proyecto de auditoria de seguridad
TRANSCRIPT
-
7/23/2019 Proyecto de Auditoria de Seguridad
1/49
IES Gran Capitn
Departamento de InformticaCiclo Formativo de Grado Superior de
Administracin de Sistemas Informticos
Mdulo de Proyecto Integrado
Pedro Fernndez Fernndez 2ASIR
Proyecto: Auditora de Seguridad
Curso 2014/2015
-
7/23/2019 Proyecto de Auditoria de Seguridad
2/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
1
ndice
1.- Introduccin ............................................................................................................................. 2
2.- Objetivos y requisitos del proyecto ......................................................................................... 3
2.1- Objetivos generales ............................................................................................................ 3
2.2- Objetivos especficos .......................................................................................................... 3
2.3- Alcance ............................................................................................................................... 3
3.- Plan de trabajo ......................................................................................................................... 4
4.- Estudio previo .......................................................................................................................... 5
4.1- Estado actual ...................................................................................................................... 5
4.2- Anlisis y valoracin de Riesgos ......................................................................................... 6
4.3- Cules son los servicios esenciales? ................................................................................. 7
4.4- Qu repercusin tendran en caso de no estar en funcionamiento? .............................. 74.5- A qu riesgo se exponen los servicios y qu coste econmico supondran? ................... 8
4.5.1- Qu puede ocurrir? ................................................................................................... 8
4.5.2- Con qu frecuencia y eficacia puede ocurrir? ........................................................... 8
4.5.3- Cules seran sus consecuencias? ............................................................................. 9
4.6- Jerarquizacin de las Aplicaciones y Recursos ................................................................. 11
5.- Identificacin de las posibles causas de fallos ....................................................................... 12
6.- Estudio de soluciones existentes ........................................................................................... 23
6.1- Plan de contingencia ........................................................................................................ 23
6.1.1- Actividades previas al desastre. ................................................................................ 23
6.1.2- Actividades durante el desastre. ............................................................................... 36
6.1.3- Actividades despus del desastre. ............................................................................ 38
6.2- Medidas contra riesgos de fuerza mayor: ....................................................................... 40
7.- Documentacin ...................................................................................................................... 41
7.1- Documento de Seguridad ................................................................................................ 41
7.2- Documento del Plan de Contingencia. ............................................................................. 42
8.- Difusin y mantenimiento ..................................................................................................... 44
9.- Conclusin y soluciones ......................................................................................................... 44
10.- Referencias / bibliografa ..................................................................................................... 46
11.- Anexos .................................................................................................................................. 46
ANEXO I ................................................................................................................................... 46
ANEXO II .................................................................................................................................. 47
ANEXO III ................................................................................................................................. 47
-
7/23/2019 Proyecto de Auditoria de Seguridad
3/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
2
1.- Introduccin
La informtica es un recurso de uso cada vez ms extendido, esta tecnologa brinda
ventajas y rendimiento a las empresas y organismos pblicos respecto a otras similares
en el sector, pero su mal uso puede originar costos y desventajas si el personal no lo
administra de forma correcta.
Por lo que la solucin est en realizar evaluaciones de forma completa y precisa de la
informtica, por parte del personal cualificad tales como auditores en informtica,
consultores externos o realizadas por el mismo personal de informtica de forma
peridica.
Surge la necesidad de realizar auditaras a las funciones informticas, ya que de forma
absoluta se ha convertido en una herramienta permanente y necesaria de los procesos
principales de los negocios y organismos pblicos siendo pues un aliado confiable y
oportuno. Esto es posible si se implementan los controles y esquemas de seguridad
requeridos para su aprovechamiento ptimo. Se debe comprender la importancia de
contar con un estudio de evaluacin que asegure y promueva el buen uso y
aprovechamiento de la tecnologa de informtica, pudiendo delegar este en personal
altamente cualificado para ejercer la auditora en informtica dentro de la organizacin
de manera formal y permanente.
En la actualidad existen grandes retos tanto dentro de la empresa privada como tambin
en los organismos pblicos, esto lleva ligado grandes infraestructuras de las cuales
debemos realizar evaluacin. En nuestro caso nos centraremos en la evaluacin del
departamento de informtica del I.E.S Gran Capitn. Por lo cual deberemos ajustar los
recursos existentes en l para alcanzar los objetivos marcados como parte de un
organismo pblico. Debido a esto se pretende hacer una auditora de una forma sencilla
y de est formar poder contribuir a mejorar el rendimiento y cumplimiento de las leyes.
El objetivo de llevar a cabo dicho proyecto es poder contribuir con el personal asignado
a administrar el departamento proporcionando algunas recomendaciones y
herramientas necesarias para cumplir dichos objetivos.
-
7/23/2019 Proyecto de Auditoria de Seguridad
4/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
3
2.- Objetivos y requisitos del proyecto
2.1- Objetivos generales
Revisar y evaluar los procedimientos de informtica; de los equipos informticos, suutilizacin, eficiencia y seguridad de la organizacin que participan en el procesamiento
de la informacin, a fin de proponer mejoras en la gestin y uso de la informacin como
de establecer unas pautas para las personas responsables del departamento y as poder
lograr un uso ms eficiente y seguro de la informacin.
2.2- Objetivos especficos
- Evaluar el conocimiento del personal sobre los requisitos.
- Comprobar el grado de confiabilidad de la informacin del departamento con
respecto a la ley de proteccin de datos.
- Evaluar la forma en la que se administran los dispositivos de almacenamiento del
rea de informtica y sus respectivas copias de respaldo.
- Evaluar el control que se tiene sobre posibles fallas y proponer un plan de
contingencia adecuado.
- Evaluar el nivel del cumplimiento de las labores asignadas al personal responsable.
2.3- Alcance
Los lmites que alcanzara la realizacin de la auditora los cual determinaran los
elementos que se van a revisar son los siguientes:
- Revisin de los equipos.
- Revisin de la ubicacin de los equipos que prestan servicios o contieneninformacin transcendental para el departamento.
- Revisin del de los procedimientos generados en la realizacin de copias de
respaldo.
Estas revisiones se llevaran a cabo con el fin buscar posibles carencias en el
cumplimiento de las normas y leyes que regulan dichas actividades. Para poder ofrecer
posibilidades mejoras y soluciones.
-
7/23/2019 Proyecto de Auditoria de Seguridad
5/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
4
3.- Plan de trabajo
CRONOGRAMA DE LA AUDITORA
ENTIDAD:Departamento de Informtica (IES Gran Capitn)Fecha:
15-06-2015
FASE ACTIVIDAD HORAS ENCARGADOS
1
VISITA PREVIA
Solicitar manuales y documentacin de seguridad.
Elaborar cuestionarios
Recopilar de informacin:
- Estructura organizativa.
- Recursos humanos presupuestos.
12Pedro
Fernndez
2
DESARROLLO DE LA AUDITORA Aplicar los cuestionarios al personal.
Entrevistas al personal ms relevantes del
departamento.
Anlisis de control, seguridad, confiabilidad y
respaldo.
Evaluacin de la estructura orgnica del
departamento de informtica.
Evaluacin de los Recursos Humanos y econmicos. Evaluacin de los sistemas.
Evaluacin del Procesamiento de datos y de los
equipos: seguridad de los datos, control de las
operaciones, seguridad fsica y procedimientos de
respaldo.
30Pedro
Fernndez
3
REVISIN Y PRE-INFORME
Revisin del trabajo realizado.
Determinar la Evaluacin para propuesta de mejoras.
15Pedro
Fernndez
4INFORME
Elaborar y presentar el informede mejoras.10
Pedro
Fernndez
-
7/23/2019 Proyecto de Auditoria de Seguridad
6/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
5
4.- Estudio previo
4.1- Estado actual
En lo que se refiere al tratamiento de datos de carcter personal el departamento
nicamente maneja datos del alumnado en formato digital. Informacin que los
profesores extraen copias temporales en memoria USB y equipos personales de la
plataforma Seneca y Moodle. Entre los profesores comparten esta informacin va
Internet mediante E-mail o Google Drive. Estos ficheros no estn inscritos en el Registro
de Proteccin de Datos.
De esta informacin a las nicas terceras personas que se ceden datos de carcter
personal es a las empresas colaboradoras con la FCT. Pero no existe ningn contrato
con terceras personas ya que nadie externo realiza ningn tratamiento de dicha
informacin.A los alumnos de los cuales se recogen datos de carcter personal mediante el
cuestionario de principio de curso y en la plataforma Moodle, los cuales cumplen con la
LOPD en cuanto a recoger nicamente los datos pertinentes y no excesivos para la
finalidad para la cual son recogidos. En los cuales no se recoge ningn dato de carcter
especialmente sensible (salud, religin, etc.). Pero los cuales no se informa de la
finalidad de los datos de donde sern almacenados ni de sus derechos fundamentales
de gestin de dichos datos a los alumnos afectados.
