Sesión 5: prácticas sobre normas, políticas y gestión de la seguridad de la información

Actividad 1: la política de seguridad

Para empezar, considero importante establecer quien conforma la alta dirección de nuestra pequeña empresa. Probablemente, las responsabilidades de la misma recaigan sobre el Administrador General. No obstante, debemos tener en cuenta que podría existir un segundo integrante que podría ser el propietario y creador de la empresa. En pocas palabras, el administrador y el propietario no tendrían por qué ser la misma persona. En el caso de que ambos papeles fueran sustentados por personas distintas, ambos deberían ponerse de acuerdo a la hora de elaborar la política de seguridad ya que la responsabilidad de prevención del daño de los activos recae sobre ambas figuras. Digo esto ya que el administrador tiene una serie de responsabilidades legales y un conocimiento muy profundo de las finanzas de la empresa mientras que el propietario tendría mucho que perder ya que ha aportado el capital social necesario para el establecimiento del negocio. A pesar de todo ello, si tenemos en cuenta que nuestra empresa es muy pequeña, considero que probablemente una sola persona ostente ambos cargos y que por ello sea el Administrador General quien conforme la alta dirección. Así pues, será este quien debe poner en marcha la elaboración de la política de seguridad ya que es quien va a aprobar los fondos para mejorar o asegurar la seguridad de los activos.

De esta manera, imaginemos que yo adquiero el papel de nuestro Administrador General. En primer lugar, voy a comparar las diferentes medidas de seguridad a las que puedo acceder, para así, atendiendo a las características de sus activos y la importancia proporcional de los mismos, establecer cuáles son las más adecuadas. Una vez hecho el balance determinaré la implantación de una serie de medidas de seguridad para la protección de los activos. Creo que es importante mencionar que dicha política la voy a idear con la ayuda de mis dos administradores, puesto que su conocimiento sobre las actividades de la empresa y sus recursos es muy amplio.

Para la protección de aquellos activos tangibles como los dos ordenadores de mis empleados encargados de la administración y el mío propio, los materiales de construcción que podamos guardar en el local, la maquinaria, etc., decido establecer las siguientes medidas:

• Instalación de alarmas con sensores en puertas y ventanas. De esta manera si cuando estamos ausentes alguien entra sin desactivar la alarma esta se dispararía avisando a los vecinos y dando un aviso a las autoridades.
• Instalación de un sistema de alarmas que detectan el movimiento mediante cámaras que toman fotos si detectan movimiento. Normalmente hallamos paquetes de seguridad que proporcionan esta medida de seguridad y la anterior a un precio razonable.
• Sistema de video vigilancia. Creo que es muy necesario ya que las cámaras anteriores no graban. Sin embargo, con estas podremos tener vigilado el local y revisar las cintas si ocurriera algún incidente. Es decir, nos permitiría obtener pruebas muy útiles en caso de robo.
• Instalar una cerradura antirrobo en la entrada. Esta dificulta que nos entren a robar ya que requiere más esfuerzo y tiempo, lo cual podría persuadir al que pretende entrar.
• Reforzar los marcos de la puerta principal. De esta manera aumentaremos aún más la dificultad para abrirla.
• Instalar rejas antipalanca en las ventanas.
• Instalar detectores de humo y equipos antiincendios. Los robos no son el único evento que puede poner en peligro nuestros activos, sino que un incendio puede hachar a perder nuestros activos.

Puesto que hemos puesto rejas en las ventanas, es muy importante detallar un plan de evacuación en caso de incendio. Este debe ser explicado a los empleados y considero importante hacer un simulacro para asegurar la comprensión del mismo. Además, una vez instaladas las cámaras y las alarmas es muy importante poner carteles llamativos que indiquen que el local esta vigilado. Algo tan simple como esos carteles pueden persuadir a alguien que quiera entrar puesto que se arriesga a que lo pillen.

