En este proyecto para completar nuestra FCT, tenemos la simulación de una empresa que tiene dos plantas, que tendremos que cablear y configurar los dispositivos que queramos incluir en ella, además de calcular el presupuesto del cableado y dispositivos activos y pasivos que necesitamos. En los siguientes apartados veremos:

• Esquema físico de la red (con el cableado).
• Esquema lógico de la red (sin el cableado).
• Presupuesto total.

Quiénes somos

La dirección de nuestra web es: http://localhost/wordpress/wordpress.

Qué datos personales recogemos y por qué los recogemos

Comentarios

Cuando los visitantes dejan comentarios en la web, recopilamos los datos que se muestran en el formulario de comentarios, así como la dirección IP del visitante y la cadena de agentes de usuario del navegador para ayudar a la detección de spam.

Una cadena anónima creada a partir de tu dirección de correo electrónico (también llamada hash) puede ser proporcionada al servicio de Gravatar para ver si la estás usando. La política de privacidad del servicio Gravatar está disponible aquí: https://automattic.com/privacy/. Después de la aprobación de tu comentario, la imagen de tu perfil es visible para el público en el contexto de tu comentario.

Medios

Si subes imágenes a la web, deberías evitar subir imágenes con datos de ubicación (GPS EXIF) incluidos. Los visitantes de la web pueden descargar y extraer cualquier dato de ubicación de las imágenes de la web.

Formularios de contacto

Cookies

Si dejas un comentario en nuestro sitio puedes elegir guardar tu nombre, dirección de correo electrónico y web en cookies. Esto es para tu comodidad, para que no tengas que volver a rellenar tus datos cuando dejes otro comentario. Estas cookies tendrán una duración de un año.

Si tienes una cuenta y te conectas a este sitio, instalaremos una cookie temporal para determinar si tu navegador acepta cookies. Esta cookie no contiene datos personales y se elimina al cerrar el navegador.

Cuando accedas, también instalaremos varias cookies para guardar tu información de acceso y tus opciones de visualización de pantalla. Las cookies de acceso duran dos días, y las cookies de opciones de pantalla duran un año. Si seleccionas «Recuérdarme», tu acceso perdurará durante dos semanas. Si sales de tu cuenta, las cookies de acceso se eliminarán.

Si editas o publicas un artículo se guardará una cookie adicional en tu navegador. Esta cookie no incluye datos personales y simplemente indica el ID del artículo que acabas de editar. Caduca después de 1 día.

Contenido incrustado de otros sitios web

Los artículos de este sitio pueden incluir contenido incrustado (por ejemplo, vídeos, imágenes, artículos, etc.). El contenido incrustado de otras webs se comporta exactamente de la misma manera que si el visitante hubiera visitado la otra web.

Estas web pueden recopilar datos sobre ti, utilizar cookies, incrustar un seguimiento adicional de terceros, y supervisar tu interacción con ese contenido incrustado, incluido el seguimiento de tu interacción con el contenido incrustado si tienes una cuenta y estás conectado a esa web.

Analítica

Con quién compartimos tus datos

Cuánto tiempo conservamos tus datos

Si dejas un comentario, el comentario y sus metadatos se conservan indefinidamente. Esto es para que podamos reconocer y aprobar comentarios sucesivos automáticamente, en lugar de mantenerlos en una cola de moderación.

De los usuarios que se registran en nuestra web (si los hay), también almacenamos la información personal que proporcionan en su perfil de usuario. Todos los usuarios pueden ver, editar o eliminar su información personal en cualquier momento (excepto que no pueden cambiar su nombre de usuario). Los administradores de la web también pueden ver y editar esa información.

Qué derechos tienes sobre tus datos

Si tienes una cuenta o has dejado comentarios en esta web, puedes solicitar recibir un archivo de exportación de los datos personales que tenemos sobre ti, incluyendo cualquier dato que nos hayas proporcionado. También puedes solicitar que eliminemos cualquier dato personal que tengamos sobre ti. Esto no incluye ningún dato que estemos obligados a conservar con fines administrativos, legales o de seguridad.

Dónde enviamos tus datos

Los comentarios de los visitantes puede que los revise un servicio de detección automática de spam.

Tu información de contacto

Información adicional

Cómo protegemos tus datos

Qué procedimientos utilizamos contra las brechas de datos

De qué terceros recibimos datos

Qué tipo de toma de decisiones automatizada y/o perfilado hacemos con los datos del usuario

Requerimientos regulatorios de revelación de información del sector

En las siguientes imágenes se muestra la distribución de nuestra empresa, organizada en departamentos, y el cableado que se seguirá a la hora de dar acceso a la red a los diferentes dispositivos. Se entiende que:

• Por cada mesa (o puesto de trabajo) habrá un ordenador, con su respectiva tarjeta de red.
• En la sala de servidores se encuentran el servidor DNS, servidor de acceso a internet, servidor de archivos y servidor DHCP.
• En el armario (rack) donde irán el panel de parcheo y el switch se encuentra en la zona de comunicaciones.
• Hay un sólo router (que se encuentra en la planta 1) encargado de dar servicio a todas las áreas de la empresa.
• Todos los departamentos de cada una de las plantas estarán conectados a su respectivo switch en la zona de comunicaciones correspondiente a su planta.

La leyenda que se seguirá para entender el esquema de red se corresponde con:

La distribución del cableado es la siguiente:

En este apartado veremos cómo configuraremos lógicamente la red de nuestra empresa.

Cada una de las salas pertenecerá a una VLAN diferente, por lo que tendrán direcciones IP diferentes.

Utilizaremos direcciones IP privadas y de clase C, que irán desde la 192.168.1.0/24 hasta la 192.168.8.0/24, ya que hay 8 salas diferentes, y tendremos que configurar cada uno de los equipos de acuerdo a la VLAN que pertenezcan.

A la hora de configurar, tendremos que configurar en el switch cada una de las VLAN's que vamos a crear. Más concretamente, tendremos que configurar 4 en el switch de la planta 1 y 4 en el switch de la planta 2.

Los colores de los cables no son significativos, es para que visualmente se puedan localizar los cables que pertenecen a las distintas VLAN's.

La configuración se realizará en la herramienta de simulación de redes “Packet Tracer”.

En cuanto al esquema lógico de red, nos quedaría algo parecido a lo siguiente:

Al simular la red en Packet tracer, nos quedará algo parecido a lo siguiente, teniendo en cuenta que:

• Solo existe un router, por lo que los dos switches están conectados a este.
• Cada switch gestiona todas las habitaciones de la planta en la que se encuentra, así que tendremos varias redes lógicas en una misma red física.
• Las habitaciones son VLAN's diferentes, gestionadas por la interfaz en la que se encuentran conectados los equipos al switch (es decir, si se cambiasen los cables de conector en el switch, se cambiaría de VLAN).

Las dos redes están en un mismo archivo, y configuradas correctamente para que se pueda conectar con cualquier ordenador, se encuentre en la VLAN que se encuentre, pero si distinguiendo entre salas.

Iremos calculando el presupuesto de los dispositivos necesarios y el cableado necesario para poder montar una red en nuestra empresa. El precio total será calculado al final. Se necesitarán en total 250m de cable (tendremos que tomar en cuenta este dato a la hora de comprar el cable y las canaletas.

