empresa. ¿Cuál es su principal objetivo?

Reflejando todos los objetivos de seguridad, en este caso en un documento donde quede plasmado, para definir la manera de hacer un buen uso de los recursos. Por ejemplo, concienciando al personal, identificando las necesidades, detectando riesgos y vulnerabilidades, estableciendo procedimientos para futuros problemas que puedan surgir etc

1. A la hora de gestionar los riesgos es necesario determinar ciertos elementos, como por ejemplo las vulnerabilidades del sistema. Pon un ejemplo que puedas encontrar en dicho entorno empresarial de:

1. Vulnerabilidad.

- Tras investigar en los ordenadores de este pudieron comprobar que se había aprovecho para introducir un troyano al pc

1. Amenaza para dicha vulnerabilidad.

- Con esto había podido acceder al equipo y poder apoderarse de claves y demás datos

1. Impacto que puede ocasionar un ataque que materialice la amenaza.

c- Puede ocasionar perdida de información, cambios en el equipo, robo de información y un largo etcétera de daños

1. En tus primeros días de trabajo has recibido una pequeña formación en la que el ponente mencionó que el factor humano es el eslabón más débil de la cadena en lo relativo a seguridad, ¿qué crees que quería decir con ello? Explica tu respuesta.

Sin duda el factor humano es el eslabón más débil de la cadena, somos vulnerables y confiados y los delincuentes se aprovechan de eso. También pueden cometer errores que propicien el accidente

1. Un joven pirata informático se hace con el control de la página de la empresa y trata de extorsionarla exigiéndole una cantidad de dinero para recuperar la página. La policía acudió al domicilio del joven y se llevó los ordenadores desde los que se realizaron los ataques.

Tu jefe o jefa te ha encargado que elabores un pequeño informe a modo de reseña, respecto al hecho que ha acontecido. Utiliza para ello la terminología que has aprendido en la unidad. Resalta en negrita los términos que has aprendido a lo largo de la unidad.

Una vulnerabilidad en la página web echa en WordPress y causada por un bug en el código que proporciona un agujero de seguridad, ha permitido que un atacante se haga con el archivo cifrado que contiene las contraseñas de acceso ya que no se a cumplido el mecanismo de seguridad de prevención de actualización de software WordPress. El atacante ha accedido al sistema descubriendo las contraseñas por fuerza bruta y accediendo al sistema con privilegios de administración, secuestrando el mismo. Tal situación a provocado una falta de disponibilidad del servicio, además de la vulneración de la confidencialidad al encontrarse en el servidor importantes documentos de la empresa. También se a dado un riesgo en la integridad de los datos, pues el atacante amenaza con su destrucción si no se paga un rescate.

Afortunadamente, uno de los mecanismos de prevención de seguridad pasiva puesto en marcha por la empresa en su política de seguridad para la gestión de riesgo fue un plan de recuperación, que implica una copia de seguridad diaria de los datos del servidor web, además de una copia de imagen de disco que permitirá la restauración automática del sistema operativo y las aplicaciones instaladas. Se aplica el plan de emergencia activando otro servidor web y restaurando los datos respaldados. El sistema podrá estar disponible en breve

1. La empresa posee multitud de datos personales de su clientela. ¿Crees que podrían solicitar que se eliminasen permanentemente de su fichero? En caso afirmativo, ¿Cómo se denomina este derecho? ¿Qué otros derechos tienen los usuarios y usuarias?

Efectivamente es posible, pues así lo avala la LOPD. Este es el derecho de cancelación, por el cual cualquier ciudadano puede pedir de forma expresa la desaparición de sus datos en una empresa.

También se tiene derecho el acceso a los datos, la rectificación de los mismo, oposición a que estos sean incluidos en un fichero, supresión (derecho al olvido), limitación del tratamiento, portabilidad y de no ser objeto de decisiones individualizadas. También se tiene derecho tales a no recibir publicidad no deseada o a ser excluidos de un listín telefónico, por ejemplo

1. Como ya sabrás, la LSSI impone una serie de obligaciones a las empresas y como responsable de seguridad, también deberás ser conocedor o conocedora de las mismas y velar por su cumplimiento para evitar que la empresa sea sancionada. Enumera al menos tres obligaciones que impone la LSSI para:

1. Una empresa de venta de material informático a través de Internet.

Ha de visualizar en su web una serie de datos que informen al usuario, tales como el NIF, domicilio, correo electrónico y teléfono

1. Un proveedor de Internet.

Tiene la obligación de colaborar con organismos públicos para ejecutar resoluciones que precisen de su ayuda, además de informar a los usuarios para aumentar la seguridad en el entorno informático

1. Una empresa que tiene un portal con publicidad.

El anunciante debe identificarse de forma clara, reconociéndose el carácter publicitario del anuncio sin dar lugar a equívocos. Si realiza concursos o juegos promocionales las condiciones deberán estar expresadas claramente. Cuando se envíe por correo electrónico o SMS se debe obtener previamente la autorización del destinatario o destinataria y proporcionar procedimientos sencillos para negar el consentimiento

1. Un diseñador o diseñadora de la empresa, está realizando un tríptico con información y para ello está utilizando imágenes que encuentra en Internet, pero le surgen dudas sobre su tipo de licencia y sus restricciones a la hora de utilizarlas para el tríptico. Suponiendo que pretende utilizar una imagen con licencia CC BY-NC-SA, responde cuál de las siguientes acciones podría realizar sobre dicha imagen:

1. Retocar la imagen añadiéndole algunos filtros, recortándola, etc.

Si

1. Utilizarla con fines comerciales.

No

1. Redistribuirla con una licencia CC by.

Si, de hecho, obliga a ello

1. Un empleado o empleada de una empresa deja un disco externo en una silla de un bar mientras se toma un café y en un momento de despiste se lo roban. Dicho disco contenía información de la empresa, datos de clientes y clientas, etc. En tal situación, ¿Crees que tiene mayor importancia la pérdida del dispositivo en sí o de los datos? Razona tu respuesta.

La pérdida del disco no es transcendente por su valor e impacto cuantitativo. Sin embargo, la perdida de datos en el disco y su posible exposición y uso fraudulento, puede suponer un impacto cualitativo al perderse la confianza en la empresa por parte de sus clientes, lo que desembocaría en un impacto cuantitativo de forma indirecta