PRÁCTICA 5

Actividad 1:

En el primer apartado de esta práctica vamos a redactar nuestra primera política de seguridad. Para ello, debemos tener en cuenta que en este caso nos encargamos de la administración de una pequeña empresa de reformas que consta de 7 empleados, dos de los cuales son administrativos en un despacho y cada uno dispone de un ordenador de sobremesa conectado a Internet desde el que gestionan los presupuestos, facturas, pedidos y demás. Existe un Administrador General de la empresa y el resto son operarios de obra. Esta política concretamente debe consistir en la gestión de la seguridad de la información gestionada por los dos administrativos, esto es, proteger la información confiada por nuestros clientes. 

Para comenzar, debemos tener claro que el objetivo principal de un sistema de gestión es: el análisis de riesgos, dónde se van se analizaran los activos, las vulnerabilidades, las amenazas y las medidas posibles a tomar como salvaguarda. Una vez entendamos esto, es esencial que actualicemos continuamente nuestra política, valorando los cambios que pueden sufrir los riesgos, actualizando las protecciones, revisar si existen nuevas amenazas que nos puedan afectar, etc... de todas las responsabilidades del cumplimiento y la revisión de nuestra política se va a encargar nuestro Administrador General. 

Una vez entendidos los conceptos principales de nuestra política de seguridad, pasamos a nombrar los distintos métodos necesarios en la empresa para proteger tanto los activos tangibles como los intangibles. 

En el primer caso, podemos conseguir que el lugar físico de nuestra empresa sea seguro con: sistemas de vigilancia formados por cámaras instaladas en los distintos departamentos de nuestra empresa, sistemas antirrobos para evitar la posibilidad de hurtos, disponer de alarmas de seguridad y de cerrojos en las puertas de cada departamento. Y en el caso de poseer algún tipo de bien físico más valioso o algún tipo de información esencial, esta deberá ser guardada en una caja fuerte, cuya contraseña deberá ser cambiada periódicamente para una mayor seguridad. Finalmente, se dispondría de ventanas que únicamente se podrán abrir desde el interior de los departamentos de la empresa. 

Además de todos los bienes tangibles, nuestra empresa cuenta con todos los datos personales confiados por sus clientes, documentos, cuentas bancarias, información, estos son, los bienes intangibles. Estos, son el objetivo principal a conseguir de los hackers, para ello haremos uso de ciertas medidas, como pueden ser la descarga de programas antivirus y un firewall para nuestro hardware y software. Asimismo, se realizarán copias mensuales de la información y documentos que serán subidas en la nube, cuyas contraseñas deberán ser cambiadas periódicamente, así como servicios de autenticación. Para aquella información de alta importancia se realizarán copias que serán guardadas en discos duros, de los cuales solo el Administrador General tendrá acceso. 

Personalmente, veo de esencial necesidad una política de seguridad, ya que en una empresa no sólo es de gran importancia sus empleados y esta como tal, sino toda la información, documentos y datos personales fiados por los clientes, los cuales ponen su confianza al trabajar con nosotros. 

Finalmente, debemos anunciar las consecuencias existentes debido al incumplimiento de nuestra política, para ello debemos informar de dicha a los 7 empleados que constan en la empresa, con el fin de que no cometan errores y sepan las consecuencias en el caso de que suceda.

• En el caso de que el fallo no tenga mucha importancia, es decir, las consecuencias son reversibles o tengan una solución, podemos ser más comprensibles con nuestros empleados, indicando que no se tomará ninguna represalia pero se exige que el fallo no se vuelva a cometer. Como ejemplo se podría tomar que un empleado no haya cambiado mensualmente las contraseñas donde se almacenan los datos. 
•  En el caso de que el fallo tenga mucha importancia, es decir, las consecuencias sean irreversibles o no tengan una solución, la sanción será mayor, pudiendo llegar a la expulsión inmediata del puesto de trabajo. Como ejemplo se podría tomar la malversación de los datos de la empresa. 

Actividad 2:

A continuación, encontraremos el inventario de activos de nuestra empresa clasificado según el tipo y su correspondiente descripción. 

  

Actividad 3:

Una vez ordenados todos los activos, presentaremos las posibles amenazas que podrían aparecer en nuestra empresa de manera intuitiva, indicando de 1 a 5 el daño que se estima que puede ocasionar la pérdida o deterioro de ese activo si ocurriera dicha amenaza, esto es, el riesgo. 

Actividad 4:

En esta actividad hemos utilizado un diagrama de Gantt, la cual es una herramienta útil para planificar proyectos en nuestra empresa, o en nuestro caso, para establecer nuestro sistema de gestión de seguridad de la información en un plazo de 4 semanas. En la siguiente imagen podemos observar la planificación que realizaremos semana por semana. 

Actividad 5:

El principal objetivo de la ISO 27002 es establecer directrices y principios generales para iniciar, implementar, mantener y mejorar la gestión de la seguridad de la información en una organización. Esto también incluye la selección, implementación y administración de controles, teniendo en cuenta los entornos de riesgo encontrados en la empresa. Además, nos permite conocer los riesgos, gestionarlos y si existe la posibilidad minimizarlos. 

La medida de control que he elegido es la de Gestión de la seguridad de las redes (10.6), estipulada en el catálogo de medidas de control de la ISO 27002. La gestión de la seguridad de red se puede determinar como un proceso diseñado para proteger una red y los datos que fluyen mediante los riesgos en cuanto al acceso no autorizado, mal utilización, malversación, modificación, divulgación indebida, etc... al tiempo que permite que se establezcan ordenadores autorizados, usuarios y aplicaciones para ejecutar las tareas. 

Mediante los administrativos, físicos y controles tecnológicos, la gestión de la seguridad de la red busca generar un entorno seguro basado en capas de componentes protectores que apoyan y se complementan entre sí para incrementar la seguridad en general. Así, como ya sabemos, la información es el activo más valioso dentro de la organización. Perder o ser víctima de un robo de los datos almacenados en sus sistemas informáticos puede llevarla a la quiebra.

Por lo tanto, generar una seguridad general de las redes es una función esencial en la empresa, ya que contamos con la confianza de los clientes para que sus datos se encuentren a salvo de cualquier tipo de hacker o robo de documentación, datos bancarios, facturas, etc.