• Roseta de Superficie Cat6 Conector Red Hembra RJ45 - 2,28€ x 32 puestos = 72,96€
• Bobina 100m Cable Red Rígido UTP Cat. 6 10/100/1000 - 31,33€ x 3 = 93,99€
• Canaleta Hager BLANCO medida 10x15 - 1,45€ x 250m = 362,5€
• Equip Conector RJ45 Cat6 100 Unidades - 18,95€ x 3 = 56,85€
• WP Panel Repartidor 19" 24 Ptos UTP Cat. 6 – 29€ x2 = 58€
• Linksys LGS116 Switch 16 Puertos Gigabit – 55€ x2 = 110€
• ROUTER INAL. TP-LINK 4 PUERTOS ARCHER C1200 54€
• HP AIO 22-c0218ns Intel Celeron J4005/4GB/500GB/22" – 409€ x 27 puestos= 11.043€
• MicroConnect Armario Rack Mural 19" 4HU 600x450 – 79€ x 2 = 158€
• TP-Link TL-WPS510U Servidor Impresión WiFi 52,5€
• Dell PowerEdge T140 Intel Xeon E-2124/8 GB/1TB – 649€ x 4 = 2.596€

PRESUPUESTO TOTAL 14.657,8€

El primer servicio que configuraremos será el de DNS. Para ello, tendremos que tener previamente instalada la función del servidor DNS en nuestra máquina.

A la hora de configurar dominios tendremos que tener en cuenta diferentes aspectos, que afectarán al modo en el que vamos a empezar a configurar:

• El dominio principal del bosque se encuentra en la sede de Murcia.
• En la misma sede en la que se encuentra el dominio principal, se tendrá un servidor esclavo que garantizará la redundancia del sistema, por si el servidor principal fallase.
• Se harán dos delegaciones para las sedes de Barcelona y Madrid.

Una vez dicho esto, podemos empezar a configurar nuestro servidor DNS.

DOMINIO PRINCIPAL

Lo primero que tendremos que hacer a la hora de configurar nuestro servidor será ponerle una dirección IP estática.

Para ello nos iremos a la configuración de red y cambiaremos la dirección IP por una del rango que habíamos asignado a la sala de servidores (en el apartado de diseño de la red física y lógica).

La dirección IP asignada a esta VLAN en mi caso es la 192.168.4.0/24, por lo que a mi servidor DNS le pondré la dirección 192.168.4.2 (porque la primera dirección del rango es la que le he asignado al router).

Una vez asignada la dirección IP, nos iremos a la función de DNS y empezaremos a configurar. En este caso, configuraremos una zona de búsqueda directa, por lo que haremos click derecho y seleccionaremos la opción “Zona nueva”.

El propio servidor será el que administre esta zona, así que a la hora de seleccionar el tipo de zona, seleccionaremos “Zona principal”.

Ahora, le daremos un nombre a la zona (dominio), que en mi caso será “sedemurcia.es”.

Avanzamos hasta que nos muestre un resumen de la configuración, y le damos a “Finalizar”.

Ahora, comprobaremos que la zona está correctamente configurada y que es capaz de resolver nombres. Para ello, crearemos un registro nuevo de tipo “A”, e indicaremos que se encuentra en la misma máquina (192.168.4.2).

Agregamos el host y nos aparecerá en el resumen de registros asociados a esta zona.

Abriremos una consola de comandos, y mediante el comando “nslookup”, indicando la dirección del servidor y preguntando por el registro que acabamos de crear, veremos que la máquina es capaz de responder a las peticiones, y así nos indica que nuestro servidor DNS está funcionando correctamente.

SERVIDOR ESCLAVO

Una vez configurada la zona principal, podemos pasar a configurar el servidor redundante o esclavo. Lo primero que tendremos que hacer, igual que en el caso del servidor principal, será asignarle una dirección IP estática, que en este caso será la 192.168.4.5. Además, indicaremos que el servidor DNS al que apunta es el servidor principal, que es el que se encargará de transferirle la zona:

Comprobaremos que las máquinas pueden alcanzarse, haciendo ping entre ellas:

Una vez comprobado esto, podemos empezar a configurar el servidor. Lo primero que haremos será crear un registro de tipo “A” en la máquina del servidor principal, que apunte a la máquina del servidor redundante:

Además, tendremos que activar la transferencia de zona. Para que no haya fallos de seguridad y se pueda conectar cualquier servidor, crearemos una lista de direcciones IP que puedan declararse esclavos de la zona y a los que el servidor principal se la transfiera. Para esto, seleccionaremos la opción “Sólo a los siguientes servidores”, y añadiremos la dirección IP del servidor que vamos a configurar como redundante:

Ahora nos iremos al servidor que va a hacer de esclavo, y, en lugar de declarar zona principal en el apartado “Tipo de zona”, indicaremos que será una zona secundaria:

También tenemos que indicar el nombre de la zona de la que se va a hacer servidor esclavo, en este caso, “sedemurcia.es”:

Ahora, nos pedirá una lista de los servidores principales de la zona. Solamente tendremos que agregar la dirección IP de dichos servidores, que en este caso es la 192.168.4.2 (ya que sólo hay un servidor maestro):

Nos mostrará un resumen, y cuando le demos a “Finalizar”, nuestro servidor maestro le hará la transferencia de zona al servidor que acabamos de configurar como esclavo:

Para comprobar que este servidor esclavo puede resolver correctamente las peticiones a la zona que le acabamos de configurar, nos iremos al servidor principal, y pondremos como servidor (con el comando “nslookup”) la dirección IP 192.168.4.5, y preguntaremos por uno de los registros A de la zona, y veremos que el servidor esclavo responde correctamente a esta petición:

DELEGACIONES

El último paso en nuestra configuración del servicio DNS es hacer las delegaciones para las sedes de Madrid y Barcelona. En ambos casos se siguen los mismos pasos, así que documentaré solamente una de las delegaciones, y mostraré que se han realizado las dos (aunque una de ellas no la documente).

Comenzaremos por crear la zona en la máquina del servidor de la sede de Barcelona, por ejemplo, que deberá tener una dirección IP estática. En este caso le pondré una IP pública, diferente a la red que tenemos dentro de nuestra empresa:

Una vez comprobado que tiene una IP estática, deberemos crear la zona, que se llamará “sedebarcelona.sedemurcia.es”, ya que es una delegación de la zona de Murcia:

La zona debe ser primaria, ya que este es el servidor que la va a gestionar. Una vez creada la zona, tendremos que ir al servidor padre (el que tiene como zona primaria “sedemurcia.es”), para hacer la delegación. Para ello haremos click derecho en el nombre de la zona, y seleccionaremos la opción “Delegación nueva”. Indicaremos el dominio que vamos a delegar:

Después, indicamos la dirección IP de la máquina hija (en la que hemos creado antes la zona primaria):

Se creará la delegación y al consultar las propiedades nos aparecerá su dirección IP. Para la delegación a la sede de Madrid se hace exactamente lo mismo, lo único que cambiaría es que en vez de sedebarcelona será sedemadrid.

Una vez que creemos en la máquina padre las dos delegaciones, nos aparecerán en la parte izquierda, debajo del dominio principal:

Ahora configuraremos nuestro servidor DHCP para que pueda asignar automáticamente las direcciones IP a cada uno de los equipos. Como en nuestra empresa hemos organizado las salas asignándoles VLAN's diferentes, lo que haremos será crear un ámbito para cada una de las VLAN's y hacer reservas para los equipos dependiendo de su MAC.

Lo primero que debemos hacer es asignar una dirección IP estática a nuestra máquina (en mi caso le asginaré la 192.168.4.3).