El acceso donde se gestiona y almacena la informacin de carcter personal seencuentran en la nube protegido mediante usuarios y contraseas y en dispositivos
personales de los profesores los cuales no estn cifrados. Las contraseas de acceso
a los recursos del departamento se encuentran guardadas en la web ClipperZ. A dems
el acceso al departamento y a los distintos servidores locales se encuentran protegidos
en armarios y puertas con llave. Los alumnos solo tienen acceso a los datos que los
profesores les proporcionan de los cursos que estn matriculados mediante la
plataforma educativa Moodle.
De la informacin de carcter personal de los alumnos no se tiene establecida ningunapoltica de copias de seguridad ni se realizan copias de seguridad ya que se utilizan
ficheros temporales de los ficheros originales de Seneca o de la plataforma Moodle de
la cual si se tienen programadas copias de seguridad. Tampoco se tiene control de
posibles incidencias respecto a datos de carcter personal.
El departamento no tiene definido ningn documento de seguridad. La nica
informacin que los profesores tienen sobre la LOPD es obtenida de forma auto
-
7/23/2019 Proyecto de Auditoria de Seguridad
7/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
6
informativo por ellos mismos. A dems se es consciente de las posibles sanciones que
conllevan el incumplimiento de la LOPD.
Las copias de seguridad de las que dispone el departamento en la actualidad son
realizadas mediante rsync de la plataforma Moodle alojada en Interdominios y de la
Web del centro. Estas copias consisten en una copia total los domingos y a partir de
esta una incremental diariamente.
Los puntos ms importantes que afectaran al normal funcionamiento de las actividades
del departamento para tener en cuenta en la elaboracin de un plan de contingencia
ante posibles fallos son los siguientes puntos nicos de fallo:
La conexin actual de la que dispone el departamento es la conexin de fibra ptica. La
nica red alternativa de la que se dispone es la red ANDARED de la Junta de Andaluca
con velocidad muy reducida.
El cortafuegos con software PfSense que se encuentra en el servidor fsico Titan en la
clase de 2 de DAW y funciona como filtro con las conexin externas de este servidor
se dispone de un clon ya configurado para usar en caso de fallo.
Si la conexin con el servidor Moodle se perdiese por un tiempo elevado el centro no
tendra manera de seguir prestando ese servicio.
El servidor de las mquinas virtuales al que se conectan los alumnos de DAW no
dispone de ningn mecanismo de recuperacin en caso de fallos.Los elementos de la red como los switch tambin podran verse afectada y en caso de
que estos fallasen dejaran inoperativa la red del aula. A dems existe un switch central
vlan que si sufriese un fallo se veran afectadas todas las aulas del departamento y del
cual no existe remplazo, ni documentacin de la configuracin de este dispositivo.
4.2- Anlisis y valoracin de Riesgos
El primer paso para realizar un plan de contingencia personalizado para el
departamento, ser realizar el anlisis para determinar los procesos esenciales para
este.
Para la evaluacin de riesgos a los haremos referencia a continuacin. Hemos
entrevistado a la Jefa del departamento. Para poder tener una visin exacta de la
situacin actual.
-
7/23/2019 Proyecto de Auditoria de Seguridad
8/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
7
4.3- Cules son los servicios esenciales?
Los servicios esenciales que el del departamento ofrece en su actividad educativa diaria
son los siguientes:
Moodle: Plataforma educativa la cual el departamento usa para distribuir material
didctico entrega de prcticas y realizacin y recogida de algunos de los exmenes
El servidor web: En esta Web se encuentra la oferta educativa ofrecida al pblico,
calendarios escoleras y entre otros el blog de informtica Sysblog.
Mquinas virtuales DAW: Estas mquinas virtuales se alojan en un servidor local
(Calipso) estas mquinas virtuales son el medio de trabajo de los alumnos de DAW que
establecen conexiones a este mediante terminales ligeros.
4.4- Qu repercusin tendran en caso de no estar en funcionamiento?
Moodle:
Si Moodle que se encuentra en un servidor externo al departamento sufriese algn fallo.
Sera un problema muy grave para el departamento. Ya que los profesores perderan
el material didctico con el que imparten las clases, las prcticas de los alumnos junto
con posibles exmenes entregados por estos para su correccin mediante esta
plataforma.
El servidor web:
Si fallase la web no sera un problema tan grave como Moodle pero si se requerira
poder restaurarla con la mayor brevedad posible ya que es la cara visible a la gente
que busque informacin sobre la oferta educativa, consulte los calendarios o visite el
blog.
Mquinas Virtuales DAW
No se podran impartir clases en las aulas de DAW con los equipos habituales con losque se realizan habitualmente ya que no podran cargar sus sistemas operativos. Pero
no se perdera informacin ya que los trabajos que realizan en ellos son retirados por
los alumnos diariamente en dispositivos USB.
-
7/23/2019 Proyecto de Auditoria de Seguridad
9/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
8
4.5- A qu riesgo se exponen los servicios y qu coste econmico supondran?
Para responder esta pregunta la hemos dividido en tres apartadores. Que puede ocurrir,
la frecuencia con la que puede ocurrir y sus consecuencias.
4.5.1- Qu puede ocurrir?
Uno de los factores que pueden afectar a los servicios del departamento son los
relacionados directamente con la informtica:
Virus, que daen los equipos y archivos.
Accesos no autorizados, filtrndose datos no autorizados.
Ataques informticos, que produzcan la denegacin de algn
servicio del departamento.
A dems de los anteriores riesgos tambin existe la posibilidad de sufrir daos
como el vandalismo, el robo de material o datos.
Otro punto a tener en cuenta son los fallos que puedan suceder como pueden
ser los fallos humanos o errores en los equipos que daen la informacin o
equipos.
Por ultimo debemos contemplar tambin los riesgos de causa mayor como
pueden ser los incendios, las inundaciones o terremotos que puedan destruir los
equipos y los archivos.
4.5.2- Con qu frecuencia y eficacia puede ocurrir?
Los riegos informticos anteriormente mencionados tienen varios niveles de
probabilidades de ocurrencia por eso los clasificaremos por separado.
La accin de virus en los ordenadores personales tiene un nivel de riegos medio
pero bajo en los equipos servidores ya que se tienen cerrado los puertos que no
estn en uso y protegidos tras un Firewall.
La posibilidad de accesos no autorizados es de un nivel medio-alto por intento
de usurpacin de identidad por parte de alumnos o gente externa para realizar
cambios para su beneficio (modificacin de notas, mirar exmenes etc.), como
reto o producir dao
Para finalizar la evaluacin de los riegos de ataque informticos que provoquen
la denegacin de alguno de los servicios es bajo-medio ya que estos se
-
7/23/2019 Proyecto de Auditoria de Seguridad
10/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
9
encuentran en los equipos ms protegidos de la red mediante Firewall y filtrado
de puertos.
La posibilidad de sufrir grandes prdidas por vandalismo es baja pero a pequea
escala esta puede aumentar.
A los que robo de datos se refiere el nivel de riesgo es medio ya que los alumnos
pueden ingeniar mtodos para el robo de informacin mientras que la
probabilidad de sufrir robos comunes ( materiales) es bajo ya que el centro
cuenta con alarma antirrobo y las inmediaciones de este estn valladas adems
cuenta con vigilado durante todo el da.
El riesgo de sufrir fallos en los equipos o humanos es bajo ya que estos son
relativamente nuevos y las personas que trabajas en el departamento es
personal cualificado.
Las causas de fuerza mayor como incendios inundaciones y terremotos tendran
mucha repercusin pero estas tiene un nivel muy bajo de posibilidades.
4.5.3- Cules seran sus consecuencias?
Por parte de los riesgos relacionados con la informtica la acciones y riesgos de
virus puede ser variada. Pero el nivel de consecuencias por regla general no
suele tener efectos muy graves. Aunque actualmente existen una serie de virus
criptogrficos ms sofisticados que encriptan los equipos y se propagan por la
red local, el cual sufrir sus efectos si tendra un nivel de consecuencias mselevado. Siguiendo con los riesgos informticos nos encontramos el acceso no
autorizado a la informacin esto puede generar cambios importantes como
puede ser la configuracin de red, la modificacin de la informacin sobre el
alumnado (trabajos, exmenes, notas, borrar informacin, etc.). Por ultimo en
esta categora los ataques que denegasen algn tipo de servicio tendran un nivel
de repercusin bajo-medio a no ser que este se prolongase en el tiempo.
Las consecuencias del vandalismo serian perdidas econmicas de los materiales
daados. Sus consecuencias son la misma que el robo comn estas no
supondran gran problema ya que por lo general no se dispone de objetos de
gran valor
Por otra parte ser encuentra el robo de datos. Este puede generar unas
consecuencias de nivel medio ya que se haran pblicos los datos acadmicos
trabajos y exmenes que guarda el departamento.
Las consecuencias de una equivocacin por parte del personal pueden provocar
fallos en la configuracin de la red o prdida de informacin importante de los
-
7/23/2019 Proyecto de Auditoria de Seguridad
11/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
10
alumnos como notas o exmenes por lo que toma un nivel medio de
consecuencias.