Para la protección de aquellos activos intangibles como las cuentas bancarias, la información, etc., decido establecer las siguientes medidas:

• Instalar programas antivirus en los tres ordenadores. Concretamente decido adquirir el paquete de tres licencias de Kaspersky Total Security. Este no solo nos protegerá contra virus, malware, etc., sino que también ofrece servicios de Pago seguro que nos puede ser muy útil a la hora de tener que hacer transferencias.
• Que cada uno de los usuarios cree un correo electrónico de uso exclusivo para el trabajo. De esta manera, aseguramos que solo se abran correos directamente relacionados con el negocio y reducimos el riesgo de comprometer nuestros archivos. Creo que esto es muy importante ya que muchas veces un correo desconocido puede conducirnos a una página que permita que nos instalen un código malicioso.
• Establecer contraseñas de alta complejidad. Estas no solo deben implantarse para acceder a nuestro usuario, sino que es recomendable que se implanten también en discos duros, USB, carpetas con archivos importantes, etc. Es muy importante que estas sean diferentes y que no sean las que el empleado usa para sus cuentas personales.
• Determinar un cambio de contraseñas mensual. Dado que si tenemos tantas contraseñas es muy fácil olvidarse lo que voy a hacer es establecer un registro a mano de todas ellas y guardarlo en una caja fuerte en mi vivienda. De esta manera evito repetir contraseñas y evito que las mismas no se encuentren en el mismo lugar que los ordenadores.
• Hacer copias de seguridad. Estas se realizarán semanalmente y se almacenarán tanto en la nube como en un disco duro que guardaremos junto a las contraseñas, lejos de la empresa, por si el lugar se viera comprometido.
• NUNCA abrir un archivo o un dispositivo como un USB o un disco duro sin antes haberlo analizado con nuestro antivirus.

Además de todo ello, considero muy importante la concienciación de los empleados sobre la importancia de estas prácticas y la contratación de un asesor legal que nos asesore. Por otra parte, no se nos debe olvidar que todos los equipos y medidas de seguridad deben revisarse con cierta frecuencia para asegurarse de que su funcionamiento es correcto y eficiente. Por esto último, es importante estar en contacto con una empresa especializada en este tipo de cuestiones.

Una vez he determinado que cambios deben implantarse, es muy importante determinar las sanciones que recibirían los empleados si comprometieran los activos no llevando a cabo lo establecido. Es decir, si se comprometen los activos, pero han realizado todo lo indicado, obviamente no habrá sanción. Sin embargo, si se dañan debido al incumplimiento de la política de seguridad se les sancionará de acuerdo al daño derivado de su incompetencia:

• Llamada de atención. Por no cambiar las contraseñas o usar las mismas en 2 dispositivos, usar el correo exclusivo para uso personal o no bloquear el ordenador.
• Suspensión de empleo y sueldo de 3 a 8 días. Por reiteración de las faltas anteriores, no activar las alarmas, no analizar los archivos antes de abrirlos, etc.
• Suspensión de empleo y sueldo de 10 a 14 días. Por perder dispositivos con información confidencial o reiteración de las faltas anteriores. Se puede llegar a considerar el despido inmediato puesto que son faltas graves. Para decidirlo se tendrá en cuenta el valor del empleado para la empresa (su conocimiento, lealtad, trabajo, etc.) y la gravedad de las consecuencias derivadas de sus acciones.
• Despido inmediato. Por la filtración de información de manera intencionada a terceros o empresas competidoras que trabajan en el mismo sector. Aunque esto parezca ser poco probable es algo que suele pasar y a veces los empleados obstaculizan la labor de la empresa propia porque están ayudando a otra empresa llevándose una comisión.

Debemos entender que para poder dichas sanciones hemos de asegurarnos de que nuestros empleados conozcan sus responsabilidades y sean conscientes de las posibles sanciones derivadas del incumplimiento de la política. Así pues, considero que es muy importante no ignorar las faltas e imponer las sanciones estipuladas ya que, si no se castigan dichas faltas, el empleado no aprende y la seguridad de nuestros activos se ve comprometida.

Actividad 2: los activos de mi empresa

En la actividad anterior ya hemos mencionado varios activos, pero a continuación vamos a encargarnos de concretar y explicar cada uno de los mismos. Así pues, los vamos a clasificar en diferentes categorías.