Después, pasaremos a configurar los ámbitos. Para ello, en la opción “IPv4”, haremos click derecho y seleccionaremos “ámbito nuevo”:

Al crear un ámbito para cada una de las salas, le daremos el nombre de cada una de estas, para saber qué direcciones IP pertenecen a qué sala de un sólo vistazo. Documentaré únicamente la sala de Informática, aunque las configure todas y lo muestre en un pantallazo final:

Asignamos ahora el rango de direcciones IP que se van a poder asignar y la máscara que se utilizará para los equipos en esta red:

También añadiremos la dirección IP del router (nosotros asignamos al router subinterfaces, con las direcciones IP correspondientes a cada red):

Añadiremos el servidor DNS, indicando el dominio primario y la dirección IP del servidor (192.168.4.2):

Activamos el ámbito. Hacemos esto para cada una de las salas (o departamentos), cada uno con su dirección IP correspondiente:

Ahora haremos una reserva por MAC a una máquina. Lo primero que debemos hacer es ver qué dirección MAC tiene:

Una vez visto, haremos click derecho en el ámbito y seleccionaremos la opción “Reserva nueva”. Rellenamos los campos que nos indica, seleccionando qué IP se le asignará a esa máquina, y la MAC del equipo:

Si miramos en las propiedades de la reserva nos aparecerán los campos que hemos indicado al crear el ámbito, que son los parámetros que se le van a asignar al equipo cuando obtenga la configuración dinámicamente:

Ahora, nos iremos a la máquina y tecleando el comando “ipconfig” veremos que le ha asginado la dirección IP que hemos reservado para su MAC:

Configuraremos nuestro servidor de impresión de dos formas diferentes, como si se accediera a la impresora mediante una dirección IP y como si se accediera a esta por puertos.

Para hacerlo como si se accediera mediante una dirección IP, en servicios de impresión le daremos a agregar una impresora en red:

Seleccionamos la opción de “Agregar una impresora TCP/IP en base a la dirección IP o nombre de host”:

Seleccionaremos la opción de “Dispositivo TCP/IP” y añadiremos la dirección IP de la impresora. Nuestra impresora se encontraba en la recepción, por lo que la dirección IP que hay asignada a esa VLAN hará que la impresora tenga la dirección 192.168.2.3:

Continuamos y finalizamos, y ya estaría la impresora añadida.

También podemos seleccionar la opción de que se acceda a esta por puerto. Para ello, seleccionaríamos la opción “Agregar una impresora por medio de un puerto existente”:

Instalamos manualmente un controlador (ya que no tenemos una impresora real y no va a poder detectarla automáticamente):

Le pondremos como ubicación “Planta 1”, para que sea fácil saber dónde se encuentra:

Nos muestra un resumen y si le damos a siguiente nos añadirá la impresora:

También podemos ver los permisos que se le dan a los diferentes usuarios y grupos del sistema, dándole a propiedades en una de las impresoras y yéndonos al apartado de “Seguridad”:

Este apartado constará de dos partes: una en la que desde un FreeNAS damos acceso mediante iSCSI a los equipos, y otra en la que intentaremos acceder a este con una máquina windows.

FREENAS

Tenemos una máquina previamente configurada (descargando una ISO y buscando imformación hasta llegar a que la máquina obtuviera una dirección IP), a la que accederemos mediante nuestro navegador de la máquina real (ya que la máquina virtual es únicamente de modo texto). Para esto, tendremos que ver qué dirección IP tiene la máquina virtual:

Ponemos cualquiera de las rutas que nos aparecen en nuestra barra del navegador:

Accederemos a una página que nos muestra un inicio de sesión. Los parámetros para el inicio están previamente configurados (usuario root y contraseña root):

Lo que queremos conseguir es que una máquina pueda establecer una conexión iSCSI, por lo que nos iremos al apartado “Block Shares (iSCSI)”:

Lo primero que tendremos que hacer será crear un portal, dándole un nombre y un puerto (recomendable dejar el puerto por defecto (3260):

Ahora, nos aparecerá el portal que hemos creado en la página principal:

También tendremos que crear un “Target”, al que únicamente tendremos que asignar un nombre, ya que todos los demás apartados de la configuración se dejan como están por defecto:

Ahora crearemos una extensión. Para ello debemos seleccionar el tipo de extensión “Device”, y este nos detectará la unidad de disco de VirtualBox de la máquina en la que está configurado Freenas. Lo seleccionamos, y lo demás lo dejaremos por defecto:

Tendremos que unir el “Target” con “Extent”. Para ello únicamente tendremos que ir al apartado “Target and Extents”, añadir uno y seleccionar los que acabamos de crear:

El último paso es activar la conexión iSCSI para que los equipos puedan conectarse:

CONEXIÓN iSCSI

En este apartado haremos una conexión desde una máquina Windows a Freenas. Lo que tendremos que hacer será abrir el iniciador iSCSI de windows:

Iremos al apartado “Detección”, y agregaremos un portal:

A la hora de agregar el portal, debemos tener en cuenta la dirección IP de la máquina Freenas y el puerto que habíamos establecido en el portal (el 3260):

Una vez hecho esto, nos aparecerá el portal:

Ahora iremos al apartado “Destinos”, para establecer la conexión. Automáticamente al añadir el portal detecta un destino, pero este se encuentra inactivo:

Para crear la conexión debemos darle a “Iniciar sesión”:

Aceptamos y la sesión se inicia, y ahora la máquina Windows está conectada mediante iSCSI al Freenas que hemos creado en el apartado anterior:

En este apartado añadiremos unidades organizativas, usuarios y equipos desde la interfaz gráfica de Active Directory, en una máquina Windows Server 2008.

UNIDADES ORGANIZATIVAS

Dentro de nuestro dominio “sedemurcia.es”, anteriormente creado, haremos click derecho y seleccionaremos la opción “Nuevo”, e iremos a Unidad Organizativa. Simplemente nos pedirá el nombre de la Unidad Organizativa que queremos añadir. En este caso, añadiré una unidad organizativa por cada uno de los departamentos, para que sea mucho más fácil localizar los usuarios y equipos dentro de cada una de ellas.

USUARIOS

Para crear usuarios en Active Directory, tendremos que posicionarnos dentro de una Unidad Organizativa. Haremos click derecho y seleccionamos la opción “Nuevo”, y hacemos click sobre usuario. Añadimos el nombre del trabajador, rellenando todos los campos.

Además, indicamos la contraseña que el usuario debe utilizar para iniciar sesión por primera vez en el sistema (después, el usuario cambiará la contraseña de acuerdo a la política de contraseñas establecida en la empresa):

Finalizamos y nos aparecerá el usuario dentro de la Unidad Organizativa “Informática”:

EQUIPOS

Para añadir equipos en Active Directory, tendremos que posicionarnos dentro de una Unidad Organizativa. Haremos click derecho y seleccionamos la opción “Nuevo”, y hacemos click sobre equipo. Lo añadimos indicando su nombre, y una vez hecho esto se añadirá dentro de “Informática” (que es la Unidad Organizativa en la que lo he creado).

1.1. JUSTIFICACIÓN

Los activos de información y los equipos informáticos son recursos importantes y vitales de nuestra Compañía. Sin ellos nos quedaríamos rápidamente fuera del negocio y por tal razón la Presidencia y la Junta Directiva tienen el deber de preservarlos, utilizarlos y mejorarlos. Esto significa que se deben tomar las acciones apropiadas para asegurar que la información y los sistemas informáticos estén apropiadamente protegidos de muchas clases de amenazas y riesgos.
La información perteneciente a la Compañía debe protegerse de acuerdo a su valor e importancia. Tal protección incluye restricciones de acceso a los usuarios de acuerdo a su cargo.
Las distintas gerencias de la Compañía están en el deber y en la responsabilidad de consagrar tiempo y recursos suficientes para asegurar que los activos de información estén suficientemente protegidos. Cuando ocurra un incidente grave que refleje alguna debilidad en los sistemas informáticos, se deberán tomar las acciones correctivas rápidamente para así reducir los riesgos. En todo caso cada año el Comité de Seguridad Informática llevará a cabo un análisis de riesgos y se revisarán las políticas de seguridad.
A todos los empleados, consultores y contratistas se les debe proporcionar información, y advertencias para que ellos puedan proteger y manejar apropiadamente los recursos informáticos de la Compañía.
La finalidad de las políticas de seguridad que se describen más adelante es proporcionar instrucciones específicas sobre cómo mantener más seguros tanto los computadores de la Compañía (conectados o no en red), como la información guardada en ellos. La violación de dichas políticas puede acarrear medidas disciplinarias e incluso el despido.