Los fallos de los equipos de sobremesa no tendran gran repercusin ya que este
puede sustituirse en un breve plazo de tiempo o usar otro equipo. Pero a nivel
de equipos servidores sera ms graves a continuacin de muestra una lista delas consecuencias de la perdida de cada uno de los servidores
- Jpiter:
Perdida de servidor DNS gcap.net
Perdida Mquinas Virtuales de prcticas de DAW y ASIR
Perdida de proyectos integrados
Perdida aplicacin de biblioteca he inventarios
Nivel de consecuencias: La prdida del servidor Jpiter serian de un nivel medio-alto
- Calisto
Perdida servidor de Mquinas Virtuales de los terminales ligeros de DAW
Prdida de la resolucin DNS y las Mquinas Virtuales
Perdida del Proxys inverso que permite el acceder a los servidores desde el
exterior
Nivel de consecuencias Es el servidor ms caro y el que ms importante lasconsecuencias que tendra para el departamento su perdida seran muy graves.
- Titan
Perdida del Cortafuegos (PfSense)
Nivel de consecuencia: Se comprometiera la seguridad y la red interna del centro
dejara de funcionar por lo cual toma un nivel medio-alto junto a Jpiter.
- Ganimedes
Perdida del repositorio del departamento
Nivel de consecuencias: La prdida del servidor Ganimedes serian de un nivel
medio.
Las consecuencias de los riesgos de causa mayor como incendios, inundaciones
y terremotos serian de unas consecuencias muy graves ya que estos produciran
-
7/23/2019 Proyecto de Auditoria de Seguridad
12/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
11
la destruccin del material y la informacin por completo las prdidas
econmicas y de datos seran muy elevadas.
Lista de riegos y niveles
Riesgo\Nivel Frecuencia Eficacia Consecuencias
Virus Media Media-baja Media
Accesos no autorizados Media-alta Media Media-Alta
Ataques informticos Media Media Media-Baja
Vandalismo Baja Media-alta Baja
Robo comn Baja Media Baja
Robo de datos Medio Media-Baja Media
Fallos humanos Baja Media Media
Fallos de los equipos Media Media-alta
Jpiter: Media-alta
Calisto: Muy Alta
Titan: Media-alta
PCs: Baja
Incendios Baja Alta Muy Altas
Inundaciones Baja Alta Altas
Terremotos Muy baja Alta Muy Altas
4.6- Jerarquizacin de las Aplicaciones y Recursos
A continuacin se enumera una lista con las aplicaciones, recursos y sistemas ms
relevantes para el departamento, que pueden ser crticos frente a cualquier eventualidad
o desastre. De forma que se establezca una jerarqua de importancia dentro del
departamento.
-
7/23/2019 Proyecto de Auditoria de Seguridad
13/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
12
Nmero RecursoImportancia del recurso
(1-5)
Posibilidad de amenaza
(1-5)
1 Moodle 5 3
2 MVs DAW 5 3
3 Servidor Web 3 4
4 DNS gcap.net 2 2
5 Inventario 4 2
6 MVs Profesores 2 3
7 Proxy inverso 3 3
8 Cortafuegos 4 3
9 PCs Departamento (1) 2 2
10 PCs DAW (2) 3 3
11 PCs ASIR(3) 3 3
(1) 3 equipos de los cuales 1 tiene el sistema operativo Windows 7 y 2 Ubuntu 14.04(2) 34 equipos de los cuales 24 son terminales ligeros y 10 tienen Ubuntu 14.04 y Windows 7 duales(3) 60 equipos nuevos con Ubuntu 14.04
5.- Identificacin de las posibles causas de fallos
Para determinar cules son los puntos dbiles que pueden comprometer la integridad
del departamento, vamos a examinar qu medidas se toman actualmente y cules
seran las medidas ms ptimas para los elementos que intervienen en el correcto
funcionamiento de las actividades del departamento.
Suministro elctrico:
Medidas actuales: Actualmente se dispone de un SAI para los
servidores. Pero se desconoce el estado de las bateras de este ni la
duracin sin suministro de la que se dispondra Medidas ptimas: Disponer de un dispositivo SAI para los equipos ms
importantes como servidores para casos en los que el suministro
elctrico falle durante varias horas poder seguir manteniendo los
servicios. Y poder realizar un apagado correcto de los servidores en
caso de que la falta de suministro se prolongase en el tiempo.
Fuentes de alimentacin de equipos servidores:
-
7/23/2019 Proyecto de Auditoria de Seguridad
14/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
13
Medidas actuales: Actualmente no se dispone de fuentes de
alimentacin redundantes, ni se dispone de fuentes de alimentacin de
repuesto. Ni de ninguna otra medida de seguridad en prevencin a la
perdida de las fuentes de alimentacin de los servidores.
Medidas ptimas: Disponer de fuentes de alimentacin redundante en
los servidores para en caso de fallo poder seguir en funcionando
mientras se repone la fuente de alimentacin estropeada sin interrumpir
el servicio.
Almacenamiento externo de servidores:
Medidas actuales: Actualmente solo se dispone de un RAID 5 en el
servidor Calisto. El resto de servidores no dispone de ningn tipo de
media de recuperacin de datos.
Medidas ptimas: Disponer de aquellos discos duros con contenido
esencial para el departamento sistemas de redundancia como RAID 1
o RAID 5 y copias de seguridad en dispositivos destinados al
almacenamiento en red (NAS).
Acceso a Internet:
Medidas actuales: Actualmente se dispone de la conexin a internet de
ANDARED y una lnea ADSL de fibra ptica con Telefnica.
Medidas ptimas: Disponer de 2 lneas ADSL contratadas en distintas
compaas con balanceo de carga con router (Mikrotik). Para usar una
u otra independientemente de que una de las dos deje de estar
operativa.
Switch:
Medidas actuales: No se dispone de ningn switch de repuesto ni del
switch central Vlan ni de los switches de las aulas
-
7/23/2019 Proyecto de Auditoria de Seguridad
15/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
14
Medidas ptimas: Se pueden distinguir dos tipos de switch uno principal
vlan del cual dependen toda la red del departamento y los switches a
los que se conectan los equipos de las aulas.
a) Se dispondr de un segundo switch vlan de las mismas
caractersticas que el que se encuentra en uso. Y preparado con la
misma configuracin que el que est en funcionamiento. Para en
caso de que este falle poderlo remplazarlo por este sin perder la
configuracin del switch original.
b) Para asegurar el funcionamiento diario de la redes de las aulas se
contara con un par de switches de reserva de los switches de estas.
Acceso Moodle:
Medidas actuales: De la plataforma Moodle si se dispone de copia local
totales realizadas los fines de semana e incrementales diarias que se
puede restaurar en los servidores locales en caso de que fallase la
conexin al servidor externo
Medidas ptimas: Realizar una copia totales semanalmente eincremental diaria, almacenadas en los servidores locales, la copia total
se llevara a cabo los das del fin de semana, y ambos tipos de copia se
realizaran durante la madrugada. Para evitar al mximo los accesos a
la base de datos, evitando as daos y que esta pueda corromperse.
Para en caso de que la conexin o el servidor remoto fallase poder tener
acceso a la plataforma Moodle de forma local,
Mquinas Virtuales en produccin:
Medidas actuales: Las medidas de seguridad actuales de las mquinas
virtuales actualmente son inexistentes.
Medidas ptimas: Al utilizarse Proxmox para la virtualizacin solo nos
permite hacer copias totales de las mquinas virtuales. Y como el
espacio del NAS est limitado a 2TB se realizaran copias totales diarias
-
7/23/2019 Proyecto de Auditoria de Seguridad
16/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
15
durante la noche. Pero solo se almacenaran las copias de los dos
ltimos das en el NAS.
Cortafuegos:
Medidas actuales: Actualmente se dispone de un cortafuegos de
reserva configurado como el actual cortafuegos Titan en el que se
implementa el software PfSense.
Medidas ptimas: La medidas ms ptimas para el cortafuegos seria
disponer de un cortafuegos de reserva configurado de la misma forma
y con el mismo software que es que esta en uso. Por si la mquina
servidora que lo contiene se estropease. O bien realizar una copia totalcada 30 das y una diferencial semanalmente aproximadamente ya que
la configuracin del cortafuegos no se modifica frecuentemente. Para
en caso de sufre un fallo de software poder restaurar el cortafuegos en
el mismo servidor fsico.
Proxy inverso:
Medidas actuales: De la mquina virtual de proxy inverso no se tienecopia de respaldo en caso de necesidad de reconstruccin de la misma.
Medidas ptimas: Disponer de este servicio duplicado en otra mquina
virtual para poder ponerlo en marcha en caso del que el principal fallase.
Servidor Web:
Medidas actuales: De la web si se dispone de copias de respaldo totales
realizadas los fines de semana e incrementales diaria.
Medidas ptimas: Disponer de este servicio duplicado en otro servidor
para en caso de que uno de los dos servidores web fallase. Se re-
direccione al otro servidor Web. A dems se debe salvaguardar la web
realizando copias totales semanales e incrementales diarias.
-
7/23/2019 Proyecto de Auditoria de Seguridad
17/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
16
Incendios:
Medidas actuales: En la actualidad el departamento y sus aulas dispone
de extintores de polvo pero no cuenta con extintores para equipos
electrnicos de CO2.
Medidas ptimas: Disponer en primer lugar de los equipos antiincendios
adecuados y revisados. Manteniendo al personal debidamente
informado y formados en materia de prevencin y extincin de
incendios, realizando las charlas y cursos necesarios para la formacin
de los mismos. A dems como medida de seguridad se plantean dos
opciones mantener copias de la informacin esencial en discos durosguardados dentro de cajas ignfugas o disponer de dichas copias fuera
de las instalaciones del departamento.
Inundaciones:
Medidas actuales: Actualmente la instalacin de servidores y equipos
informticos del departamento se encuentra elevado en un primer piso.
Medidas ptimas: Para prevenir daos por inundaciones lo ideal sera
evitar tener las partes sensibles a daos como los servidores en stanos
o planta baja para disminuir el riesgo de que estos se inunden.
Respecto a la ley de proteccin de datos identificamos:
Copias temporales de ficheros con datos de carcter personal:
Medidas actuales: Los profesores realizan copias temporales de los
ficheros de datos pero no se toman las medidas de seguridad oportunas
al nivel de seguridad asociados a dichos ficheros.
Medidas ptimas: Segn el Real Decreto 1720/2007, de 21 de
diciembre, las copias temporales requieren el mismo nivel de seguridad
que el fichero original. Por lo cual al tratarse de ficheros automatizados
-
7/23/2019 Proyecto de Auditoria de Seguridad
18/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
17
que requieren un nivel de seguridad bajo especificaremos dichas
medidas para este tipo de ficheros.
a) En primer lugar se debe definir y documentar las funciones y
obligaciones de cada usuario o perfil de usuario con acceso a
estos datos.
b) Adoptar las medidas necesarias para que el personal conozca
de una forma clara las normas de seguridad que afectan al
desarrollo de sus funciones y las consecuencias de
incumplirlas.
c) Generar un procedimiento de notificacin de incidencias queafecten a los datos de carcter personal. En el que conste el
tipo de incidencia, el momento en que se ha producido o
detectado, la persona que realizo la notificacin, a quien se le
comunica, los efectos que se hubieran derivado de la misma.
d) Establecimiento de mecanismos de control de acceso a los
datos.
e) Cumplir con las medidas relativas a la gestin de soportes que
contengan datos personales (identificacin, salidas, traslados
o destruccin).
f) Implantacin de un mecanismo que permita identificar de
forma inequvoca y personalizada de todo aquel usuario que
intente acceder al sistema de informacin.
g) Se deben hacer copias de respaldo de los datos de carcter
personal con una periodicidad mnima semanal. Salvo que
esta no haya sufrido modificaciones. Verificando cada seis
meses el correcto estado de los procedimientos de realizacin
de copias de respaldo.
-
7/23/2019 Proyecto de Auditoria de Seguridad
19/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
18
h) Prohibicin de realizar pruebas con datos reales si no se
asegura el nivel de seguridad correspondiente a dichos datos.
Notificacin a la Agencia Espaola de Proteccin de Datos:
Medidas actuales: Actualmente no se notifica ningn tipo de fichero de
carcter personal a la Agencia Espaola de Proteccin de Datos.
Medidas ptimas: Cuando se tienen ficheros de carcter personal estos
deben de notificarse a la Agencia Espaola de Proteccin de Datos.
Como se establece en el artculo 39 del Ttulo VI de la Ley Orgnica
15/1999, de 13 de diciembre. Para esto debemos acceder a la web
oficial de la Agencia Espaola de Proteccin de Datoswww.agpd.esyrellenar el formulario NOTA para notificarlos. Para ello seguiremos los
pasos de los manuales adjuntados en el ANEXO I del presente
documento.
Colaboracin con empresas externas:
Medidas actuales: Actualmente no se realiza contrato con las empresas
colaboradoras en categora de encargados de tratamiento de lainformacin.
Medidas ptimas: Al colaborar con empresas externas y ceder datos de
los alumnos como en el caso de la FCT. Dicha empresa se considerara
encargado del tratamiento. Esto debe estar regulado siguiendo el
artculo 12 de la Ley Orgnica de Proteccin de Datos mediante un
contrato por escrito como el que se adjunta en el ANEXO II del presente
documento en el que coste los datos sern tratados por el encargado del
tratamiento segn lasindicaciones recibidas por el responsable del fichero
y exclusivamente para la finalidad pactada entre ambas partes. Tambin
deben establecerse las medidas de seguridad que deber cumplir el
encargado del tratamiento para efectuar dicho tratamiento de datos
personales. Una vez finalizada la prestacin del servicio, los datos
personales a los que haya tenido acceso el encargado del tratamiento
debern ser devueltos al responsable del fichero.
http://www.agpd.es%20/http://www.agpd.es%20/http://www.agpd.es%20/http://www.agpd.es%20/ -
7/23/2019 Proyecto de Auditoria de Seguridad
20/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
19
Comunicacin de la recogida de datos de carcter personal para su posterior
tratamiento:
Medidas actuales: Actualmente no se comunica a ningn alumno de la
finalidad ni del tratamiento que recibirn sus datos de carcter personal
por parte del departamento.
Medidas ptimas: En el caso de la recogida de datos de carcter
personal y tratamiento de los mismos. No ser necesaria la
comunicacin a los alumnos de dicho procesamiento ya que en la Ley
Orgnica 15/1999 establece en su artculo 6.2 que La incorporacin
de un alumno a un centro docente supondr el consentimiento para eltratamiento de sus datos. Por tanto, no ser necesario el
consentimiento expreso y por escrito de los alumnos.
Acceso fsico a los datos de carcter personal:
Medidas actuales: Actualmente el acceso fsico a los datos de carcter
personal se encuentra protegido en instalaciones bajo llave o fuera del
centro.
Medidas ptimas: Segn el artculo 17 del Captulo III del Real Decreto
1720/2007 que establece los requisitos mnimos de seguridad, indica
que, Los sistemas se instalarn en reas separadas, dotadas de un
procedimiento de control de acceso. Como mnimo, las salas deben
estar cerradas y disponer de un control de llaves. Por lo cual se deben
proteger los datos de carcter personal almacenados en el
departamento bajo llave.
Almacenamiento de datos de carcter personal y dispositivos porttiles :
Medidas actuales: Actualmente los profesores si usan autentificacin
mediante usuarios y contraseas pero no se solicita autorizacin para
almacenar datos de carcter personal en dispositivos porttiles.
-
7/23/2019 Proyecto de Auditoria de Seguridad
21/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
20
Medidas ptimas: Segn el Ttulo VIII del Real Decreto 1720/2007 en el
que se especifica las medidas generales a todos los niveles de
seguridad indica que Cuando los datos de carcter personal se
almacenen en dispositivos porttiles o se traten fuera de los locales del
responsable de fichero o tratamiento o del encargado del tratamiento,
ser preciso que exista una autorizacin previa del responsable del
fichero o tratamiento, y en todo caso deber garantizarse el nivel de
seguridad correspondiente al tipo de fichero tratado. Por lo cual habr
que solicitar autorizacin al responsable del fichero mediante el
documento adjunta en el ANEXO III del presente documento. A dems
debe hacerse uso en cualquier caso de un sistema de usuarios y
contraseas que identifique en todo momento los usuarios que aceden
a la informacin.
Copia de seguridad de los datos de carcter personal :
Medidas actuales: El departamento guarda datos de carcter personal
en la plataforma Google Drive y Moodle de la cual se hacen copias
completas semanalmente e incremental diariamente.
Medidas ptimas: Segn el artculo 94 del Captulo III del Real Decreto
3/2010, de 8 de enero se debe:
a) Establecer procedimientos de actuacin para la realizacin
como mnimo semanalmente de copias de respaldo, salvo que
no se realicen modificaciones.
b) Establecer procedimientos para la recuperacin de los datos
que garanticen en todo momento su reconstruccin.
c) Verificar cada seis meses la correcta definicin,
funcionamiento y aplicacin de los procedimientos de
realizacin de copias de respaldo y recuperacin de los datos.
Por los cual se debe realizar copias como mnimo semanales de cualquier
otra plataforma que contenga datos de carcter personal. En el caso como
-
7/23/2019 Proyecto de Auditoria de Seguridad
22/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
21
el de Moodle que se encuentra externalizado se debe realizar copia locales
como mnimo con esta periodicidad. Para as poder restablecer la
informacin de carcter personal en un dispositivo local. Por ltimo se
deben realizar las labores de verificar del correcto funcionamiento de
dichos procedimientos de copias de respaldo y recuperacin con una
periodicidad mnima de seis meses notificando que todo el procedimiento
se realiza de forma correcta.
Almacenamiento de contraseas:
Medidas actuales: El departamento guarda actualmente las
contraseas en un servicio de internet gratuito llamado ClipperZ,que
no ofrece ninguna garanta. Medidas ptimas: A parte de las medidas tomadas en la actualidad por
el departamento, tambin se podran pagar un segundo servicio de
almacenamiento de contraseas de similares caracterstica a ClipperZ
como Kaspersky Password Manager que nos ofrezca ms opciones
de uso como sincronizacin de las contraseas en los ordenadores el
departamento y mayores garantas de servicio.
Documento de seguridad:
Medidas actuales: El departamento actualmente no tiene redactado
ningn documento de seguridad
Medidas ptimas: Segn el artculo 88 del Captulo II del Real Decreto
3/2010, de 8 de enero Toda organizacin que realice tratamiento de
datos de carcter personal debe redactar un documento de seguridad
que recoger las medidas de ndole tcnica y organizativa acordes a la
normativa de seguridad vigente.
El documento de seguridad para los ficheros de carcter personal del
departamento debe contener los siguientes aspectos mnimos
atendiendo al nivel de seguridad que estos requieren que en el caso del
departamento es de nivel bajo:
-
7/23/2019 Proyecto de Auditoria de Seguridad
23/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
22
a) mbito de aplicacin del documento con especificacin
detallada de los recursos protegidos.
b) Medidas, normas, procedimientos de actuacin, reglas y
estndares encaminados a garantizar el nivel de seguridad
exigido en este reglamento.
c) Funciones y obligaciones del personal en relacin con el
tratamiento de los datos de carcter personal incluidos en los
ficheros.
d) Estructura de los ficheros con datos de carcter personal y
descripcin de los sistemas de informacin que los tratan.
e) Procedimiento de notificacin, gestin y respuesta ante las
incidencias.
f) Los procedimientos de realizacin de copias de respaldo y de
recuperacin de los datos en los ficheros o tratamientos
automatizados.
g) Las medidas que sea necesario adoptar para el transporte desoportes y documentos, as como para la destruccin de los
documentos y soportes.
h) Cuando se produzcan tratamientos de datos por cuenta de
terceros, el documento de seguridad deber contener la
identificacin de los ficheros que se traten en concepto de
encargado
i) El documento de seguridad ser revisado siempre que se
produzcan cambios relevantes en el sistema de informacin,
en el sistema de tratamiento empleado, en su organizacin, en
el contenido de la informacin incluida en los ficheros o
tratamientos.
-
7/23/2019 Proyecto de Auditoria de Seguridad
24/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
23
Por los cual el departamento debe redactar con la mayor
brevedad posible un documento de seguridad para sus ficheros
con datos de carcter personal. Dicho documento podr ser nico
para todos los ficheros de carcter personal o especfico para
cada fichero o conjunto de ficheros.
6.- Estudio de soluciones existentes
Para buscar soluciones a los problemas a los se enfrenta el departamento en su
actividad diaria y que estas sean viables, tendremos que tener en cuenta los recursos
humanos y econmicos de los que este dispone.
Por lo cual habr que hacer balance entre los recursos que deben invertir para solventar
un problema y lo que supondra que este afectase al departamento. Para plantear lasolucin o soluciones ms adecuadas.
Las soluciones para el departamento no deben suponer un gran esfuerzo econmico ya
que el presupuesto de este es limitado. Adems la atencin requerida por parte de sus
responsables tampoco podr ser excesiva ya que estos deben cumplir con sus labores
educativas.
Como punto de partida debemos especificar el nivel de seguridad que requiere el
departamento atendiendo a las especificaciones espuertas en el Real Decreto
1720/2007, de 21 de diciembre es de nivel bajo.
6.1- Plan de contingencia
Establecimientos de requerimientos de recuperacin
A continuacin se definen las acciones que se deben tomar en el departamento para
protegerse, minimizar o recuperarse de los efectos de sufrir un desastre sea cual sea
su ndole. Las tres etapas en las que se divide este plan de contingencia son las
siguientes:
6.1.1- Actividades previas al desastre.
Estas pueden ser actividades de planteamiento, preparacin, entrenamiento y
ejecucin de las actividades de resguardo de informacin que nos asegure un
proceso de recuperacin con el menor costo y mayor eficacia posible, a
-
7/23/2019 Proyecto de Auditoria de Seguridad
25/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
24
continuacin sealamos una serie de acciones que son precisas de realizar en
la ejecucin de este plan.
Definir y Establecer un Plan de Accin
a- Sistemas de Informacin: El departamento forma un sistema de
informacin independiente el cual est compuesto de tres elementos
fundamentales.
1) Personas: Se considera persona implicada en el sistema de
informacin a toda aquella que intervenga en dicho proceso de
tratamiento de datos (profesores, alumnos, etc.).
2) Datos:Todo conjunto de elementos que el departamento procesa
y sirve de informacin (exmenes, trabajos, listas, etc.).
3) Actividad:Todo procesamiento que se realice el tratamiento de
los datos almacenados (evaluaciones, correccin de exmenes,
etc.).
b- Equipos de cmputo: El departamento cuentas con una serie deequipos de cmputo para diferentes fines y con distintas prioridades
por lo que hay que hacer una lista de prioridad de estos.
1) Inventario actualizado: El departamento cuenta con los
siguientes equipos informticos en la actualidad.
- En el departamento se cuenta con 3 equipos de los
cuales 1 tiene el sistema operativo Windows 7 y los
otros 2 Ubuntu 14.04. El uso habitual de estos es por
parte del profesorado para la preparacin y correccin
de exmenes, acceso a pginas web como la de
Seneca de la junta de Andaluca.
- En las clases de DAW se dispone de 34 equipos de los
cuales 24 son terminales ligeros y 10 tienen Ubuntu
-
7/23/2019 Proyecto de Auditoria de Seguridad
26/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
25
14.04 y Windows 7 duales. El uso habitual de estos
equipos es de realizacin de tareas y exmenes por
parte de los alumnos de DAW.
- En las clases de ASIR se dispone de 60 equipos
nuevos con Ubuntu 14.04. El uso habitual de estos
equipos es de realizacin de tareas y exmenes por
parte de los alumnos de ASIR.
2) Sealizacin: Los equipos deben de estar correctamente
sealizados de acuerdo con la importancia de su contenido,
para ser priorizados en caso de evacuacin. Por ejemplo
poner una etiqueta roja con el contenido del mismo a los
servidores o equipos ms importantes, amarilla para los PCs
con informacin importante y verde para los PCs que no tenga
informacin relevante.
3) Respaldo de Equipos: Tener siempre una relacin
actualizada de equipos mnimos para cubrir las funciones
bsicas y prioritarias del sistema de informacin.
c- Obtencin y Almacenamiento de los Respaldos de Informacin
(Backups): Se debe establecer un procedimiento para la obtencin
de copias de seguridad de todos los elementos de software
necesarios para asegurar la correcta ejecucin de los sistemas o
aplicaciones del sistema de informacin. Para ello se debe contar
con:
1) Backups de Sistemas Operativos:En caso de contar convarios sistemas operativos o versiones se debe contar con
una copia de seguridad de cada uno de los sistemas
operativos o versiones utilizadas.
2) Backups de Aplicacin: Tanto los programas fuente como
de los programa objeto y cualquier otro software o
procedimiento que tambin realice tratamiento de datos. Cada
-
7/23/2019 Proyecto de Auditoria de Seguridad
27/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
26
uno de estos programas o procedimientos debe contar con
copia de respaldo.
3) Backups de Datos: Toda Base de Datos, tablas,
contraseas, documentacin o archivos necesarios para el
correcto funcionamiento del sistema de informacin deber
contar con una copia de seguridad actualizada y
automatizada.
4) Backups de Hardware: Se debe disponer de los medios
necesarios para sustituir o replicar las funciones del hardware
esencial del departamento en otro hardware susceptibles de
ser usados como equipos de emergencia.
d- Polticas (Normas y Procedimientos de Backups):
Establecimiento de los procedimientos, normas, y determinacin de
responsabilidades en la obtencin de los Backups mencionados
punto anterior:
1) Backups de Sistemas Operativos:
a) Periodicidad de Backups: Los backups de Sistemas
Operativos deben realizarse cada vez que implante un
nuevo sistema o versin del cual no se dispone de
respaldo. En el caso de los sistemas operativos de los
servidores, se guardara una copia de cada uno de los
servidores con la configuracin inicial.
b)
Respaldos del movimiento de informacin (backups
diferenciales e incrementales): En el caso del respaldo de
los Sistemas Operativos las copias incrementales no sern
necesarias ya que se har una copia del estado inicial en
funcionamiento.
c) Registro de incidencias y control de backups: Al ser un tipo
de copia no peridica ni automatizada, el registro de esta
-
7/23/2019 Proyecto de Auditoria de Seguridad
28/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
27
copia se realizara de forma manual en un fichero en los
equipos del departamento por parte del personal de este.
