Solución de la Tarea para SEGI01.

Una empresa dedicada a desarrollar software a medida en el ámbito industrial desea contratarte para que gestiones algunos aspectos relacionados con la seguridad de la empresa.

Responde a las siguientes cuestiones relacionadas con tu función:

1. En la empresa, podrían emplearse diferentes medidas de seguridad. Cita un ejemplo de herramientas o medidas, para cada tipo según la clasificación de seguridad que has visto en la unidad.

• Seguridad activa: instalación de un antivirus.
• Seguridad pasiva: realización de copias de seguridad de los datos.
• Seguridad lógica: instalación de parches en el sistema operativo.
• Seguridad física: utilizar regletas protectoras.

2. Si se produce una inundación en una oficina. ¿Podría poner en peligro la integridad, disponibilidad o confidencialidad de la información? Razona tu respuesta para cada uno de los tres aspectos.

Sí, por ejemplo podrían quedar dañados los discos duros y llegar a perderse información. Su disponibilidad por tanto también podría verse afectada en caso de no tener copias de respaldo. En cuanto a la confidencialidad, a priori una inundación no es algo que le vaya a afectar directamente.

3. Tu jefe o jefa te ha dicho que debes encargarte de la política de seguridad de la empresa. ¿Cuál es su principal objetivo?

Mediante la política de seguridad, se define la manera de hacer un buen uso de los recursos hardware y software de la organización. Esto se logra, en primer lugar concienciando a todo el personal en lo relativo a seguridad y además, fijándome en una serie de indicadores, como son:

• Identificando las necesidades de seguridad.
• Detectando las vulnerabilidades y el riesgo que entrañan en caso de ser aprovechadas por un atacante.
• Estableciendo diferentes procedimientos para afrontar los problemas que puedan surgir, etc

4. A la hora de gestionar los riesgos es necesario determinar ciertos elementos, como por ejemplo las vulnerabilidades del sistema. Pon un ejemplo que puedas encontrar en dicho entorno empresarial de:

• Vulnerabilidad: archivos que contienen información importante están almacenadas en un equipo al que tienen acceso varias personas y además no existe copia de seguridad de dichos archivos.
• Amenaza: los datos podrían ser borrados intencionada o accidentalmente.
• Impacto: la pérdida de los datos se puede traducir en importantes pérdidas económicas.

5. En tus primeros días de trabajo has recibido una pequeña formación en la que el ponente mencionó que el factor humano es el eslabón más débil de la cadena en lo relativo a seguridad, ¿qué crees que quería decir con ello? Explica tu respuesta.

Quiere decir que a veces no es suficiente con tomar medidas a nivel de tecnología teniendo en cuenta que no hay mayor vulnerabilidad que un empleado o empleada sin un mínimo formación en seguridad y sobre todo, sin sentido común.

Una situación extrema que podría ilustrar este hecho, es el de un empleado o empleada en su oficina con un “post-it” pegado a la pantalla que contiene su clave de acceso a la intranet de la empresa. Un error humano de este tipo echa por tierra todas las medidas de seguridad que se hayan tomado a nivel de tecnología.

6. Un joven pirata informático se hace con el control de la página de la empresa y trata de extorsionarla exigiéndole una cantidad de dinero para recuperar la página. La policía acudió al domicilio del joven y se llevó los ordenadores desde los que se realizaron los ataques.

Tu jefe o jefa te ha encargado que elabores un pequeño informe a modo de reseña, respecto al hecho que ha acontecido. Utiliza para ello la terminología que has aprendido en la unidad. Resalta en negrita los términos que has aprendido a lo largo de la unidad.

Se trata de un joven hacker que comprometió a la empresa atentando contra la disponibilidad de su página web, quedando ésta inoperativa. La policía se llevó los equipos desde los que el joven realizó el ataque, previsiblemente aprovechando alguna vulnerabilidad en el servidor.