1.2. RESPONSABILIDADES

Los siguientes entes son responsables, en distintos grados, de la seguridad en la Compañía:

• El comité de Seguridad Informática está compuesto por los representantes de los distintos departamentos de la compañía. Este Comité está encargado de elaborar y actualizar las políticas, normas, pautas y procedimientos relativas a seguridad en informática y telecomunicaciones. También es responsable de coordinar el análisis de riesgos, planes de contingencia y prevención de desastres. El Comité efectuará la evaluación y revisión de la situación de la compañía en cuanto a seguridad informática, incluyendo el análisis de incidentes ocurridos y que afecten la seguridad.
• El jefe de Informática es responsable de implantar y velar por el cumplimento de las políticas, normas, pautas, y procedimientos de seguridad a lo largo de toda la organización, todo esto en coordinación con la Junta Directiva. También es responsable de evaluar, adquirir e implantar productos de seguridad informática, y realizar las demás actividades necesarias para garantizar un ambiente informático seguro. Además debe ocuparse de proporcionar apoyo técnico y administrativo en todos los asuntos relacionados con la seguridad, y en particular en los casos de infección de virus, penetración de hackers, fraudes y otros percances.
• El jefe de Seguridad es responsable de dirigir las investigaciones sobre incidentes y problemas relacionados con la seguridad, así como recomendar las medidas pertinentes.
• El Administrador de Sistemas es responsable de establecer los controles de acceso apropiados para cada usuario, supervisar el uso de los recursos informáticos y de llevar a cabo las tareas de seguridad relativas a los sistemas que administra, como por ejemplo, aplicar inmediatamente los parches correctivos cuando le llegue la notificación del fabricante del producto. El Administrador de Sistemas también es responsable de informar al Jefe de Seguridad y a sus superiores sobre toda actividad sospechosa o evento insólito. Cuando no exista un Jefe de Seguridad, el Administrador de Sistemas realizará sus funciones.
• Los usuarios son responsables de cumplir con todas las políticas de la Compañía relativas a la seguridad informática y en particular:
  • Conocer y aplicar las políticas y procedimientos apropiados en relación al manejo de la información y de los sistemas informáticos.
  • No divulgar información confidencial de la Compañía a personas no autorizadas.
  • No permitir y no facilitar el uso de los sistemas informáticos de la Compañía a personas no autorizadas.
  • No utilizar los recursos informáticos (hardware, software o datos) y de telecomunicaciones (teléfono, fax) para otras actividades que no estén directamente relacionadas con el trabajo en la Compañía.
  • Proteger meticulosamente su contraseña y evitar que sea vista por otros en forma inadvertida.
  • Seleccionar una contraseña robusta que no tenga relación obvia con el usuario, sus familiares, el grupo de trabajo, y otras asociaciones parecidas.
  • Reportar inmediatamente a su jefe inmediato a un funcionario de Seguridad Informática cualquier evento que pueda comprometer la seguridad de la Compañía y sus recursos informáticos, como por ejemplo contagio de virus, intrusos, modificación o pérdida de datos y otras actividades poco usuales.

1.3. POLÍTICAS DE SEGURIDAD PARA EQUIPOS

• Los equipos de la Compañía sólo deben usarse en un ambiente seguro. Se considera que un ambiente es seguro cuando se han implantado las medidas de control apropiadas para proteger el software, el hardware y los datos.
• Los equipos de la Compañía sólo deben usarse para actividades de trabajo y no para otros fines, tales como juegos y pasatiempos.
• Debe respetarse y no modificar la configuración de hardware y software establecida por el Departamento de Informática.
• No se permite fumar, comer o beber mientras se está usando un PC.
• Deben protegerse los equipos de riesgos del medioambiente (por ejemplo, polvo, incendio y agua).
• Cualquier fallo en los equipos o en la red debe informarse inmediatamente ya que podría causar problemas serios como pérdida de la información o indisponibilidad de los servicios.
• Deben protegerse los equipos para disminuir el riesgo de robo, destrucción, y mal uso. Las medidas que se recomiendan incluyen el uso de vigilantes y cerradura con llave.
• Los equipos deben marcarse para su identificación y control de inventario.
• No pueden moverse los equipos o reubicarlos sin permiso.
• La pérdida o robo de cualquier componente de hardware o programa de software debe ser informada inmediatamente.
• Para prevenir el acceso no autorizado, los usuarios deben usar un sistema de contraseñas robusto y además deben configurar el protector de pantalla para que se active al cabo de 15 minutos de inactividad y que requiera una contraseña al reasumir la actividad.
• Si un equipo tiene acceso a datos confidenciales, debe poseer un mecanismo de control de acceso especial, preferiblemente por hardware.
• Los datos confidenciales que aparezcan en la pantalla deben protegerse de ser vistos por otras personas mediante disposición apropiada del mobiliario de la oficina y protector de pantalla.
• Debe implantarse un sistema de autorización y control de acceso con el fin de restringir la posibilidad de los usuarios para leer, escribir, modificar, crear, o borrar datos importantes. Estos privilegios deben definirse de una manera consistente con las funciones que desempeña cada usuario.
• No está permitido llevar al sitio de trabajo computadores portátiles (laptops) y en caso de ser necesario se requiere solicitar la autorización correspondiente.
• Para prevenir la intrusión de hackers a través de puertas traseras, no está permitido el uso de módems en equipos que tengan también conexión a la red local (LAN), a menos que sea debidamente autorizado. Todas las comunicaciones de datos deben efectuarse a través de la LAN de la Compañía.
• A menos que se indique lo contrario, los usuarios deben asumir que todo el software de la Compañía está protegido por derechos de autor y requiere licencia de uso. Por tal razón es ilegal y está terminantemente prohibido hacer copias o usar ese software para fines personales..
• Los usuarios no deben copiar a un medio removible, el software o los datos residentes en los equipos de la Compañía, sin la aprobación previa de la gerencia.
• No pueden extraerse datos fuera de la sede de la Compañía sin la aprobación previa de la gerencia.
• Debe instalarse y activarse una herramienta antivirus, la cual debe mantenerse actualizada. Si se detecta la presencia de un virus u otro agente potencialmente peligroso, se debe notificar inmediatamente al Jefe de Seguridad Informática y poner el equipo en cuarentena hasta que el problema sea resuelto.
• Sólo pueden bajarse archivos de redes externas de acuerdo a los procedimientos establecidos. Debe utilizarse un programa antivirus para examinar todo software que venga de afuera o inclusive de otros departamentos de la Compañía.
• No debe utilizarse software bajado de Internet y en general software que provenga de una fuente no confiable, a menos que se haya sido comprobado en forma rigurosa y que esté aprobado su uso por el Departamento de Informática.
• Para prevenir demandas legales o la introducción de virus informáticos, se prohíbe estrictamente la instalación de software no autorizado, incluyendo el que haya sido adquirido por el propio usuario.
• Para ayudar a restaurar los programas originales no dañados o infectados, deben hacerse copias de todo software nuevo antes de su uso, y deben guardarse tales copias en un lugar seguro.
• No deben usarse USBs u otros medios de almacenamiento en cualquier equipo de la Compañía a menos que se haya previamente verificado que están libres de virus u otros agentes dañinos.
• Periódicamente debe hacerse el respaldo de los datos guardados en equipos y servidores, y las copias de respaldo deben guardarse en un lugar seguro, a prueba de hurto, incendio e inundaciones. Los programas y datos vitales para la operación de Compañía debe guardarse en otra sede, lejos del edificio.
• Los usuarios de PCs son responsables de proteger los programas y datos contra pérdida o daño. Para sistemas multiusuario y sistemas de comunicaciones, el Administrador de cada uno de esos sistemas es responsable de hacer copias de respaldo periódicas. Los gerentes de los distintos departamentos son responsables de definir qué información debe respaldarse, así como la frecuencia del respaldo y el método de respaldo.
• La información de la Compañía clasificada como confidencial o de uso restringido, debe guardarse y transmitirse en forma cifrada, utilizando herramientas de encriptado que hayan sido aprobadas por la Gerencia de Informática.
• No debe borrarse la información original no cifrada hasta que se haya comprobado que se puede recuperar desde los archivos encriptados mediante el proceso de descifrado.
• El acceso a las claves utilizadas para el cifrado y descifrado debe limitarse estrictamente a las personas autorizadas y en ningún caso deben revelarse a consultores o personal temporal.
• Siempre que sea posible, debe eliminarse información confidencial de los equipos y unidades de disco duro antes de que les mande a reparar. Si esto no es posible, se debe asegurar que la reparación sea efectuada por empresas responsables, con las cuales se haya firmado un contrato de confidencialidad.

