Proyecto 1 - Conceptos
1. Trabajas en una auditoria de seguridad informática. Llega un nuevo cliente que desea conocer la situación de su empresa en cuanto a seguridad informática y si es aceptable o podría mejorar. Durante la entrevista tomas las siguientes notas:
·
El edificio tiene un servicio de vigilancia a
través de una empresa externa. Por reducción del presupuesto, ahora solo hay un
vigilante que también atiende el edificio del otro lado de la calle.
No es suficiente, lo
que debería hacer es tener un vigilante solo para su edificio
·
El CPD tiene otro vigilante, de otra compañía,
que también atiende el teléfono de la centralita a partir de las 3, cuando
termina el turno del recepcionista.
No es suficiente, lo
que debería hacer es tener otro vigilante de la compañía del de la puerta.
·
Para entrar al CPD, cada informático tiene una
tarjeta particular, si bien hay una en el cajón de la mesa del vigilante para
el personal de limpieza o por si ocurre una emergencia.
Está bien, pero
tienen que quitar la tarjeta de la mesa del vigilante.
·
Una vez a la semana se hace la copia de
seguridad. Como solo disponen de un dispositivo de cinta, los cuatro servidores
se reparten cada semana del mes. Dado que solo hay un vigilante para el CPD,
las cintas se dejan dentro de la sala, cada una encima de su servidor (cada
servidor tiene una cinta en exclusiva).
Está bien, pero haría
las copias más a menudo
·
El edificio pertenece al patrimonio histórico y
no admite reformas en la fachada. Por tanto, no ha sido posible instalar equipos
de aire acondicionado en el CPD. Para combatir el calor que desprenden los
ordenadores, las ventanas están siempre abiertas.
Lo que tendrían que
hacer seria cambiar de edificio para poder poner aire acondicionado.
·
Cada servidor tiene un disco duro de alta gama,
que no ha fallado nunca.
Deberían poner dos
discos duro por cada servidor
·
Los servidores tienen doble fuente de
alimentación, por si se estropea alguna.
Está bien porque si
se estropea no tienes que apagar el ordenador
·
El presidente y el contable tienen cada uno un
portátil de la empresa. El disco duro de estas máquinas no está cifrado porque
no se arriesgan al desastre que supondría olvidar la contraseña.
No está bien ya que
deberían tener polo menos un disco con todo da la información de la empresa
cifrada
·
Los ordenadores tienen dos usuarios: uno para
las tareas normales y otro cuando necesitan realizar alguna instalación o
modificar un parámetro del sistema operativo. Los empleados saben cuándo deben
usar cada uno.
Está bien, pero
deberían tener un técnico el cual solo pueda el acceder a la instalación
2. Al día siguiente continúa la entrevista. Tus nuevas notas
son:
·
Hay una red wifi en la oficina que permite
entrar en la red de ordenadores y salir a Internet. No tiene contraseña para
que los clientes puedan utilizarla con total comodidad.
La red wifi debería
tener contraseña
·
La mayoría de los ordenadores utilizan Windows
XP, pero algunos empleados necesitan Windows 7, 8 o incluso 10 para correr
ciertas aplicaciones. Como la empresa no puede afrontar la compra de nuevas
licencias, están utilizando software pirata.
Yo pondría los
ordenadores con Windows 10 y actualizado
·
En cuanto al antivirus, cada empleado pone el
que más le gusta y se los pasan entre ellos mediante dispositivos USB.
Podría el mismo
antivirus para todos y solo se lo dejaría instalar a el técnico de instalación
·
Los ordenadores que hacen de servidores tienen
activadas las actualizaciones automáticas de todas las aplicaciones y el
sistema operativo, pero en los ordenadores de empleados no se hace porque han
visto que se satura la conexión a Internet.
Lo que deberían hacer es poner las actualizaciones
programadas para por las noches
·
La mayoría de los equipos de red son switch y
routers, pero algunos despachos todavía tienen hubs porque son fiables y el
ancho de banda es suficiente.
Lo que deberían hacer seria lentamente cambiar los habs
por switch lentamente
·
Para entrar a la red desde Internet utilizan
Hamachi, un servicio gratuito y muy sencillo de instalar.
Lo normal sería que el técnico entrara desde el programa
de la compañía de internet ya que es más fiable
·
El servidor web está instalado sobre una máquina
con sistema operativo Linux Ubuntu Server 9.04.
Deberían cambiarlo por un ordenador nuevo ya que en la
maquina web se puede estropear o borrar.
3. Vas a completar tu informe con una demo en la que le harás ver al cliente cómo se pueden aprovechar las vulnerabilidades de sus sistemas. Para ello vas a realizar parte de la práctica de INCIBE “Explotando un sistema” perteneciente al capítulo “Fundamentos del análisis de sistemas”, siguiendo el correspondiente vídeo-tutorial de YouTube. Vas a necesitar dos máquinas virtuales, una con kali-linux (máquina atacante) y la otra con metasploitable 3 Ubuntu (Metasploitable3-ub1404, máquina vulnerable). Explota el servicio UnrealIRCd.
5. Fortalecido con tus nuevos conocimientos sobre la LOPD,
afrontas con valor el tercer y último día de auditoría. Tus notas son las
siguientes:
La empresa recoge datos de las personas que solicitan
información acerca de las promociones que tiene actualmente. El objetivo es
poder enviarles información sobre futuras promociones. Los datos que se
solicitan son: nombre, dirección y correo electrónico. Una secretaria introduce
los datos en una hoja Excel en su ordenador.
·
¿Crees que tendría que haber solicitado a la
Agencia de Protección de Datos la creación del fichero que contiene los datos?
Si debido a que son
datos personales por la multa que le pueden caer si un ispector pasa te puede
caer una multa.
·
¿Qué nivel de seguridad requerirá el fichero?
De nivel 1 ya que son
datos personales
·
¿Qué medidas de seguridad requiere este nivel?
Identificar y
autentificar a los usuarios que pueden trabajar con esos datos
Llevar un registro de
incidencias acontecidas en el fichero
Realizar copia de
seguridad como mínimo semanalmente
·
Haz un listado de las infracciones que podrían
cometerse con respecto al fichero y destaca cuáles de ellas supondrían una
sanción mayor.
Comentarios
Publicar un comentario