Activos de información:

• Conocimiento. Nuestros empleados y yo misma tenemos mucho conocimiento sobre la empresa.
• Documentos bancarios. Estos pueden ser pagos a proveedores, cobros por los servicios ofrecidos, pagos a los trabajadores, etc.
• Planos de obra. Estos contienen una representación gráfica muy detallada de los elementos que componen el proyecto de construcción. Es el documento que más se usa en la obra. Estos no solo tienen las medidas de cada elemento, sino que también especifican sus funciones, posibilidades de ampliación, la modificación que nuestra obra supondrá para el entorno, etc.
• Contratos de obra. Estos contienen las exigencias del cliente. Además, demuestran el compromiso de la empresa para cumplir con el proyecto encargado. Cabe mencionar que se detalla la remuneración esperada a cambio del servicio que nuestra empresa va a ofrecer.
• Contratos de mi plantilla de trabajadores. Estos contienen la información personal del empleado, las características de su puesto de trabajo, etc. Además, se estipula su sueldo fijo y los extras variables, así como las responsabilidades que derivan de la aceptación del empleo.
• Presupuestos. Este documento establece un valor final para la realización del proyecto de construcción. Dicho documento tiene varios capítulos donde se detalla el capital que se va a destinar a cada proceso, material, servicio, etc.
• Certificaciones de obra mensuales. Estas se basan en los presupuestos y reflejan las modificaciones que se van realizando a medida que la obra avanza. Estas mediciones son una prueba de que nuestra empresa ha llevado a cabo el proyecto y detallan en que se ha gastado el presupuesto de manera muy exhaustiva. Sin este documento no podemos cobrar a nuestro cliente por los servicios que hemos ofrecido.
• Licencias de obra. Documento expedido por las autoridades locales que otorga la autorización para construir. Sin este documento no podemos construir y de hacerlo tendríamos problemas legales.
• Permisos varios. Documentos que te autorizan para por ejemplo cerrar una calle o trabajar a ciertas horas.
• Boletines de instalaciones. Documento que certifica que una instalación cumple con la normativa vigente y está en buenas condiciones. Puede referirse a la instalación eléctrica, de tuberías, etc.
• Control de materiales. Documento que detalla que materiales han sido adquiridos para la obra y sus características (precio, medidas, peso, etc.). Además, incluye el control de calidad, la fecha en que se usa, las unidades sobrantes, etc.
• Certificados de cursos de prevención laboral del personal. Estos indican que nuestros trabajadores están capacitados para trabajar. Son imprescindibles.
• Certificados de manipulación de distintos compuestos. Estos acreditan que estamos capacitados para usar diferentes sustancias peligrosas.

Activos de hardware: 

• Los 3 ordenadores que posee nuestra empresa. En estos está almacenada mucha de la información imprescindible para el funcionamiento de la empresa.
• Discos duros externos. En estas memorias externas guardamos las copias de seguridad por lo que son sumamente importantes. Si algo le pasara a nuestro ordenador y perdiéramos los documentos que este guarda podríamos acudir a la copia de seguridad almacenada en esta memoria externa y recuperar los activos de información.   
• USB. En este podemos guardar distintos documentos con los que trabajemos con frecuencia.
• Impresora con escáner integrado. Es muy común tener que entregar documentos impresos a terceros por lo que este dispositivo periférico es muy usado. Además, necesitamos escanear diferentes documentos para almacenarlos o enviarlos por correo.
• Cableado. Es sumamente importante que este esté en buenas condiciones para que nuestros ordenadores sean eficaces y funcionen correctamente.

Activos físicos:

• Maquinaria de construcción. Hay muchos elementos que guardamos almacenados en nuestro local para que podamos usarlos en la obra cuando son requeridos. Van de herramientas pequeñas como puede ser un soldador o un berbiquí a máquinas grandes como una sierra o una máquina mezcladora de cemento. Así pues, su precio varía en función de la herramienta.
• Materiales. Muchas veces nos sobra un poco de material del lote de alguna obra por lo que se almacena para aprovecharlo en otro proyecto si se diera la ocasión.
• Vehículo de transporte. Furgoneta con la que nos trasladamos a las obras.

Activos de servicio:

• Servicio de limpieza. Este no se usa solo para la limpieza de la oficina, sino que también se subcontrata para la limpieza de las obras una vez han sido acabadas.
• Servicio de asesoría legal. Asesor legal con el que cuenta la empresa y que es imprescindible a la hora de establecer contratos, aclarar disputas, etc.
• Servicio de préstamo de maquinaria. Este servicio es muy usado. No compramos toda la maquinaria que usamos, ya que el gasto sería demasiado grande, sino que se alquilan por horas a un precio determinado.

Activos humanos:

• 2 administradores. Estos se encargan de preparar toda la documentación, llevar las finanzas, contactar con los proveedores, etc. Claramente poseen un conocimiento muy valioso para la empresa.
• 5 operarios de obra. Estos no tienen por qué ser fijos, muchas veces sus contratos son temporales.

Actividad 3: activos, amenazas y daño

En la primera tabla correspondiente a los activos de información vamos a determinar diferentes amenazas en función del tipo de activo ya que el daño ocasionado la pérdida o el robo, entre otros, no es el mismo. Así pues, el daño va a reflejarse mediante una escala con valores del 1 al 5, donde 1 es un daño casi nulo y 5 es un daño grave. Si aparece una X es porque dicha amenaza no tiene sentido (ej. no podemos perder un ordenador de sobremesa).

Activos de información	Robo	Pérdida sin robo	Breve explicación
Conocimiento	X	X	3-5 No nos pueden robar el conocimiento, pero si uno lo revela a terceros podría ser muy peligroso.
Documentos bancarios	5	4	Si nos los roban pudrían llegar a acceder a nuestras cuentas.
Planos de obra	4	4	En cualquiera de los 2 casos perdemos los detalles del proyecto.
Contratos de obra	4	3	Contiene datos personales. Aun así, podemos recuperarlo pidiéndoselo a nuestro cliente.
Contratos de la plantilla	4	3	Contiene información personal.
Presupuestos	3	3	Importantes, pero si tenemos los certificados mensuales, la pérdida de los presupuestos no sería tan importante.
Certificaciones de obra mensuales	5	5	Sin ellas no podemos cobrar ni podemos justificar el uso del presupuesto.
Licencias de obra	3	3	De perderlas tendríamos que volver a pedirlas y perderíamos tiempo.
Permisos varios	3	3	Pasa lo mismo que con las licencias.
Boletines de instalaciones	4	4	De perderlo tendríamos que volver a pagar para que un perito nos hiciera el informe.
Control de materiales	5	5	Sin este podríamos tener problemas legales.
Certificados de cursos de prevención laboral de la plantilla	4	4	Sin estos podríamos tener problemas legales.
Certificados de manipulación de distintos compuestos	3		Deberíamos volver a pedirlos y retrasaría el proyecto.

Activos de hardware	Robo	Pérdida	Avería
Ordenadores	5 Contiene todos los datos de la empresa	X	3 Tenemos copias de seguridad
Discos duros externos	5 Contiene todos los datos de la empresa	3 Aunque contiene documentos importantes está cifrad	1 Tenemos los datos en el ordenador o en la nube, podemos comprar otro
USB	4 Contiene documentos importantes	3 Aunque contiene documentos importantes está cifrado	1 Podemos comprar otro
Impresora con escáner integrado	1	X	1
Cableado	1 Podemos sustituirlo	X	1 Podemos sustituirlo

 

Activos físicos	Robo	Pérdida	Avería	Breve explicación
Maquinaria	1-4	1-4	1-4	Tendremos que reponerla y puede ser muy car
Materiales	2-5	2-5	X	Su reposición puede ser cara y puede afectar a nuestro presupuesto y traernos repercusiones legales.
Vehículo de transporte	5	X	3	Reponerlo o repararlo supone un gran coste.

Activos de servicio	Dejan de trabajar con nosotros	Sufren algún daño mientras trabajan para nosotros
Servicio de limpieza	2 Tendremos que buscar a otra empresa	5 Podemos tener problemas legales. Además, hablamos de personas.
Servicio de asesoría legal	5 Tienen información confidencial sobre nosotros	5 Podemos tener problemas legales. Además, hablamos de personas.
Servicio de préstamo	1 Es fácil encontrar a otra empresa	X Los empleados no trabajan directamente para nosotros

Activos humanos	Dejan de trabajar para nosotros	Sufren daños mientras trabajan
2 administradores	5 Tienen mucho conocimiento sobre nuestras actividades y son valiosos para la empresa	5 Podemos tener problemas legales y son personas
5 operarios de obra	2 Tienen conocimiento sobre los procedimientos, pero no sobre la información confidencial. Podemos contratar a otros.	5 Podemos tener problemas legales y son persona

Como podemos ver los activos que suponen un mayor daño son aquellos en los que se pierde información irrecuperable. Además, para determinar el daño entran en el juego el capital necesario para recuperar un activo (una licencia el vehículo, el material, etc.) y la importancia de la información o el activo perdidos (personas o información confidencial).

Actividad 4: diagrama de Gantt

A continuación voy a exponer la planificación que mi empresa deberá seguir en el mes de abril para poder poner en marcha lo estipulado en la política de seguridad.

Como podemos ver, lo primero que vamos a hacer es encargar aquellos materiales que sabemos que van a tardar (marcos y rejas). De esta manera el encargo y el tiempo de espera se reflejan con el color gris. Luego en la primera mitad del mes nos vamos a encargar de realizar las instalaciones que suponen el trabajo de terceros (empresas especializadas como securitas direct). Además, deberá comprobarse que las cámaras y las alarmas funcionen por lo que el periodo de prueba está reflejado en amarillo. Una vez acabadas las instalaciones mencionadas empezaremos a realizar las diferentes tareas que protegerán a nuestros equipos de posibles ataques. Tras haber instalado el antivirus, haber creado el correo y haber creado las contraseñas realizaremos las copias de seguridad tanto en la nube como en discos duros extraíbles. Finalmente, una vez todo funcione correctamente explicaremos a los empleados todos los puntos de la política de seguridad, las tareas que deben realizar y las posibles sanciones derivadas del incumplimiento de alguna de ellas.

Actividad 5: aplicación de una medida de control estipulada por la ISO 27002

La medida de control que he elegido es la de protección contra el código malicioso (10.4.1) estipulada en el catálogo de medidas de control de la ISO 27002.

Como bien sabemos, los medios de procesamiento de la información y el software pueden peligrar debido a la introducción de códigos maliciosos que comprometen los activos de información que almacenamos en nuestros tres ordenadores. Este código contiene scripts de sitios web que aprovechan las vulnerabilidades de nuestro equipo para descargar un malware o software malicioso. Así pues, si este se instala en nuestros equipos podrán robarnos todos nuestros documentos o destruirlos. Esto es muy peligroso ya que si nos los roban obtendrán información confidencial como datos personales o contraseñas bancarias. Con dicha información podrían llegar a acceder a nuestras cuentas bancarias o suplantarnos la identidad. También podría ser que un competidor usara la información o comprometiera nuestro equipo para deshacerse de la competencia.

Puede ser que usted piense que es más importante proteger la oficina de robos físicos y que los ataques cibernéticos se centran en empresas grades o conglomerados. Pero, si piensa eso está equivocado. En España el 70% de los ciberataques son a pequeñas y medianas empresas (pymes) lo que ha supuesto una pérdida de más de 40 millones de euros. En las empresas pequeñas se infravalora tanto esta amenaza que no se cambian las contraseñas, no se actualizan los equipos, etc. De hecho, una porción superior al 30% de dichas empresas tan solo tiene protocolos de seguridad básicos. Es por todo ello que considero que este control es uno de los más necesarios.

Por este motivo, creo necesario estipular controles para detectar, prevenir y recuperarse ante las afectaciones de software malicioso. Muchos de estos se descargan a partir de enlaces en correos que llegan a la bandeja de entrada de nuestros empleados. Por esto mismo he decidido que cada administrador cree un correo electrónico de uso exclusivo para el trabajo. Además, estipulo la siguiente norma: se deben cambiar las contraseñas (de correo, de acceso a carpetas, discos duros, USB, etc.) a principio de mes y estas deben ser complejas. Para que las mismas no se registren en documentos almacenados en el propio equipo se llevará un a mano. Además, dicho registro no se guardará en la oficina, sino que lo guardaré en la caja fuerte de mi domicilio. También prohibiré que se usen los equipos de trabajo para uso personal o para acceder a páginas de ocio.

Por otra parte, compraré un paquete de 3 licencias de Kaspersky Total Security para proteger nuestros equipos contra malware. Así pues, estipularé que siempre se ha de tener activado y que con él deben analizarse todos los archivos que se descarguen y los dispositivos que se conecten. Además, deberán realizarse análisis completos semanales.

No obstante, hay otra medida que se debe tomar y es tal vez más importante que las anteriores. Se realizará una reunión con los empleados donde se les explique cuan grave puede ser que un software malicioso se descargue en nuestros equipos. Además, se les explicará las normas establecidas ya que son ellos quienes deberán encargarse de cambiar las contraseñas o actualizar los equipos y el antivirus. Considero también necesario que se reitere que deben abrir solo aquellos correos cuyo contenido esté relacionado con el trabajo y todo aquel que sea sospechoso se deberá reportar ante mí.

Con todas estas medidas de control podremos reducir la vulnerabilidad de nuestros 3 equipos y así reducir el riesgo al que están sometidos nuestros activos de información.