1.4. POLÍTICAS DE SEGURIDAD PARA LAS COMUNICACIONES

Con el fin de mejorar la productividad, la Compañía promueve el uso responsable de las comunicaciones en forma electrónica, en particular el teléfono, el correo de voz, el correo electrónico, y el fax. Los sistemas de comunicación y los mensajes generados y procesados por tales sistemas, incluyendo las copias de respaldo, se deben considerar como propiedad de la Compañía y no propiedad de los usuarios de los servicios de comunicación.

• Uso de los sistemas de comunicación.
  • Los sistemas de comunicación de la Compañía generalmente sólo deben usarse para actividades de trabajo. El uso personal en forma ocasional es permisible siempre y cuando consuma una cantidad mínima de tiempo y recursos, y además no interfiera con las productividad del empleado ni con las actividades de la Compañía.
  • Se prohíbe el uso de los sistemas de comunicación para actividades comerciales privadas o para propósitos de entretenimiento y diversión.
  • La navegación en Internet para fines personales no debe hacerse a expensas del tiempo y los recursos de la Compañía y en tal sentido deben usarse las horas no laborables.
• Confidencialidad y privacidad.
  • Los recursos, servicios y conectividad disponibles vía Internet abren nuevas oportunidades, pero también introducen nuevos riesgos. En particular, no debe enviarse a través de Internet mensajes con información confidencial a menos que estén cifrada.
  • Los empleados y funcionarios de la Compañía no deben interceptar las comunicaciones o divulgar su contenido. Tampoco deben ayudar a otros para que lo hagan. La Compañía se compromete a respetar los derechos de sus empleados, incluyendo su privacidad. También se hace responsable del buen funcionamiento y del buen uso de sus redes de comunicación y para lograr esto, ocasionalmente es necesario interceptar ciertas comunicaciones.
  • Es política de la Compañía no monitorear regularmente las comunicaciones. Sin embargo, el uso y el contenido de las comunicaciones puede ocasionalmente ser supervisado en caso de ser necesario para actividades de mantenimiento, seguridad o auditoría. Puede ocurrir que el personal técnico vea el contenido de un mensaje de un empleado individual durante el curso de resolución de un problema.
  • De manera consistente con prácticas generalmente aceptadas, la Compañía procesa datos estadísticos sobre el uso de los sistemas de comunicación.
• Reenvío de mensajes.
  • Tomando en cuenta que cierta información está dirigida a personas específicas y puede no ser apta para otros, dentro y fuera de la Compañía, se debe ejercer cierta cautela al remitir los mensajes. En todo caso no debe remitirse información confidencial de la Compañía sin la debida aprobación.
• Borrado de mensajes
  • Los mensajes que ya no se necesitan deben ser eliminados periódicamente de su área de almacenamiento. Con esto se reducen los riesgos de que otros puedan acceder a esa información y además se libera espacio en disco.

1.5. POLÍTICAS DE SEGURIDAD PARA REDES

El propósito de esta política es establecer las directrices, los procedimientos y los requisitos para asegurar la protección apropiada de la Compañía al estar conectada a redes.

• Alcance
  • Esta política se aplica a todos los empleados, contratistas, consultores y personal temporal de la Compañía.
• Aspectos generales
  • Es política de la Compañía prohibir la divulgación, duplicación, modificación, destrucción, pérdida, mal uso, robo y acceso no autorizado de información propietaria. Además, es su política proteger la información que pertenece a otras empresas o personas y que le haya sido confiada.
• Modificaciones
  • Todos los cambios en la central telefónica y en los servidores y equipos de red de la Compañía, incluyendo la instalación de el nuevo software, el cambio de direcciones IP, la reconfiguración de routers y switchs, deben ser documentados y debidamente aprobados, excepto si se trata de una situación de emergencia.
• Cuentas de los usuarios
  • Cuando un usuario recibe una nueva cuenta, debe firmar un documento donde declara conocer las políticas y procedimientos de seguridad, y acepta sus responsabilidades con relación al uso de esa cuenta.
  • La solicitud de una nueva cuenta o el cambio de privilegios debe ser hecha por escrito y debe ser debidamente aprobada.
  • No debe concederse una cuenta a personas que no sean empleados de la Compañía a menos que estén debidamente autorizados, en cuyo caso la cuenta debe expirar automáticamente al cabo de un lapso de 30 días.
  • Privilegios especiales, tal como la posibilidad de modificar o borrar los archivos de otros usuarios, sólo deben otorgarse a aquellos directamente responsable de la administración o de la seguridad de los sistemas.
  • No deben otorgarse cuentas a técnicos de mantenimiento ni permitir su acceso remoto a menos que el Administrador de Sistemas o el Gerente de Informática determinen que es necesario. En todo caso esta facilidad sólo debe habilitarse para el periodo de tiempo requerido para efectuar el trabajo (como por ejemplo, el mantenimiento remoto). Si hace falta una conexión remota durante un periodo más largo, entonces se debe usar un sistema de autenticación más robusto basado contraseñas dinámicas, fichas o tarjetas inteligentes.
  • Se prohíbe el uso de cuentas anónimas o de invitado (guest) y los usuarios deben entrar al sistema mediante cuentas que indiquen claramente su identidad.
  • Toda cuenta queda automáticamente suspendida después de un cierto periodo de inactividad. El periodo recomendado es de 30 días.
  • Los privilegios del sistema concedidos a los usuarios deben ser ratificados cada 6 meses. El Administrador de Sistemas debe revocar rápidamente la cuenta o los privilegios de un usuario cuando reciba una orden de un superior, y en particular cuando un empleado cesa en sus funciones.
  • Cuando un empleado es despedido o renuncia a la Compañía, debe desactivarse su cuenta antes de que deje el cargo.
• Contraseñas y el control de acceso
  • El usuario no debe guardar su contraseña en una forma legible en archivos en disco, y tampoco debe escribirla en papel y dejarla en sitios donde pueda ser encontrada. Si hay razón para creer que una contraseña ha sido comprometida, debe cambiarla inmediatamente. No deben usarse contraseñas que son idénticas o similares a contraseñas previamente empleadas. Siempre que posible, debe impedirse que los usuarios vuelvan a usar contraseñas anteriores.
  • Nunca debe compartirse la contraseña o revelarla a otros. El hacerlo expone al usuario a las consecuencias por las acciones que los otros hagan con esa contraseña.
  • Está prohibido el uso de contraseñas de grupo para facilitar el acceso a archivos, aplicaciones, bases de datos, computadoras, redes, y otros recursos del sistema. Esto se aplica en particular a la contraseña del administrador.
  • Las contraseña inicial emitida a un nuevo usuario sólo debe ser válida para la primera sesión. En ese momento, el usuario debe escoger otra contraseña.
  • Las contraseñas predefinidas que traen los equipos nuevos tales como routers, switchs, etc., deben cambiarse inmediatamente al ponerse en servicio el equipo.
  • Para prevenir ataques, cuando el software del sistema lo permita, debe limitarse a 3 el número de consecutivos de intentos infructuosos de introducir la contraseña, luego de lo cual la cuenta involucrada queda suspendida y se alerta al Administrador del sistema.
  • Para el acceso remoto a los recursos informáticos de la Compañía, la combinación del ID de usuario y una contraseña fija no proporciona suficiente seguridad, por lo que se recomienda el uso de un sistema de autenticación más robusto basado en contraseñas dinámicas, fichas o tarjetas inteligentes.
  • Si no ha habido ninguna actividad en un terminal, PC o estación de trabajo durante un cierto periodo de tiempo, el sistema debe automáticamente borrar la pantalla y suspender la sesión. El periodo recomendado de tiempo es de 15 minutos. El re-establecimiento de la sesión requiere que el usuario proporcione se autentique mediante su contraseña (o utilice otro mecanismo, por ejemplo, tarjeta inteligente o de proximidad).
  • Si el sistema de control de acceso no está funcionando propiamente, debe rechazar el acceso de los usuarios hasta que el problema se haya solucionado.
  • Los usuarios no deben intentar violar los sistemas de seguridad y de control de acceso. Acciones de esta naturaleza se consideran violatorias de las políticas de la Compañía, pudiendo ser causal de despido.
  • Para tener evidencias en casos de acciones disciplinarias y judiciales, cierta clase de información debe capturarse, grabarse y guardarse cuando se sospeche que se esté llevando a cabo abuso, fraude u otro crimen que involucre los sistemas informáticos.
  • Los servidores de red y los equipos de comunicación deben estar ubicados en locales apropiados, protegidos contra daños y robo. Debe restringirse severamente el acceso a estos locales y a los cuartos de cableado a personas no autorizadas mediante el uso de cerraduras y otros sistemas de acceso (por ejemplo, tarjetas de proximidad).