Es posible que dicha vulnerabilidad se hubiese detectado antes de haber llevado a cabo una auditoría de seguridad.

7. La empresa posee multitud de datos personales de su clientela. ¿Crees que podrían solicitar que se eliminasen permanentemente de su fichero? En caso afirmativo, ¿Cómo se denomina éste derecho? ¿Qué otros derechos tienen los usuarios y usuarias?

Sí, estaría ejerciendo mi derecho de cancelación. Además, están los derechos de acceso, rectificación y oposición. En la LOPD, son lo que se conoce como derechos ARCO.

8. Como ya sabrás, la LSSI impone una serie de obligaciones a las empresas y como responsable de seguridad, también deberás ser conocedor o conocedora de las mismas y velar por su cumplimiento para evitar que la empresa sea sancionada. Enumera al menos tres obligaciones que impone la LSSI para:

a) Una empresa de venta de material informático a través de Internet.

• NIF, domicilio, dirección de correo electrónico, teléfono o fax.
• Precios de los productos indicando impuestos y gastos de envío.
• Datos sobre la autorización administrativa necesaria para prestar los servicios que ofrezca la empresa.

b) Un proveedor o proveedora de Internet.

• Colaborar con organismos públicos apara ejecutar resoluciones que precisen de su ayuda.
• Informar a los usuarios y usuarias para aumentar la seguridad en el entorno informático.

c) Una empresa que tiene un portal con publicidad.

• El o la anunciante debe identificarse con claridad.
• Debe reconocerse el carácter publicitario del anuncio de forma inequívoca.
• En caso de realizar concursos o juegos promocionales las condiciones deberán estar expresadas claramente.

9. Un diseñador o diseñadora de la empresa, está realizando un tríptico con información y para ello está utilizando imágenes que encuentra en Internet, pero le surgen dudas sobre su tipo de licencia y sus restricciones a la hora de utilizarlas para el tríptico. Suponiendo que pretende utilizar una imagen con licencia CC BY-NC-SA, responde cual de las siguientes acciones podría realizar sobre dicha imagen:

1. Retocar la imagen añadiéndole algunos filtros, recortándola, etc.
2. Utilizarla con fines comerciales.
3. Redistribuirla con una licencia CC by.

• Hacer una mezcla con la canción añadiéndole algunos efectos de sonido: estaría permitido siempre que se reconozca su autoría.
• Utilizarla con fines comerciales: con este tipo de licencia no se podría darle un uso comercial.
• Redistribuirla con una licencia CC by: la explotación de la obra en este caso (Compartir igual – SA) implica que las obras derivadas mantengan siempre la misma licencia al ser divulgadas.

10. Un empleado o empleada de una empresa deja un disco externo en una silla de un bar mientras se toma un café y en un momento de despiste se lo roban. Dicho disco contenía información de la empresa, datos de clientes y clientas, etc. En tal situación, ¿Crees que tiene mayor importancia la pérdida del dispositivo en sí o de los datos? Razona tu respuesta.

En tal situación lo de menos sería el valor económico del disco ya que dependiendo de que datos sean desvelados la empresa puede correr un gran peligro. Pongamos como ejemplo una innovadora idea que está a punto de llevar a cabo la empresa y que dicha idea no esté registrada ni patentada, siendo susceptible de ser llevada a cabo por otra empresa.

También el hecho de perder ciertos datos personales de terceras personas puede suponer una importante sanción económica.

Una vez realizada la tarea elaborarás un único documento donde figuren las respuestas correspondientes. El envío se realizará a través de la plataforma de la forma establecida para ello, y el archivo se nombrará siguiendo las siguientes pautas:

apellido1_apellido2_nombre_SIGxx_Tarea

Asegúrate que el nombre no contenga la letra ñ, tildes ni caracteres especiales extraños. Así por ejemplo la alumna Begoña Sánchez Mañas para la primera unidad del MP de SEGI, debería nombrar esta tarea como...

sanchez_manas_begona_SEGI01_Tarea