Constando en el registro el Sistema Operativo respaldado,
nombre del responsable de la copia y fecha de la misma.
d) Almacenamiento de los Backups: El almacenamiento ms
ptimo para este tipo de copias ser tenerlas en dos
soportes diferenciados. Por una parte guardar una copia de
cada sistema operativo en formato CD/DVD almacenados
en un lugar en condiciones ambientales ptimas sin
exposicin directa al sol ni a la humedad y por otra parte
almacenar una copia de todos los sistemas operativos en
un dispositivo de almacenamiento en red (NAS).
e) Reemplazo de los Backups, en forma peridica, antes que
el medio de soporte se pueda deteriorar: El remplazo de
los CD/DVD de las copias de respaldo de los sistemas
operativos deben volverse a grabar peridicamente. Ya
que estos se deterioran con el tiempo por lo que en un
plazo de 1-2 aos estos deben ser renovados.
f) Pruebas peridicas de los Backups, verificando su
funcionalidad: Para corroborar que el estado de las copias
de respaldo de los sistemas operativos que tenemos
almacenados funcionan correctamente. Se debe realizar
las pruebas pertinentes de recuperacin de cada uno de
los sistemas con cada uno de los mtodos en los que se
tienen almacenados. Estas pruebas deben realizarse de
forma peridica, con una periodicidad mnima de un ao.Realizando una prueba inicial al ser creada para
comprobar que se ha realizado correctamente.
2) Backups de Aplicacin:
Backups Moodle
-
7/23/2019 Proyecto de Auditoria de Seguridad
29/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
28
a) Periodicidad de Backups: Al tratarse de la plataforma
Moodle y contener datos de carcter personal, de los
cuales es responsable el departamento. Se debe
cumplir con el mnimo establecido en el artculo 94 del
Real Decreto 3/2010, de 8 de enero. Por los que los
backups de la plataforma Moodle se realizaran con una
prioridad semanal y esta se llevara a cabo durante el
fin de semana en horario de madrugada.
b) Respaldos del movimiento de informacin (backups
diferenciales e incrementales): En el caso de Moodle
se realizaran copias incrementales diarias, ya que el
movimiento de datos de esta plataforma es diario. Por
lo cual este tipo de copia de seguridad es el ms
adecuado por ser la ms rpida de realizar y la que
menos espacio de almacenamiento requerido.
c) Registro de incidencias y control de backups: El
registro de los backups y sus incidencias se realizaran
en ficheros de log en la mquina encargada de realizar
dicha tarea.
d) Almacenamiento de los Backups: El almacenamiento
para salvaguardar las copias de Moodle se realizara en
un servidor local del departamento el cual cuente con
algn medio de redundancia de datos como RAID o
almacenamiento (NAS).
e) Reemplazo de los Backups, en forma peridica, antesque el medio de soporte se pueda deteriorar: Para
evitar que las copias de seguridad puedan estropearse
debido al deterior del soporte fsico que las contienen.
En este caso los discos magnticos de los servidores
locales, estos debern ser sustituidos cuando presente
cierto nivel de deterioro y antes de que fallen de forma
definitiva. Para evitar este tipo de riesgo se debe tomar
-
7/23/2019 Proyecto de Auditoria de Seguridad
30/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
29
algunas de las medidas propuestas en el apartado
anterior. Del cual ya se dispone de un RAID 5 en el
servidor Calisto.
f) Pruebas peridicas de los Backups, verificando su
funcionalidad: Al igual que en el primer aparatado el
artculo 94 del Real Decreto 3/2010, de 8 de enero
establece que deben realizarse pruebas del correcto
funcionamiento del proceso de creacin y restauracin
de copias de seguridad con una periodicidad de seis
meses.
Backups Mquina Virtuales en produccin
a) Periodicidad de Backups: La periodicidad de las copias
de las mquinas virtual en produccin ser dara
durante la tarde o la noche para evitar las horas del
da en las que estas estn ms en uso.
Las maquinas actuales en produccin son las
siguientes:
- La mquina virtual que contiene el servidor
Jpiter pertenecientes a los profesores usadas
para dar soporte en exmenes, practicas. En
estas copias descartaremos las mquinas
virtuales que solamente estn destinadas a
pruebas.
-La mquina virtual que contiene el servidor
Calisto pertenecientes a los alumnos DAW que
aceden a ellas mediante terminales ligeros.
b) Respaldos del movimiento de informacin (backups
diferenciales e incrementales): En el caso de las
mquinas virtuales no es posible realizar este tipo de
-
7/23/2019 Proyecto de Auditoria de Seguridad
31/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
30
copias ya que estas estn vitalizadas en PROXMOX y
solo permite copias totales.
c) Registro de incidencias y control de backups: El
registro de los backups y sus incidencias se realizaran
en ficheros de log en la mquina encargada de realizar
dicha tarea.
d) Almacenamiento de los Backups: El almacenamiento
para salvaguardar las copias de las mquinas virtuales
se realizara en el NAS del que dispone en el
departamento guardando las copias de los dos ltimos
das ya que el espacio del que se dispone es limitado.
e) Reemplazo de los Backups, en forma peridica, antes
que el medio de soporte se pueda deteriorar: Para
evitar que las copias de seguridad puedan estropearse
debido al deterior del soporte fsico que las contienen.
En este caso los discos magnticos del NAS, estos
debern ser sustituidos cuando presente cierto nivel de
deterioro y antes de que fallen de forma definitiva. Paraevitar este tipo de riesgo se debe tomar algunas de las
medidas propuestas en el apartado anterior. Las
cuales ya se dispone de un RAID 1.
f) Pruebas peridicas de los Backups, verificando su
funcionalidad: Para garantizar que los procedimientos
de creacin y de restauracin funcionan correctamente
se recomienda realizar pruebas de recuperacin dealguna de las mquinas virtuales aleatoriamente
trimestralmente. Documentando debidamente las
mquinas virtuales usadas en la prueba, la fecha de
dicha prueba y las incidencias o resultados obtenidos
en dicho proceso.
Backups Servidor Web
-
7/23/2019 Proyecto de Auditoria de Seguridad
32/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
31
a) Periodicidad de Backups: La periodicidad con la que se
realizan copias del servidor Web ser semanalmente
durante los das del fin de semana en la madrugada.
b) Respaldos del movimiento de informacin (backups
diferenciales e incrementales): En el caso del servidor
web se realizarn copias incrementales diarias.
Durante la noche para evitar las horas del da con ms
trfico Web.
c) Registro de incidencias y control de backups: El
registro de los backups y sus incidencias se realizaranen ficheros de log en la mquina encargada de realizar
dicha tarea.
d) Almacenamiento de los Backups: El almacenamiento
para salvaguardar las copias del servidor web se
realizara en otro de los servidores locales o bien en el
almacenamiento en red (NAS).
e) Reemplazo de los Backups, en forma peridica, antes
que el medio de soporte se pueda deteriorar: Para
evitar que las copias de seguridad puedan estropearse
debido al deterior del soporte fsico que las contienen.
En este caso los discos magnticos de los servidores
o NAS, estos debern ser sustituidos cuando presente
cierto nivel de deterioro y antes de que fallen de forma
definitiva. Para evitar este tipo de riesgo se debe tomaralgunas de las medidas de redundancia de datos como
RAID 1, RAID 5 en caso de almacenarse en los
servidores.
f) Pruebas peridicas de los Backups, verificando su
funcionalidad: Para garantizar que los procedimientos
de creacin y de restauracin funcionan correctamente
-
7/23/2019 Proyecto de Auditoria de Seguridad
33/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
32
se recomienda realizar pruebas de recuperacin del
servidor web con una periodicidad mxima de seis
meses.
Backups Inventario
a) Periodicidad de Backups: La periodicidad con la que se
realizan copias del inventario una vez que este
empieza a usarse ser semanalmente. En el caso de
esta aplicacin el momento del da elegido para
realizar la copia de seguridad no ser de gran
relevancia. Ya que esta no es una aplicacin que se
vaya a usar con excesiva frecuencia.
b) Respaldos del movimiento de informacin (backups
diferenciales e incrementales): En el caso del
inventario se realizarn copias diferenciales diarias
debido a su poco trfico de datos no se generaran
copias de seguridad excesivamente grandes.
c) Registro de incidencias y control de backups: El
registro de los backups y sus incidencias se realizaran
en ficheros de log en la mquina encargada de realizar
dicha tarea.
d) Almacenamiento de los Backups: El almacenamiento
para salvaguardar las copias del inventario se realizara
en el almacenamiento en red (NAS).
e) Reemplazo de los Backups, en forma peridica, antes
que el medio de soporte se pueda deteriorar: Para
evitar que las copias de seguridad puedan estropearse
debido al deterior del soporte fsico que las contienen.
En este caso los discos magnticos del NAS, estos
debern ser sustituidos cuando presente cierto nivel de
deterioro y antes de que fallen de forma definitiva.
-
7/23/2019 Proyecto de Auditoria de Seguridad
34/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
33
f) Pruebas peridicas de los Backups, verificando su
funcionalidad: Para garantizar que los procedimientos
de creacin y de restauracin funcionan correctamente
se recomienda realizar pruebas de recuperacin del
inventario al menos una vez por curso.
3) Backups de Datos:
a) Periodicidad de Backups: Al tratarse de los ficheros del
departamento, los cuales contienen datos de carcter
personal. Estos debe cumplir con el artculo 94 del Real
Decreto 3/2010, de 8 de enero. En el cual se estable la
periodicidad mnimo de copias de respaldo de datos de
carcter personal en una semana. Por los que los backups
de datos o de cualquier plataforma que los contenga se
realizaran con una prioridad semanal y esta se llevara a
cabo durante el fin de semana en horario de madrugada.
b) Respaldos del movimiento de informacin (backups
diferenciales e incrementales): En el caso de los datos ocualquier plataforma que los contenga se realizaran copias
incrementales diarias, ya que el movimiento de datos es
bastante elevado a diario. Por lo cual este tipo de copia de
seguridad es el ms adecuado por ser la ms rpida de
realizar y la que menos espacio de almacenamiento
requerido.
c) Registro de incidencias y control de backups: El registro delos backups de datos y sus incidencias se realizaran en
ficheros de log en la mquina encargada de realizar dicha
tarea.
d) Almacenamiento de los Backups: El almacenamiento para
salvaguardar las copias de datos o cualquier plataforma
que los contenga se realizara en un servidor local del
-
7/23/2019 Proyecto de Auditoria de Seguridad
35/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
34
departamento. El cual se pueda usar para acceder a los
datos y en el que se implemente algn medio de
redundancia de datos como RAID o almacenamiento en
red (NAS).
e) Reemplazo de los Backups, en forma peridica, antes que
el medio de soporte se pueda deteriorar: Para evitar que
las copias de seguridad puedan estropearse debido al
deterior del soporte fsico que las contienen. En este caso
los discos magnticos de los servidores locales, estos
debern ser sustituidos cuando presente cierto nivel de
deterioro y antes de que fallen de forma definitiva. Para
evitar este tipo de riesgo se debe tomar algunas de las
medidas propuestas en el apartado anterior. Del cual ya
se dispone de un RAID 5 en el servidor Calisto.
f) Pruebas peridicas de los Backups, verificando su
funcionalidad: Al igual que en el primer aparatado el
artculo 94 del Real Decreto 3/2010, de 8 de enero
establece que deben realizarse pruebas del correcto
funcionamiento del proceso de creacin y restauracin decopias de seguridad con una periodicidad de seis meses.
4) Redundancia de Hardware:
Redundancia fuentes de alimentacin de servidores:
Como medida ptima de seguridad propuesta en el punto 4.7
a los fallos de fuentes de alimentacin se proponen fuentes
de alimentacin redundantes. Para ello se debe de disponer
de dos fuentes de alimentacin redundantes para cada uno
de los servidores. Por los cual debe emplearse el hardware
necesario que permita la implementacin de dicho sistema.
Redundancia de discos duros de servidores: Como
medida ptima de seguridad propuesta en el punto 4.7 a los
fallos en los discos duros de los servidores se propone
-
7/23/2019 Proyecto de Auditoria de Seguridad
36/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
35
sistemas de redundancia como RAID o almacenamiento en
de copias de seguridad realizadas sobre en NAS del que se
dispone. Para ello se debe dotar a los servidores de los discos
duros necesarios para la implementacin de RAID en caso de
ser este el mtodo de redundancia de datos elegido. Por otra
parte en NAS ya cuenta con un RAID 1 con capacidad de 2
TB.
Redundancia de lnea ADSL: Como medida ptima de
seguridad propuesta en el punto 4.7 a los fallos de conexin
a Internet se propone tener 2 lneas ADSL contratadas con
distintas compaas con balanceo de carga entre ellas con un
router (Mikrotik). Para ello se debe contratar una lnea ADSL
adicional y conectarlas mediante una mquina en la que
tengamos implementado el software de router Mikrotik para
convertir dicha mquina en un router que gestione las lneas
ADSL.
Redundancia de Switch:Como medida ptima de seguridad
propuesta en el punto 4.7 a los fallos de los switches se
proponen dos soluciones. La primera para el switch vlan delcual se debe tener otro switch de las mismas caractersticas,
configurndolo con la misma configuracin que el que se
encuentra en funcionamiento. Una vez que ya se encuentre
preparado para poderse usar en caso de emergencia se
sealizara mediante una etiqueta indicando que es el switch
vlan de reserva. Guardndolo en un lugar seguro al cual solo
tenga acceso el profesorado. La segunda propuesta se centra
en solventar los posibles fallos de los switch de las aulas. Delos cuales como medida de proteccin se debe disponer de al
menos un par de switches de iguales caractersticas a los que
se encuentran en las aulas. En el caso de que existiesen
varios tipos de switch, se debe de disponer de switches de
reserva para cada uno de ellos. Para en caso de emergencia
poder ser sustituidos en el menor tiempo posible.
-
7/23/2019 Proyecto de Auditoria de Seguridad
37/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
36
Redundancia de Cortafuegos: Como medida ptima de
seguridad propuesta en el punto 4.7 a los fallos hardware que
pueda sufrir el cortafuegos se propone disponer de un
cortafuegos de reserva. Para ello se debe disponer de una
mquina de similares caractersticas a la que actualmente
acta de cortafuegos e implementar en ella el software
PfSense utilizado en el cortafuegos actual aadiendo las
mismas configuraciones, reglas, filtros etc. que en el
cortafuegos actual. Una vez que ya se encuentre preparado
para poderse usar en caso de emergencia se sealizara
mediante una etiqueta indicando que es el cortafuegos de
reserva.
Redundancia del servidor Web: Como medida ptima de
seguridad propuesta en el punto 4.7 a los fallos que pueda
sufrir el servidor Web se propone tener un segundo servidor
web. Para esto se necesita otra mquina con el servicio Web
implementado de la misma forma que en la pgina actual. De
manera que en caso de que falle uno u otro servidor Web se
redirecciones las peticiones al servidor que sigue prestando
servicios.
Redundancia de NAS: Si fuese necesario debido al volumen
de copias de seguridad que el departamento debe realizar
para salvaguardar todo su sistema de informacin. Se debe
de plantear la posibilidad de comprar un segundo NAS, para
poder dividir la carga de trabajo entre los dos. Pudiendo as
realizar las copias de seguridad en un menor tiempo y
disponer de mayor espacio para poder guardar copias de msdas anteriores por si surgiese algn contratiempo del cual su
origen se remonta tiempo atrs.
6.1.2- Actividades durante el desastre.
Presentada una contingencia o desastre se debe ejecutar las siguientes
actividades planificadas previamente:
-
7/23/2019 Proyecto de Auditoria de Seguridad
38/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
37
Definir y Establecer un Plan de Emergencias
En esta etapa se incluyen las actividades a realizar durante el desastre o
siniestro. Este plan incluye la participacin y actividades a realizar por
todas y cada una de las personas que se pueden encontrar presentes en
el rea donde ocurre el siniestro, descritas a continuacin:
a- Buscar Ayuda de Otros Entes:Se debe tener en cuenta que
solo se debe realizar acciones de resguardo de equipos en los
casos en que no se pone en riesgo la integridad fsica de las
personas. Muchas veces durante el siniestro es difcil que las
personas puedan afrontar esta situacin, debido a que no
cuentan con los elementos de seguridad adecuados o
simplemente no estn preparadas, por lo que las actividades
para esta etapa de prevencin de desastres en caso de no
verse capacitado para afrontarlo personalmente deben estar
dedicados a buscar ayuda inmediatamente para evitar que la
accin del siniestro causen ms daos o destrucciones.
- Se debe disponer de los nmeros de telfono y
direcciones de organismos e instituciones de ayuda,
tales como: (Cuerpo de Bomberos, Hospitales, Centros
de Salud, Ambulancias, Polica).
- Todo el personal debe conocer la localizacin de vas de
escape o salida. Debiendo estar estas debidamente
sealizadas.
- Formar al personal del departamento respecto aevacuacin ante sismos, a travs de simulacros, esto se
realiza acorde a los programas de seguridad organizadas
por la direccin del centro.
- Ubicar y sealizar los elementos contra siniestros: tales
como extintores, zonas de seguridad (ubicadas
-
7/23/2019 Proyecto de Auditoria de Seguridad
39/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
38
normalmente en las columnas), donde el smbolo se
muestra en color blanco con fondo verde.
- Secuencia de llamadas en caso de emergencia: tener a
la mano elementos de iluminacin, lista de telfonos de
instituciones del primer apartado
b- Formacin de Equipos: Se debe establecer claramente en
cada uno de los equipos, las funciones que se debern
realizar en caso de desastre. En caso de que el siniestro lo
permita, por estar en su inicio o afectar a un rea cercana, etc.,
se debe formar dos equipos de personas que acten
directamente durante el siniestro, un equipo para combatir el
siniestro y el otro para salvamento de los equipos informticos
ms importantes, teniendo en cuenta la clasificacin de
prioridades establecidas en este documento.
c- Entrenamientos: Se debe llevar a cabo las acciones
aprendidas en los programas de pruebas peridicas en las que
han debido de participar todo el personal implicado en la lucha
contra los diferentes tipos de contingencias, de acuerdo a los
roles que se le haya asignado. Es importante lograr que el
personal tome conciencia de que los siniestros (incendios,
apagones, perdida de datos, inundaciones, terremotos, etc.)
pueden realmente ocurrir; y tomen con seriedad y
responsabilidad estos entrenamientos.
6.1.3- Actividades despus del desastre.
Una vez finalizada la contingencia, se debe ejecutar las siguientes actividades:
Definir y Establecer un Plan de Recuperacin
En esta etapa se incluyen las actividades a despus del desastre o
siniestro. Este plan incluye las actividades de evaluacin, priorizacin y
ejecucin necesarias para la recuperacin de desastres o siniestros:
-
7/23/2019 Proyecto de Auditoria de Seguridad
40/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
39
a- Evaluacin de Daos.
Inmediatamente despus que la contingencia haya acabado, se
evaluar la magnitud de los daos producidos, estableciendo que
sistemas estn afectados, que equipos han quedado no
operativos, cuales se pueden recuperar, y en cuanto tiempo, etc.
b- Priorizacin de actividades del Plan de Accin
Se deben de evaluar los daos reales que se han sufrido. Para
as poder obtener una lista de las actividades que debemos
realizar al comparndolas con el Plan de Accin, priorizando losservicios y aplicaciones primordiales para el departamento. Las
actividades comprenden la recuperacin y puesta en marcha de
los equipos se llevara a cabo por orden prioritario, la recuperacin
de la informacin y la compra de los accesorios daados, etc.
c- Ejecucin de Actividades.
La ejecucin de las actividades de recuperacin implica la
creacin de equipos de trabajo para realizar las actividades
previamente planificadas en el Plan de accin. Cada uno de estos
equipos deber contar con un coordinador que deber anotar
diariamente el avance de los trabajos de recuperacin y en caso
de producirse algn problema, reportarlo de inmediato a Jefatura.
Los trabajos de recuperacin tendrn dos etapas, la primera la
restauracin de los servicios usando los recursos del
departamento y material de respaldo, y la segunda etapa es volver
a contar con los recursos en las cantidades y lugares propios del
Sistema de Informacin, debiendo ser esta ltima etapa lo
suficientemente rpida y eficiente para perjudicar lo menos
posible las actividades diarias del departamento de Informtica.
d- Evaluacin de Resultados.
-
7/23/2019 Proyecto de Auditoria de Seguridad
41/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
40
Una vez finalizadas las actividades de recuperacin del sistema o
sistemas que fueron afectados por la contingencia, debemos de
evaluar objetivamente, todas las actividades realizadas, como de
bien se hicieron, cuanto tiempo llevo hacerlas, que circunstancias
modificaron las actividades del plan de accin, como se
comportaron los equipos de trabajo, etc.
De esta evaluacin y de la contingencia en s, deberan de salir
dos tipos de recomendaciones.
Una retroalimentacin del plan de Contingencias.
Una lista de recomendaciones para minimizar los riesgos yprdida que ocasionaron la contingencia.
e- Retroalimentacin del Plan de Accin.
Con la evaluacin de resultados, debemos de optimizar el plan de
accin original, mejorando las actividades que tuvieron algn tipo
de dificultad y reforzando los elementos que funcionaron
adecuadamente.Otro elemento es evaluar cul hubiera sido el costo de no haber
dispuesto el departamento el plan de contingencia llevado a cabo.
6.2- Medidas contra riesgos de fuerza mayor:
Ante la posibilidad de tenerse que enfrentar en un momento dado a un desastre de
origen natural tales como incendios, inundaciones, terremotos, etc. El personal del
departamento tendr estar preparado y debidamente formado. Para esto se tiene que
llevar a cabo una serie de simulacros y pruebas peridicas y formar mediante cursos de
prevencin al personal del departamento. Esto cursos deben tener como objetivo formar
al profesorado ante posibles desastres. Y se deben tratar entre otros los siguientes
temas:
- Conocer el origen y las causas de cada uno de estos tipos de riesgos.
-
7/23/2019 Proyecto de Auditoria de Seguridad
42/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
41
- Conocer cmo se debe actuar si se presentase uno de esto riesgos.
- Conocer las medidas de seguridad que se deben adoptar.
- Conocer el uso de los distintos tipos de equipos de antiincendios.
- Conocer las vas y procedimientos de evacuacin del centro.
7.- Documentacin
Siguiendo las indicaciones del presente documento, podemos establecer que el
departamento debe contar con los siguientes dos documentos, el documento de
seguridad y el Plan de contingencia.
7.1- Documento de Seguridad
El Documento de Seguridad es un documento mediante el cual se elabora y adoptan las
medidas tcnicas y organizativas necesarias para garantizar la seguridad de los datos
de carcter personal.
Segn el artculo 88 del Captulo II del Real Decreto 3/2010, de 8 de enero toda
organizacin que realice tratamiento de datos de carcter personal debe redactar undocumento de seguridad que recoger las medidas de ndole tcnica y organizativa
acordes a la normativa de seguridad vigente.
El documento de seguridad para los ficheros de carcter personal del departamento
debe contener los siguientes aspectos mnimos atendiendo al nivel de seguridad que
estos requieren, que en el caso del departamento es de nivel bajo:
a) mbito de aplicacin del documento con especificacin detallada de los recursos
protegidos.
b) Medidas, normas, procedimientos de actuacin, reglas y estndares
encaminados a garantizar el nivel de seguridad exigido en este reglamento.
c) Funciones y obligaciones del personal en relacin con el tratamiento de los datos
de carcter personal incluidos en los ficheros.
-
7/23/2019 Proyecto de Auditoria de Seguridad
43/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
42
d) Estructura de los ficheros con datos de carcter personal y descripcin de los
sistemas de informacin que los tratan.
e) Procedimiento de notificacin, gestin y respuesta ante las incidencias.
f) Los procedimientos de realizacin de copias de respaldo y de recuperacin de
los datos en los ficheros o tratamientos automatizados.
g) Las medidas que sea necesario adoptar para el transporte de soportes y
documentos, as como para la destruccin de los documentos y soportes.
h) Cuando se produzcan tratamientos de datos por cuenta de terceros, el
documento de seguridad deber contener la identificacin de los ficheros que se
traten en concepto de encargado
i) El documento de seguridad ser revisado siempre que se produzcan cambios
relevantes en el sistema de informacin, en el sistema de tratamiento empleado,
en su organizacin, en el contenido de la informacin incluida en los ficheros o
tratamientos.
Por los cual el responsable de los ficheros del departamento debe redactar con la mayorbrevedad este documento para los ficheros con datos de carcter personal. Dicho
documento podr ser nico para todos los ficheros personal o especfico para cada
fichero o conjunto de ficheros.
7.2- Documento del Plan de Contingencia.
Un plan de contingencia es un conjunto de procedimientos alternativos a la operatividad
normal diaria. Cuya finalidad es la de permitir el funcionamiento de esta, aun cuando
alguna de sus funciones deje de hacerlo por culpa de algn incidente tanto interno como
ajeno a la organizacin.
El plan de contingencia se debe dividir en tres partes, actividades previas al desastre,
actividades durante el desastre y actividades despus del desastre. Cada una de estas
partes debe a su vez contener los siguientes elementos:
-
7/23/2019 Proyecto de Auditoria de Seguridad
44/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
43
- Actividades previas al desastre:
Definicin y establecer un Plan de Accin:
Sistema de informacin.
Equipos de cmputo.
Inventario actualizado.
Sealizacin.
Respaldo de equipos.
Obtencin y almacenamiento de los respaldos de Informacin (Backups):
Backups de Sistemas Operativos.
Backups de Aplicaciones.
Backups de Datos. Redundancia de Hardware.
Polticas ( Normas y Procedimientos de Backups):
Backups de Sistemas Operativos.
Backups de Aplicaciones.
Backups de Datos.
Redundancia de Hardware.
- Actividades durante el desastre.
Definir y Establecer un plan de Emergencias:
Buscar ayuda en otros entes.
Formacin de equipos.
Entrenamientos.
- Actividades despus del desastre.
Definir y Establecer un Plan de Recuperacin:
Evaluacin de daos.
Priorizacin de actividades del Plan de Accin.
Ejecucin de actividades.
Evaluacin de resultados.
-
7/23/2019 Proyecto de Auditoria de Seguridad
45/49
IES Gran Capitn -- C/. Arcos de la Frontera, S/N -- 14014 Crdoba -- 957-379710http://www.iesgrancapitan.orghttp://www.iesgrancapitan.org/blog04 -- [email protected]
44
Retroalimentacin del Plan de Accin.
8.- Difusin y mantenimiento
Cuando se disponga del plan definitivo ya probado, es necesario hacer su difusin y
capacitacin entre las personas encargadas de llevarlo a cargo. El mantenimiento del
plan comienza con una revisin del plan ex