Cuando hablamos de seguridad física nos referimos a todos aquellos mecanismos destinados a proteger físicamente cualquier recurso del sistema.

Dependiendo del entorno y los sistemas a proteger esta seguridad será más o menos importante y restrictiva, aunque siempre deberemos tenerla en cuenta.

2.1. PROTECCIÓN DEL HARDWARE

El hardware es frecuentemente el elemento más caro de todo sistema informático y por tanto las medidas encaminadas a asegurar su integridad son una parte importante de la seguridad física de cualquier organización.

Problemas a los que nos enfrentamos:

• Acceso físico
  • Si alguien que desee atacar un sistema tiene acceso físico al mismo todo el resto de medidas de seguridad implantadas se convierten en inútiles. Otros ataques se simplifican enormemente, p. ej. si deseamos obtener datos podemos copiar los ficheros o robar directamente los discos que los contienen. Incluso dependiendo el grado de vulnerabilidad del sistema es posible tomar el control total del mismo, por ejemplo reiniciándolo con un disco de recuperación que nos permita cambiar las claves de los usuarios. Este último tipo de ataque es un ejemplo claro de que la seguridad de todos los equipos es importante. Para evitar todo este tipo de problemas deberemos implantar mecanismos de prevención y de detección (si un mecanismo de prevención falla o no existe debemos al menos detectar los accesos no autorizados cuanto antes). En muchos casos es suficiente con controlar el acceso a las salas y cerrar siempre con llave los despachos o salas donde hay equipos informáticos y no tener cableadas las tomas de red que estén accesibles. Para la detección de accesos se emplean medios técnicos, como cámaras de vigilancia de circuito cerrado o alarmas, aunque en muchos entornos es suficiente con qué las personas que utilizan los sistemas se conozcan entre si y sepan quien tiene y no tiene acceso a las distintas salas y equipos, de modo que les resulte sencillo detectar a personas desconocidas o a personas conocidas que se encuentran en sitios no adecuados.
• Desastres naturales
  • Además de los posibles problemas causados por ataques realizados por personas, es importante tener en cuenta que también los desastres naturales pueden tener muy graves consecuencias, sobre todo si no los contemplamos en nuestra política de seguridad y su implantación. Algunos desastres naturales a tener en cuenta:
    • Terremotos y vibraciones: Los terremotos son el desastre natural menos probable en la mayoría de organismos ubicados en España, por lo que no se harán grandes inversiones en prevenirlos, aunque hay varias cosas que se pueden hacer sin un desembolso elevado y que son útiles para prevenir problemas causados por pequeñas vibraciones:
      • No situar equipos en sitios altos para evitar caídas.
      • No colocar elementos móviles sobre los equipos para evitar que caigan sobre ellos.
      • Separar los equipos de las ventanas para evitar que caigan por ellas o qué objetos lanzados desde el exterior los dañen.
      • Utilizar fijaciones para elementos críticos.
      • Colocar los equipos sobre plataformas de goma para que esta absorba las vibraciones.
    • Tormentas eléctricas: Especialmente frecuentes en verano, que generan subidas súbitas de tensión muy superiores a las que pueda generar un problema en la red eléctrica. A parte de la protección mediante el uso de pararrayos, la única solución a este tipo de problemas es desconectar los equipos antes de una tormenta (qué por fortuna suelen ser fácilmente predecibles). En entornos normales es recomendable que haya un cierto grado de humedad, ya que en si el ambiente es extremadamente seco hay mucha electricidad estática. En general no es necesario emplear ningún tipo de aparato para controlar la humedad, pero no está de más disponer de alarmas que nos avisen cuando haya niveles anómalos.
    • Inundaciones y humedad: Otro tema distinto son las inundaciones, ya que casi cualquier medio (máquinas, cintas, routers ...) que entre en contacto con el agua queda automáticamente inutilizado, bien por el propio líquido o bien por los cortocircuitos que genera en los sistemas electrónicos. Contra ellas podemos instalar sistemas de detección que apaguen los sistemas si se detecta agua y corten la corriente en cuanto estén apagados. Hay que indicar que los equipos deben estar por encima del sistema de detección de agua, sino cuando se intente parar ya estará mojado.
    • Incendios y humos: Por último mencionaremos el fuego y los humos, que en general provendrán del incendio de equipos por sobrecarga eléctrica. Contra ellos emplearemos sistemas de extinción, que aunque pueden dañar los equipos que apaguemos, nos evitarán males mayores. Además del fuego, también el humo es perjudicial para los equipos, al ser un abrasivo que ataca a todos los componentes, por lo que es recomendable mantenerlo lo más alejado posible de los equipos.
• Alteraciones del entorno
  • En nuestro entorno de trabajo hay factores que pueden sufrir variaciones que afecten a nuestros sistemas que tendremos que conocer e intentar controlar. Deberemos contemplar problemas que pueden afectar el régimen de funcionamiento habitual de las máquinas como la alimentación eléctrica, el ruido eléctrico producido por los equipos o los cambios bruscos de temperatura.
    • Electricidad: Los problemas derivados del entorno de trabajo más frecuentes son los relacionados con el sistema eléctrico que alimenta nuestros equipos; cortocircuitos, picos de tensión, cortes de flujo … Para corregir los problemas con las subidas de tensión podremos instalar tomas de tierra o filtros reguladores de tensión. Para los cortes podemos emplear Sistemas de Alimentación Ininterrumpida (SAI), que además de proteger ante cortes mantienen el flujo de corriente constante, evitando las subidas y bajadas de tensión. Estos equipos disponen de baterías que permiten mantener varios minutos los aparatos conectados a ellos, permitiendo que los sistemas se apaguen de forma ordenada (generalmente disponen de algún mecanismo para comunicarse con los servidores y avisarlos de que ha caído la línea o de que se ha restaurado después de una caída). Por último indicar que además de los problemas del sistema eléctrico también debemos preocuparnos de la corriente estática, que puede dañar los equipos. Para evitar problemas se pueden emplear espráis antiestáticos o ionizadores y tener cuidado de no tocar componentes metálicos, evitar que el ambiente esté excesivamente seco, etc.
    • Ruido eléctrico: El ruido eléctrico suele ser generado por motores o por maquinaria pesada, pero también puede serlo por otros ordenadores o por multitud de aparatos, y se transmite a través del espacio o de líneas eléctricas cercanas a nuestra instalación. Para prevenir los problemas que puede causar el ruido eléctrico lo más barato es intentar no situar el hardware cerca de los elementos que pueden causar el ruido. En caso de que fuese necesario hacerlo siempre podemos instalar filtros o apantallar las cajas de los equipos.
    • Temperaturas extremas: Las temperaturas extremas, ya sea un calor excesivo o un frio intenso, perjudican gravemente a todos los equipos. En general es recomendable que los equipos operen entre 10 y 32 grados Celsius. Para controlar la temperatura emplearemos aparatos de aire acondicionado.

