Práctica 2 Tema 1

Plan de Seguridad Informática

ÍNDICE

1. Actividad de la empresa, empleados, dispositivos ……………………………….…... 2

2. Políticas de seguridad informática ……………………………………………………... 3

y4

3. Sistemas de seguridad informática …………………………………………………….. x

4. Seguridad de las salas ……………………………………………………….….….…… x

5. Control de acceso, identificación de los usuarios y requisitos de las contraseñas .. x

6. Prohibiciones en el uso de aplicaciones ………………………………………..……… x

1. Actividad de la empresa, empleados,
dispositivos: Creación y modificación de
páginas web.
Actividad de la empresa: Nuestra organización es una pequeña empresa que se dedica a
la venta y modificación de páginas web a empresas internacionales o pequeñas
asociaciones.

Empleados: Tenemos un personal de 5 empleados, que están especializados en la

creación de páginas web ya que han estudiado a fondo este campo. Cada empleado sabe
trabajar con los distintos lenguajes de programación como: Python, CSS, P2P, HTML,
además de un empleado que se encarga del diseño de las páginas.

Dispositivos: En nuestra empresa tenemos varios ordenadores con aplicaciones

especializadas en la modificación y creación de páginas web. Una pantalla digital para
discutir y cuestionar entre todo el personal el acabado de cada página.
2. Políticas de seguridad informática de los
usuarios que usan las diferentes tecnologías.

Seguridad lógica:
- Cifrar archivos sensibles
- Implementar copias de respaldo, ya sea en la nube o en discos externos
- Usar contraseñas y renovarlas de forma periódica. Esas contraseñas las dará el
responsable de los empleados cada mes. Cada empleado tendrá que apuntarse
la contraseña en un sitio seguro.
- Usar VPN
- Instalar software, antivirus y antimalware.

Para la protección del hardware:

- Acceso físico:

● Analizadores de retina.
● Tarjetas inteligentes.
● Cámaras de vigilancia.
● Huella digital.

- Desastres naturales:

● Terremotos y vibraciones.
● Tormentas eléctricas.
● Inundaciones y humedad
● Incendios y humos

Para prevenir los problemas de estos desastres naturales, tenemos que:

No situar los equipos en sitios altos para evitar caídas.
No colocar elementos móviles evitando que caigan sobre los equipos.
Separar los equipos de las ventanas para evitar que caigan por ellas
o que objetos lanzados desde el exterior los dañen.
Utilizar fijaciones para elementos críticos.
También hay que separar los equipos de objetos calientes.
 - Alteraciones del entorno:
● Electricidad
● Ruido eléctrico
● Temperaturas extremas

Protección de los datos:

- EAVESDROPPING: Es un proceso en el cuál un agente capta información
dirigida a él, esta captación puede realizarse por muchísimos medios, como por
ejemplo:
Sniffing, capturando radiaciones electromagnéticas…
- Copias de seguridad:Hay que tener en cuenta las políticas de seguridad,para
cualquier organización,al igual que el resto de equipos y sistemas,los medios
estarán protegidos físicamente.Un error habitual es almacenarlos en lugares muy
cercanos a la sala de operaciones cuando no en la misma sala;esto en principio
puede parecer correcto,puede convertirse en un problema serio si se produce
algún desastre.Hay que pensar,que en general el hardware se puede volver a
comprar pero una pérdida de información puede ser irreparable.

-Otro elemento importante en la protección de la información son los elementos no

electrónicos que se utilizan para transmitirla.Cualquier dispositivo por el que pueda
salir información de nuestro sistema ha de estar situado en un lugar de acceso
restringido.

3.Sistemas de seguridad informática.

Hace referencia a las áreas de desarrollo e investigación en informática de
infraestructuras,seguras para almacenar la información en los ordenadores y durante su
transmisión en redes.

● Tipos de seguridad informática :

○ Seguridad de hardware : Son los dispositivos que se usan para escanear
un sistema o para el control del tráfico de una red.Hay módulos que
sirven para el suministro de claves encriptadas.El objetivo es evitar que
las comunicaciones estén desprotegidas de posibles pérdidas o
interceptación de datos.Si se necesita evaluar la seguridad del hardware
es imprescindible contar con las vulnerabilidades que aparecen desde su
fabricación y evaluar otras fuentes potenciales de riesgo.
○ Seguridad del software: Es el que se pone en práctica para la protección
de programas y aplicaciones y programas contra los ataques de los
delincuentes informáticos y otros tipos de riesgos.Es necesaria para
garantizar integridad de datos, autenticación de los mismos y su
constante disponibilidad.
■ Los problemas de software implican varias ramificaciones en el
estudio de la seguridad, como por ejemplo: errores en
implementación, desbordamientos de buffer, los defectos en el
diseño o la mala respuesta ante posibles errores.
■ Las carencias en seguridad para software son más habituales en
dichos casos, los problemas no dejan de crecer con el aumento
de usuarios y delincuentes informáticos.
■ La seguridad para software busca aprovechar las prácticas de
ingeniería de desarrollo y la implementación de medidas de
protección.
○ Seguridad de red:Busca fomentar la facilidad en el uso,aumentar la
fiabilidad ,conservar la integridad y mantener la seguridad para la
transmisión de los datos.
■ Tipos de amenazas:La mayoría de las amenazas se originan
desde internet.
● Los virus, programas gusanos o de tipo caballo de troya.
● Ataques por parte de delincuentes y hackers.
● Software espía y publicidad invasiva.
● Ataques de día cero.
● Robo de datos o interceptación de los mismos en
comunicaciones.
● Ataques de denegación del servicio.
● Robos de datos personales y de identidad.
■ Componentes de seguridad informática:
● Programas antivirus y anti-spyware.
● Cortafuegos o firewalls que bloquean accesos sin
autorización a una red.
● Modelos de prevención de intrusiones o IPs.
● Diseño de redes privadas virtuales o VPN.
 4.Seguridad de salas.
● Elementos importantes que debe haber en una sala informática.

○ Que los archivos generados durante una sesión de usuario no se almacenarán

en el disco duro. El usuario que quiera guardar algún fichero, deberá guardarlo
en su pen-drive, enviarlo a su correo electrónico o subirlo a la nube.

○ Que haya un antivirus y un cortafuegos que ayude a impedir la introducción de

software no deseado, especialmente en los ordenadores de Microsoft y con
sistema operativo Windows.

○ Que un profesional informático revise y monitorice con frecuencia el estado de

los ordenadores, garantizando de esa manera que los usuarios podrán seguir
disfrutando de un buen servicio.

○ A ser posible, lo ideal sería que cada usuario tuviera su propio usuario y
contraseña para poder conectarse. Y que, en caso de que no se tenga un
usuario y contraseña, no pueda iniciar sesión.

○ Para facilitar una mejor experiencia de usuario, lo conveniente es que haya una
red de cableado UTP que facilite que los ordenadores puedan aprovechar el
ancho de banda de la fibra óptica, evitando las dificultades derivadas de una red
Wifi.
 ○ Los equipos informáticos deberían someterse también a un mantenimiento
predictivo para saber cuándo será necesario reponerlos, o renovar sus
componentes, para garantizar que la sala de informática sigue prestando un
servicio útil a los usuarios.

● Consejos de seguridad para salas de ordenadores

○ No hay que olvidar, por ejemplo, que lo ideal es que haya una persona que
monitorice personalmente el uso que se realiza de los ordenadores.
○ Por otra parte, los usuarios deberían ser conscientes de un código de buenas
prácticas, que contribuirá a que no se descargue malware, ni se realicen
○ acciones que puedan perjudicar a los equipos y al conjunto de los usuarios.

○ Muchas empresas, instituciones y organismos que disponen de salas de

informática, acuden a los servicios de profesionales del mantenimiento de
ordenadores. Sin embargo, sabemos que también en muchos lugares se crean
redes de ordenadores improvisadas con el objetivo de ahorrar gastos. El
problema es que, debido a la falta de mantenimiento, estas salas de informática
probablemente proporcionen un servicio deficiente a los usuarios.
○ Desde Gadae Netweb apostamos siempre por la calidad y el uso de una buena
metodología de cara a conseguir la mayor satisfacción de los usuarios.
Trabajamos en el mantenimiento preventivo y predictivo para que luego no
tengas que invertir en la reposición de nuevos ordenadores, ayudándote así a
evitar nuevos costos y brindar un servicio de calidad a los usuarios de la sala de
informática.
○ Si estás buscando más información sobre cómo poner en marcha una red de
ordenadores en una sala de informática, no dudes en ponerte en contacto con
nosotros. Somos expertos en mantenimiento informático en Madrid y quedamos
a tu disposición para escuchar tus necesidades.

● El mayor peligro de las salas de ordenadores

En las salas de ordenadores, es muy común que haya algún que otro ordenador roto. Y esto puede
llegar a pasar con cierta frecuencia. Ya hablemos de un cyber, de una sala de informática de un hotel
o de una institución educativa, lo cierto es que los problemas informáticos son comunes simplemente
por varias razones.
 ● Probablemente no existe el mayor control sobre lo que pueden o no descargar.
● Los ordenadores pasan muchas horas al día encendidos
● El tipo de personas que acude a esos ordenadores no siempre tiene los conocimientos
de seguridad informática adecuados.
● Introducen dispositivos externos, como memorias USB, que han sido contaminados con
virus.
Esta combinación de factores da lugar a que el organismo o institución tenga que enfrentar
continuamente problemas de todo, relacionados con virus informáticos o simplemente programas que
no son necesarios, pero que están ocupando espacio y perjudican a los demás usuarios cuando
quieren utilizar el ordenador.

5.Control de acceso, identificación de los

usuarios y requisitos de las contraseñas
Tarjetas personales

El empleado recibe una tarjeta de uso personal e intransferible y que le permite

acceder a los espacios para los que está autorizado. Puede haber varios tipos de
tarjetas dentro de una misma empresa (dependiendo del rango dentro de la misma,
por ejemplo) y no es necesario que estas incluyan datos personales del trabajador
(pueden limitarse a una banda magnética aunque también hay tarjetas sin contacto).

Contraseñas y claves de acceso

Constituyen el control de acceso más sencillo aunque su fiabilidad es menor que la

de otros sistemas. El empleado solamente tiene que introducir una contraseña para
acceder a las instalaciones. Resulta recomendable cambiar las claves de acceso con
cierta frecuencia para evitar su difusión entre personal no autorizado.

Reconocimiento facial

Las empresas instalan un lector biométrico en sus accesos y este valida la identidad
de los trabajadores gracias al reconocimiento de sus rasgos faciales. Es altamente
efectivo y seguro, puesto que las posibilidades de sufrir un hackeo son mucho
menores que en otros sistemas. Su uso se ha extendido en los últimos meses por ser
un método altamente higiénico además de fiable.

Sistemas de control biométrico

Al igual que en el caso del reconocimiento facial, este sistema de control de acceso
biométrico permite la entrada y salida de los trabajadores al reconocer determinadas
características biométricas. El método más usual en este tipo de sistemas es el de la
lectura de la huella digital.

Requisitos de contraseñas

· La longitud de la contraseña debe ser como mínimo de 12 caracteres, si bien se

recomienda usar contraseñas más largas.
• La contraseña debe contener al menos 4 caracteres alfabéticos de los cuales serán,
al menos, dos letras mayúsculas y dos minúsculas.

• La contraseña debe contener al menos 2 caracteres numéricos. Políticas de

Seguridad Política de Contraseñas de la US © Universidad de Sevilla 7

• El número máximo de repeticiones de caracteres adyacentes de la contraseña será

4.

• El número máximo de caracteres numéricos en secuencia de la contraseña será 4.

• La contraseña no podrá contener el nombre o apellido del usuario, ni el documento

de identidad del mismo o su UVUS.

• No compartir la contraseña bajo ningún concepto con otras personas, aunque sean
de su mismo entorno.

• Guardar la información de contraseñas en un lugar seguro.

• Cambiar la contraseña al menos una vez 999 días, exceptuando las cuentas de
aplicaciones o sistemas que no tendrán este requisito.

• No utilizar para generar la contraseña palabras o nombres comunes que puedan

figurar en diccionarios.

• No se podrán utilizar las tres últimas contraseñas empleadas.

Prohibiciones en el uso de aplicaciones

Estas suelen ser Facebook, Instagram y Messenger. También algunas de Google como
Google Pay, Play Películas, Duo… Incluso juegos. No todo el mundo usa estas
aplicaciones, por lo que en muchos casos se quedan ahí, abandonadas, sin que nunca
sean abiertas, durante años.