Embed Size (px)
Citation preview
PLAN DE SEGURIDAD PARA UNA
EMPRESA
AUTORES:
INDICE
RESUMEN
INTRODUCCIÓN
1. ANÁLISIS DE LA EMPRESA
1.1 Historia
1.2 Actividades
1.3 Sede de la empresa
1.4 Personal
1.5 Arquitectura
Figura 1.1: Planta de
la oficina
1.7 Objetivos y/o Estrategia a seguir
2. INVENTARIO HARDWARE 2.1 Hardware instalado
Para realizar el inventario del Hardware instalado de los equipos
informáticos se puede incluir las imagines (Computadoras, Laptops, Impresoras,
Fotcopiadoras, etc).
2.3 Comunicaciones
A continuación se van a detallar los distintos tipos de comunicaciones de
los que dispone la empresa y/o institución, tanto dentro de los
equipos informáticos como teléfonos, Tarjetas de red, router, etc.
2.4 Seguridad física
En este apartado se van a detallar los elementos de seguridad física con
los que cuenta la oficina para hacer frente a posibles accesos no deseados
a sus equipos o a información confidencial de su negocio. Como destructora
de documentos , Alarma Seguridad, Puerta o protectors de metal de
seguridad, etc.
3. INVENTARIO SOFTWARE 3.2 Software instalado
Para realizar el inventario del Software instalado de forma adecuada
completa de los equipos informáticos.
3.3 Seguridad software
A continuación se va a detallar la seguridad Software con la que cuentan
los equipos. (versión del antivirus que dispone, Firewall de Windows, el
equipo está conectado a la red mediante una conexión de que tipo, la
configuración de que forma que se le otorga la dirección IP, del router
su configuración es…)
4. PLAN DE RECUPERACIÓN EXISTENTE
4.1 Hardware de recuperación
Dentro de la empresa se disponen de Hardware específico de
recuperación para casos de pérdidas de equipamiento informático
o pérdidas de información accidental o intencionada.
4.2 Software de recuperación
Dentro de la empresa existe algun Software específicamente dedicado a
la recuperación de información perdida.
4.3 Recursos humanos
Dentro de la empresa existe un responsable informático de la seguridad
que controle las políticas a seguir para realizar copias de respaldo de
la información o en caso de pérdida de información para recuperarla.
4.4 Estrategias de respaldo
Dentro de la empresa existe algun tipo de estrategias de respaldo para
evitar pérdidas importantes de información.
5. ANÁLISIS DE RIESGOS
En este apartado se va a realizar un análisis de riesgos completo de todo
el sistema informático de la empresa para ver las posibles amenazas que
pueden afectar a la empresa, las vulnerabilidades de ésta con respecto
a las amenazas y el impacto que estas amenazas pudieran tener en la
empresa en el caso de llegar a materializarse.
5.1 Identificación de las amenazas
Las amenazas se van a clasificar en función de la importancia que
pueden tener a la hora de afectar a la empresa en el caso de que ocurran.
Se van a clasificar las amenazas en tres niveles:
- Importancia Alta: Tendrían una repercusión muy alta dentro de
la empresa en el caso de producirse; son las amenazas que se
deberán evitarse a toda costa. Serán identificadas con una A.
- Importancia Media: Tendrían una repercusión importante aunque
no muy crítica dentro de la empresa en el caso de producirse; aunque
no resultan tan críticas como las clasificadas en Alta es conveniente
tratar de evitar que ocurran. Serán identificadas con una M.
- Importancia Baja: No tienen una repercusión muy importante dentro
del sistema y de la empresa. Es recomendable que no se produzcan
pero tampoco sería necesario establecer medidas concretas para
evitar este tipo de amenazas. Serán identificadas con una B.
Cada amenaza va a ser clasificada en 5 niveles de gravedad:
- Muy alta: Las pérdidas para la empresa son importantísimas
e irreparables.
- Alta: Las pérdidas para la empresa son muy importantes pero pueden
tener un remedio a medio-largo plazo.
- Media: Las pérdidas son importantes pero tienen una solución en corto
plazo.
- Baja: Se producen pérdidas mínimas sin gran impacto dentro de
la organización.
- Muy baja: No se producen pérdidas o éstas son insignificantes y
no afectan en prácticamente ningún grado a la organización.
5.2.1 Desastres naturales
Acciones climatológicas y por lo tanto incontrolables que pueden afectar al
sistema.
5.2.1.1 Tormentas y rayos
5.2.1.2 Terremotos
5.2.1.3 Inundaciones
5.2.2 Estructurales
Amenazas debidas a fallos en los elementos del edificio tales como cableado
eléctrico, conductos del aire acondicionado, elementos de comunicación…
etc.
5.2.2.1 Incendios
Fuego no controlado que puede ser extremadamente peligroso para los
seres vivos y las estructuras, produciendo además gases tóxicos y su causas y
impacto dentro de la empresa
5.2.2.2 Cortes eléctricos
Corte temporal del suministro de energía eléctrica por parte de la compañía
suministradora. El corte puede ser de corta duración o puede llegar a ser
de varios días.
5.2.2.3 Agua
Corte temporal del suministro de agua por parte de la compañía
suministradora. El corte puede ser de corta duración o incluso de varios días y
su impacto dentro de la empresa
5.2.2.4 Refrigeración (AIRE ACONDICIONADO)
Fallos en el normal funcionamiento y su Impacto dentro de la empresa
5.2.2.5 Comunicaciones
Corte temporal en los sistemas de comunicación de la empresa debido a
un problema externo (puede deberse a un fallo de la compañía
telefónica suministradora). El corte puede ser de corta duración (un día) o
más extenso (varios días) y su impacto dentro de la empresa
5.2.3 Hardware
Amenazas debidas a problemas en el equipamiento físico de la empresa.
Pueden ser controladas.
5.2.3.1 Fallo de servidores
Fallo temporal en alguno o todos de los servidores de la empresa y su Impacto
dentro de la empresa.
5.2.3.2 Fallo de estaciones PC
Fallo temporal en alguna o todas las estaciones de trabajo de que dispone
la empresa y su impacto dentro de la empresa
5.2.3.3 Fallo de portátiles
Fallo temporal en alguna o todas las estaciones de trabajo portátiles de que
dispone la empresa y su impacto dentro de la empresa
5.2.4 Software
Fallos debidos a amenazas que pueden afectar al Software que emplea la
empresa para desarrollar su actividad de negocio. Pueden ser evitados.
5.2.4.1 Errores en los SSOO
Errores internos de los Sistemas Operativos instalados en los equipos de los que
dispone la empresa y su impacto dentro de la empresa
5.2.4.2 Errores en las Bases de Datos
Errores internos en las Bases de Datos instalados en los equipos de los que
dispone la empresa y su impacto dentro de la empresa
5.2.4.3 Errores en las aplicaciones
Errores internos en las diferentes aplicaciones instalados en los equipos de
los que dispone la empresa y su impacto dentro de la empresa
5.2.4.4 Errores en los elementos de seguridad
Errores en los elementos de seguridad que dispone la empresa, puede
tratarse de errores Software tales como fallo de antivirus o firewall, o
errores en los elementos físicos tales como fallo de las alarmas, etc. y su
impacto dentro de la empresa
5.2.5 Red LAN y WAN
Fallos debidos a amenazas que pueden afectar a las comunicaciones tanto
internas como externas de la empresa.
5.2.5.1 Red interna
Fallos en las comunicaciones de la red interna debidos a caídas temporales
de ésta y su Impacto dentro de la empresa
5.2.5.2 Sistemas de seguridad de las comunicaciones
Errores en los sistemas que aseguran que las comunicaciones de la empresa
se van a poder realizar sin problemas y además no existen terceras
personas ajenas a la organización que intercepten esas comunicaciones y su
impacto dentro de la empresa
5.2.5.3 Redes públicas ajenas
Fallos de la empresa suministradora de servicios de red y que provoquen
una pérdida en los servicios de conexión de la organización hacia el exterior y
su Impacto dentro de la empresa.
5.2.6 Copias de seguridad
Problemas en los soportes de Backup que tengan como consecuencia el daño
o la pérdida de la información que ha sido duplicada en esos soportes
de copias de seguridad.
5.2.6.1 Fallos en soportes de copias de seguridad
Fallos en los soportes donde han sido almacenadas copias de seguridad,
debido a los cuales se produce un daño o una pérdida de información
útil para el negocio de la empresa y su Impacto dentro de la empresa
5.2.7 Información
Qué problemas pueden afectar a la información almacenada dentro de
la empresa, la cual es valiosa para llevar a cabo los procesos de negocio.
5.2.7.1 Ficheros (ARCHIVO)
Fallos o pérdidas de los ficheros donde se almacena la información valiosa
de la empresa y su impacto dentro de la empresa
5.2.7.2 Procedimientos de seguridad de la información
Fallos en los procedimientos de seguridad para salvaguardar la información
y evitar daños o pérdidas y su impacto dentro de la empresa
5.2.7.3 Planes de contingencia
Fallos en los planes de contingencia ideados para salvaguardar la
información y evitar daños o pérdidas y su impacto dentro de la empresa
5.2.8 Personal
La mayoría de los ataques informáticos a una empresa provienen desde
dentro de la misma perpetrados por sus propios empleados. Es importante
contar con estrategias de control de los empleados, así como de las acciones
que realizan en el sistema.
5.2.8.1 Errores y ataques de personal interno
El personal que trabaja en la empresa puede provocar fallos en los sistemas
de la empresa o pérdidas de información debido a falta de formación,
falta de conocimiento, mala intencionalidad y su impacto dentro de la
empresa
5.2.8.2 Errores y ataques de personal externo
Personas ajenas a la empresa pueden querer dañarla por algún motivo por
lo que es necesario preparar a la organización para evitar ataques externos a
sus sistemas y su impacto dentro de la empresa
5.2.9 Riesgos contra el patrimonio
5.2.9.1 Robo
Cualquier empresa puede ser objetivo de un robo debido a que en
sus dependencias suelen tener material valioso e incluso dinero y su impacto
dentro de la empresa
5.2.9.2 Pérdida no intencionada de activos
A pesar de que en todas las empresas intentan proteger al máximo sus activos,
éstos pueden estar en peligro debido a fallos no intencionados del personal y
su impacto dentro de la empresa
6. ANÁLISIS DE VULNERABILIDADES
6.2 Identificación de vulnerabilidades
En este apartado se van a identificar todas las vulnerabilidades de la empresa.
La vulnerabilidades pueden deberse a fallos de seguridad de la
propia empresa o fallos de seguridad en los productos suministrados por
terceras empresas.
6.2.1 Vulnerabilidades relacionadas con desastres naturales
6.2.2 Vulnerabilidades relacionadas con amenazas estructurales
6.2.3 Vulnerabilidades relacionadas con el Hardware
6.2.4 Vulnerabilidades relacionadas con el Software
6.2.5 Vulnerabilidades relacionadas con las redes de comunicación
6.2.6 Vulnerabilidades relacionadas con las copias de seguridad
6.2.7 Vulnerabilidades relacionadas con la información
6.2.8 Vulnerabilidades relacionadas con el personal
7. PLAN DE SEGURIDAD
7.2 Plan de seguridad
A la hora de realizar el análisis de la empresa, se han detectado ciertas
vulnerabilidades graves como por ejemplo que no exista un replicado de la
información, que no existan políticas de acceso a la información o la
más importante, que los responsables de la empresa no tengan conciencia
de la importancia de dotar a su empresa de unas adecuadas
medidas de seguridad para proteger la información de la misma.
7.2.1 Medidas aplicadas a desastres naturales
7.2.2 Medidas aplicadas a problemas estructurales
7.2.3 Medidas aplicadas a problemas de Hardware
7.2.4 Medidas aplicadas a problemas de Software
7.2.5 Medidas aplicadas a problemas de red
7.2.6 Medidas aplicadas a problemas de las copias de seguridad
7.2.7 Medidas aplicadas a problemas con la información
7.2.8 Medidas aplicadas a problemas con el personal
8. RECOMENDACIONES FINALES
9. PLANIFICACIÓN
10. PRESUPUESTO
11. CONCLUSIONES
BIBLIOGRAFIA
ANEXOS