2.2. PROTECCIÓN DE DATOS

Además proteger el hardware nuestra política de seguridad debe incluir medidas de protección de los datos, ya que en realidad la mayoría de ataques tienen como objetivo la obtención de información, no la destrucción del medio físico que la contiene.

• Eavesdropping
  • La interceptación o eavesdropping es un proceso mediante el cual un agente capta información que va dirigida a él. Esta captación puede realizarse por muchísimos medios: sniffing en redes ethernet o inalámbricas, capturando radiaciones electromagnéticas, etc. El problema de este tipo de ataque es que en principio es completamente pasivo y en general difícil de detectar mientras se produce, de forma que un atacante puede capturar información privilegiada y claves que puede emplear para atacar de modo activo. Para evitar que funcionen los sniffer existen diversas soluciones, aunque al final la única realmente útil es cifrar toda la información que viaja por la red. En principio para conseguir esto se deberían emplear versiones seguras de los protocolos de uso común, siempre y cuando queramos proteger la información. Hoy en día casi todos los protocolos basados en TCP permiten usar una versión cifrada mendiante el uso del TLS.
• Soportes no electrónicos
  • Otro elemento importante en la protección de la información son los elementos no electrónicos que se emplean para transmitirla, fundamentalmente el papel. Es importante que en las organizaciones que se maneje información confidencial se controlen los sistemas que permiten exportarla tanto en formato electrónico como en no electrónico. Cualquier dispositivo por el que pueda salir información de nuestro sistema ha de estar situado en un lugar de acceso restringido. También es conveniente que sea de acceso restringido el lugar donde los usuarios recogen los documentos que lanzan a estos dispositivos. Además de esto es recomendable disponer de trituradoras de papel para destruir todos los papeles o documentos que se quieran destruir, ya que evitaremos que un posible atacante pueda obtener información rebuscando en nuestra basura.

Es necesario establecer una política adecuada de copias de seguridad en cualquier organización, al igual que sucede con el resto de equipos y sistemas, los medios donde residen estas copias tendrán que estar protegidos físicamente.

Lo primero que debemos pensar es dónde se almacenan los dispositivos donde se realizan las copias. Un error muy habitual es almacenarlos en lugares muy cercanos a la sala de operaciones, cuando no en la misma sala, esto, que en principio puede parecer correcto puede convertirse en un problema serio si se produce cualquier tipo de desastre. Hay que pensar que en general el hardware se puede volver a comprar, pero una pérdida de información puede ser ireemplazable.

Así pues, lo más recomendable es guardar las copias en una zona alejada de la sala de operaciones. Lo que se suele recomendar es disponer de varios niveles de copia, una que se almacena en una caja de seguridad en un lugar alejado y que se renueva con una periodicidad alta y otras de uso frecuente que se almacenan en lugares más próximos.

Para proteger más aun la información copiada se pueden emplear mecanísmos de cifrado, de modo que la copia que guardamos no sirva de nada si no disponemos de la clave para recuperar los datos almacenados.

También podemos seguir la estrategia 3-2-1 a la hora de realizar copias de seguridad:

• 3: Mantener 3 copias de cualquier fichero importante: el archivo original y 2 backups.
• 2: Almacenar las copias en 2 soportes distintos de almacenamiento para protegerlas ante distintos riesgos. Si tuviéramos las dos copias en el mismo tipo de soporte, ambos pueden verse afectados por el mismo fallo de funcionamiento y por tanto poner en peligro las dos copias al mismo tiempo.
• 1: Almacenar 1 copia de seguridad fuera de nuestra empresa, lo que también se conoce como backup offsite. La copia de seguridad en la nube es una clara opción de este tipo de copia.

En cuanto a la ubicación de las copias de seguridad deberemos:

• Contar con al menos una copia fuera de la organización.
• Valorar la contratación de servicios de guarda y custodia si se considera necesario por motivos de seguridad física.

Además, para garantizar la conservación e integridad de nuestros datos seguiremos las siguientes pautas:

• Comprobar la vida útil de los soportes que utilizamos para realizar las copias.
• Realizar un mantenimiento de hardware y software periódico de los soportes de almacenamiento, ya que es tan importante prevenir los posibles fallos mecánicos como las posibles vulnerabilidades, infecciones e intrusiones que pueden derivar del software sin actualizar.
• Asegurar que las condiciones de climatización del lugar donde se almacenan son las adecuadas para conservar el tipo de soporte en el que guardamos la información.

También etiquetaremos cada una de las copias de seguridad que se realicen, dejando indicados los siguientes campos:

• Identificador de soporte: código que identifica el soporte en el que se ha realizado la copia.
• Tipo de copia: se indicará si es una copia total, incremental, etc.
• Fecha y hora: cuándo se llevó a cabo la copia.
• Lugar de almacenamiento: ubicación física donde se encuentra la copia de seguridad.
• Personal a cargo de la copia: responsables de la realización y conservación de la copia durante el tiempo que se haya establecido.

4.1. ALTA DE USUARIOS

Para dar de alta a un empleado en nuestra empresa, éste deberá proporcionar lo siguientes datos:

• Nombre y apellidos.
• DNI o NIF.
• Puesto en la empresa
• Unidad organizativa
• Dirección
• Teléfono
• Correo electrónico
• C.V

4.2. BAJA DE USUARIOS

El empleado deberá informar a su superior de la solicitud de baja, también se informará mediante correo electrónico o mediante reunión al Responsable del ámbito de empleados. Se deberán especificar los siguientes datos:

• Nombre y apellidos
• DNI o NIF
• Puesto en la empresa
• Unidad organizativa
• Fecha de solicitud de baja
• Sede

4.3. POLÍTICA DE CONTRASEÑAS

La política y acciones que se llevarán a cabo para construir una contraseña segura será la siguiente:

• Se deben utilizar al menos 8 caracteres para crear la clave.
• Se recomienda utilizar en una misma contraseña dígitos, letras y caracteres especiales.
• Elegir una contraseña que pueda recordarse fácilmente y es deseable que pueda escribirse rápidamente, preferiblemente, sin que sea necesario mirar el teclado.
• Las contraseñas hay que cambiarlas con una cierta regularidad.
• Utilizar signos de puntuación si el sistema lo permite. P. ej.: “Tr-.3Fre”. En este caso de incluir otros caracteres que no sean alfa-numéricos en la contraseña, hay que comprobar primero si el sistema permite dicha elección y cuáles son los permitidos. Dentro de ese consejo se incluiría utilizar símbolos como: ! " # $ % & ' ( ) * + , - . / : ; < = > ? @ [ \ ] ^ _ ` { | } ~
• Existen algunos trucos para plantear una contraseña que no sea débil y se pueda recordar más fácilmente. Por ejemplo se pueden elegir palabras sin sentido pero que sean pronunciables, etc. Nos podemos ayudar combinando esta selección con números o letras e introducir alguna letra mayúscula. Otro método sencillo de creación de contraseñas consiste en elegir la primera letra de cada una de las palabras que componen una frase conocida, de una canción, película, etc. Con ello, mediante esta sencilla mnemotecnia es más sencillo recordarla. Vg: de la frase “Comí mucho chocolate el domingo 3, por la tarde”, resultaría la contraseña: “cmCeD3-:xLt”. En ella, además, se ha introducido alguna mayúscula, se ha cambiado el “por” en una “x” y, si el sistema lo permite, se ha colocado algún signo de puntuación (-).
• Es recomendable que las letras alternen aleatoriamente mayúsculas y minúsculas.

