IDENTIFICACIÓN DE LAS MEJORAS NECESARIAS

Es importante tener en cuenta que por la metodología de análisis de riesgos que se ha empleado, en la que se ha realizado el análisis de riesgos sobre todos los activos (esenciales y dependientes), es necesario realizar una labor de análisis y de síntesis de forma que el plan de tratamiento se aplique sobre el activo que requiere dicho plan y que puede afectar a toda la jerarquía de los activos. Por esta causa, es necesario que los proyectos se expliquen de forma clara y concisa de forma que puedan ser fácilmente expuestos a la Dirección de la empresa que debe comprender su importancia y aprobarlos.

Por tanto, lo primero que se va a realizar es identificar en un lenguaje comprensible las mejoras que se deben realizar, indicando cuales son las principales amenazas que pueden afectar a los activos y motivando las causa de las mejoras necesarias. El objetivo de este primer análisis es poder agrupar y realizar de forma conjunta proyectos que traten de resolver los mismos problemas, así como describirlos de una forma que pueda ser fácilmente comprensible por la Dirección de la empresa, que es quien debe tomar las decisiones al respecto y aprobar los proyectos.

Identificación de mejoras necesarias

Amenazas detectadas que motivan las mejoras necesarias Motivación de las mejoras Elaboración de un plan de formación en el uso de las herramientas y en la concienciación del personal en materia de seguridad, así como la divulgación de las políticas establecidas por la empresa.

Errores en el uso de las distintas aplicaciones.

Divulgación de la información (confidencialidad).

Incumplimiento de políticas de seguridad por uso no

individualizado de usuarios y contraseñas inadecuadas. Concienciar al personal de la empresa en la seguridad. Capacitación en el correcto uso de las aplicaciones para evitar errores de uso.

Disponer de una red de comunicaciones y seguridad en los servicios de Internet que permita prestar los servicios de forma correcta.

Existe un riesgo alto al existir un único elemento como es el Cortafuegos principal y la red de Internet de la sede principal que hace de “cuello de botella” en el acceso a todos los datos de la empresa.

Además estos elementos están expuestos a ataques.

Evitar que un único elemento sea la causa de la no disponibilidad de todos los recursos de la empresa. Mejorar en las medidas de seguridad.

Mejorar los servicios de Venta y Gestión y la disponibilidad del ERP garantizando que se puedan utilizar en caso de caída del servidor principal.

Actualmente la información reside en un único servidor que está ubicado en el CPD del edificio principal que en caso de indisponibilidad del mismo

implicará que no se pueda prestar servicios de venta y de gestión.

Evitar que por problemas en el único punto de servicio la empresa no pueda prestar sus

servicios en los tiempos de respuesta establecidos. Mejorar la disponibilidad de los ficheros y documentación de la empresa almacenada en el servidor de

Actualmente la información reside en un único servidor que está ubicado en el CPD del edificio principal que en caso de indisponibilidad del servidor implicará que no se pueda prestar

Evitar que la empresa no pueda acceder a la documentación en los tiempos establecidos y requeridos por el negocio.

Identificación de mejoras necesarias

Amenazas detectadas que motivan las mejoras necesarias Motivación de las mejoras Mejorar la disponibilidad y confidencialidad de la documentación de la empresa.

Actualmente la información reside en el archivo o en las zonas de oficinas. Además, no se está aplicando política de puesto despejado por lo que existe documentación que es accesible.

Evitar posibles pérdidas de información y acceso no autorizado a la misma. Mejorar la disponibilidad en los servicios de comercio electrónico e

información del portal de Internet así como prevenir y minimizar los ataques que se están produciendo.

El servicio de comercio

electrónico y la información de la empresa (portal) se presta desde servidores que están ubicados en una DMZ que está gestionado por la propia empresa. Este servicio depende de las comunicaciones y el cortafuegos de la empresa. Actualmente se han producido ataques que han provocado la interrupción del servicio.

Garantizar que el servicio se pueda seguir prestando independientemente del cortafuegos que existe actualmente y se puedan detectar y controlar los ataquen existentes actualmente. Mejorar la disponibilidad de los datos de gestión de rutas y producción

Los datos de producción están almacenados en un único servidor que está en la DMZ (expuesto a ataques desde Internet) además depende de las comunicaciones de la empresa.

Garantizar que el servicio se pueda seguir prestando independientemente del cortafuegos que existe actualmente y se puedan detectar y controlas los ataquen existentes actualmente. Mejorar la seguridad de los dispositivos instalados en los autobuses.

Al ser dispositivos tipo tabletas, y estar ubicados de forma visible, se han producido robos de dichos dispositivos ya que pueden ser utilizados para otros fines.

Establecer un sistema tipo “caja negra” de forma que el acceso a las tabletas no sea fácil y por tanto evitar el robo de las mismas. Cumplir con la

legislación en las comunicaciones comerciales

Actualmente las comunicaciones comerciales se realizan de forma manual, por lo que se producen errores que pueden dar lugar a infracciones y sanciones de acuerdo con la legislación vigente.

Automatizar las comunicaciones

comerciales de forma que se minimice el impacto de errores humanos.

Mejorar el sistema de correo electrónico de la empresa.

El sistema de correo electrónico de la empresa está basado en que los buzones se almacenan en los PC de los propios usuarios, por lo que los usuarios no pueden acceder de forma remota a los buzones y existe el riesgo de perdida de la información.

Evitar perdidas de información y al mismo tiempo mejorar la

disponibilidad del sistema.

Minimizar el riesgo de la existencia de personal estratégico

Actualmente existe personal que es en teoría “imprescindible” por sus conocimientos y la labor que realiza, por lo que la “fuga” de este personal puede suponer un grave problema para la empresa.

Evitar que la perdida de personal estratégico implique pérdida de conocimiento y la

capacidad de gestión de la empresa.

12.3. IDENTIFICACIÓN Y ESTRATEGIA PARA LA ELABORACIÓN DE