Al crear una contraseña debemos evitar:

• Utilizar la misma contraseña siempre en todos los sistemas o servicios.
• No utilizar información personal en la contraseña: nombre del usuario o de sus familiares, ni sus apellidos, ni su fecha de nacimiento. Y, por supuesto, en ninguna ocasión utilizar datos como el DNI o número de teléfono.
• Hay que evitar utilizar secuencias básicas de teclado (por ejemplo: ”qwerty”, “asdf” o las típicas en numeración: “1234” ó “98765”).
• No repetir los mismos caracteres seguidos en la misma contraseña. (ej.: “111222”).
• Hay que evitar utilizar solamente números, letras mayúsculas o minúsculas en la contraseña.
• No se debe utilizar como contraseña, ni contener, el nombre de usuario asociado a la contraseña.
• No utilizar datos relacionados con el usuario que sean fácilmente deducibles, o derivados de estos.
• No escribir ni reflejar la contraseña en un papel o documento donde quede constancia de la misma. Tampoco se deben guardar en documentos de texto dentro del propio ordenador o dispositivo.
• No se deben utilizar palabras que se contengan en diccionarios en ningún idioma. Hoy en día existen programas de ruptura de claves que basan su ataque en probar una a una las palabras que extraen de diccionarios: Este método de ataque es conocido como “ataque por diccionario”.
• No enviar nunca la contraseña por correo electrónico o en un sms. Tampoco se debe facilitar ni mencionar en una conversación o comunicación de cualquier tipo.
• Si se trata de una contraseña para acceder a un sistema delicado hay que procurar limitar el número de intentos de acceso, como sucede en una tarjeta de crédito y cajeros, y que el sistema se bloquee si se excede el número de intentos fallidos permitidos. En este caso debe existir un sistema de recarga de la contraseña o “vuelta atrás”.
• No utilizar en ningún caso contraseñas que se ofrezcan en los ejemplos explicativos de construcción de contraseñas robustas.
• No escribir las contraseñas en ordenadores de los que se desconozca su nivel de seguridad y puedan estar monitorizados, o en ordenadores de uso público (bibliotecas, cibercafés, telecentros, etc.).
• Cambiar las contraseñas por defecto proporcionadas por desarrolladores y fabricantes.

4.4. TRASLADAR POLÍTICA AL SERVIDOR DE USUARIOS

Trasladaremos la política que hemos establecido en los apartados anteriores a un caso real de un usuario en Active Directory, en un Windows Server 2008. Lo primero que debemos hacer es introducir el nombre del usuario, con sus apellidos y su correo electrónico dentro de la sede:

Una vez hecho esto, debemos darle a siguiente e introducir una contraseña que cumpla los requisitos (la contraseña que yo he establecido es “NosemeOcurreninguna2$”:

El usuario se añadirá, y ahora podremos añadir una descripción, número de teléfono, dirección, departamento, puesto, etc. al perfil del usuario:

La seguridad perimetral corresponde a la integración de elementos y sistemas, tanto electrónicos como mecánicos, para la protección de perímetros físicos, detección de tentativas de intrusión y/o disuasión de intrusos en instalaciones especialmente sensibles.

En nuestras tres sedes, para garantizar la protección de nuestros datos y equipos, el router será el encargado de gestionar los paquetes para evitar intrusiones. Si intentamos plasmarlo en un esquema, quedaría del siguiente modo:

En cada una de las sedes hay cinco servidores y 27 equipos, que el router se encargará de proteger. En el esquema quedan plasmados los cinco servidores de cada sede. El firewall es el que permita o deniegue las peticiones que vengan del exterior.

En cuanto a las medidas físicas, en nuestra empresa tendremos:

• Sistemas de control de acceso, con identificación por PIN: cada uno de los trabajadores tendrá un PIN diferente para acceder a la empresa y a determinadas salas, en función de su puesto de trabajo, que debe ser confidencial.
• Sensores de movimiento en el exterior. Será un sistema pasivo, que se limitará a enviar una alarma si hay un cambio de temperatura o movimiento, sobre todo durante las horas en las que no hay nadie en la empresa.
• Cámaras de vigilancia.
• Vigilante de seguridad durante todo el día para garantizar que no accede nadie extraño al interior de la empresa.

Crearemos también una VPN para que los trabajadores puedan teletrabajar. Ésta será creada con el software gratuito RadminVPN. Al instalarlo, nos dará la opción de crear una red o de unirse a una red ya existente.

Crearemos una red, a la que tendremos que darle un nombre y una contraseña:

La red se crea y ya se pueden unir los trabajadores. También podemos unirnos a una red existente (en este caso, haré el ejemplo con mi compañero Álvaro). Nos tendrá que dar el nombre de la red y la contraseña:

Ahora, mi máquina está dentro de su red:

Podemos observar también las propiedades de la sede, donde veremos el nombre de la red, el rol que tenemos y los miembros que hay conectados:

Podemos crear usuarios y darle una serie de permisos para cualquier tipo de función. Esto se hará desde la configuración de Radmin:

Crearé un usuario que se llame “alvaro” y le daré el permiso de “Charla”:

Ahora el usuario “alvaro” puede unirse a un chat conmigo:

Yo también puedo unirme con los permisos que me haya concedido mi compañero (en este caso de charla) con el nombre y el usuario que él me haya dado en su red:

En este punto pondré los scripts de creación de tablas. Lo primero que hay que hacer es crear la base de datos, metiendo la línea “CREATE DATABASE entornoproductivo”. Una vez creada, podremos empezar a incluir las tablas, que serán las siguientes:

Una vez que tenemos nuestras tablas metidas, podemos empezar a meter registros a estas. Los registros que yo he incluido son los siguientes (están en el archivo inserts.sql). Los valores que están a 0 se irán rellenando posteriormente cuando hagamos los disparadores.

Crearemos dos funciones, de acuerdo a:

• Función NUMERODEDIAS, que recibe como argumentos dos fechas y devuelve el número de días que hay entre una y otra. Esta función podemos utilizarla por ejemplo para conocer el número de días que hay entre la fecha de inicio y la fecha prevista de cada proyecto.
• Función RETRASOS, que recibe como argumento un número entero que se corresponde con el número de proyecto y devuelve un mensaje de texto.

Las funciones serían las siguientes:

Crearemos también procedimientos disparadores para los diferentes momentos en algunas de las tablas. Serán los siguientes:

• Cambio en la tabla SEDES: atributo “numtrabajadores” de la tabla sedes, calculado a partir del atributo “numtrabajadores” de la tabla departamentos, agrupado por el número de sede:

• Cambio en la tabla DEPARTAMENTOS: atributo “numtrabajadores” de la tabla departamentos, calculado a partir del atributo “departamento” de la tabla trabajadores, sumando/restando uno cada vez que hay algún cambio, según la sentencia de los triggers:

• Comprobar los puestos: tomamos la suma de los trabajadores agrupados por departamentos, y lo comparamos con el número de puestos de cada departamento. Si sobrepasa el número de puestos el trigger se activa, y salta un error que detiene la consulta y muestra un mensaje:

• Comprobar fechas: se comprueba si la fecha final del proyecto es anterior que la fecha inicial. Si es así, saltaría un error antes de que el registro se insertase. Ocurre también para la fecha prevista, no puede ser anterior a la inicial:

• Insertar trabajadores en los proyectos: cuando se añade/elimina un trabajador a un proyecto, se debe añadir o eliminar también de la tabla proyectos. Los trabajadores en la tabla proyectos se incluyen haciendo una suma de todos los que en la tabla trabajadores tengan el mismo id de proyecto, es decir, agrupados por id de proyecto:

Lógico:

Conceptual: