Professional Documents
Culture Documents
Equipo Evaluador:
Coordinador: Humberto Chacn
Analistas: Wilder Calderon
Javier Maldonado
Maiguel Garca
Introduccin
:
"Las compaas invierten en tecnologa para ser ms productivas. Tecnologa que no es
rentable, es arte", indica Omar de la Hoz Gerente de Informtica y Tecnologa de
Carulla Vivero. Esta frase es contundente para dimensionar la relacin directa entre
tecnologa y productividad. No es una opcin, es una exigencia para los directivos en
tecnologa generar productividad haciendo el mejor uso de las soluciones tecnolgicas,
sacndoles el mayor provecho, logrando satisfacer las necesidades de la empresa y
generando valor.
Las empresas son hoy informtico-dependientes, por esto cada vez son mayores los
retos y las responsabilidades del lder tecnolgico. Para lograr las metas el camino a
seguir es hacer una buena gobernabilidad del rea tecnolgica (TI), la cual indica cmo
tomar decisiones estratgicas sobre la infraestructura tecnolgica e ilustra sobre
cmo apoyar los objetivos del negocio de forma correcta y en los tiempos precisos.
Objetivo
General:
Hacer una evaluacin que permita a la Empresa emprender un plan de trabajo para
lograr la estabilizacin y adecuacin de su ambiente de TI, de manera de garantizar
al Negocio los servicios necesarios para el cumplimiento de sus metas.
Premisa
s:
Para la empresa es de vital importancia la seguridad y resguardo de los datos
que se generan de su operatividad.
Para la Empresa es de gran importancia el generar un ambiente organizado y
alineado con mejores prcticas para el rea de TI.
Para la Empresa es importante el recurso Humano existente, y desea su
fortalecimiento y capacitacin para acometer los retos planteados.
I. Seguridad
Negocio
Fsica
Continuidad
de
ALCAN
CE
Gestin de Activos.
Relaciones con los Proveedores.
Gestin de la Continuidad del Negocio.
Seguridad Fsica y Ambiental.
En la evaluacin desarrollada se evalu el ambiente de produccin del aplicativo
Gestin de Activos.
1. Inventario de Equipos:
Se le solicitud al departamento de tecnologa el inventario de los Activos de los
diferentes equipos tecnolgicos (informacin entregada con fecha de diciembre
2015), la misma fue recibida y analizada, dando los siguientes resultados:
Hallazg
o
Se pudo evidenciar en el
inventario
suministrado
por
el
personal
de
tecnologa, la falta del
serial del activo fijo
en varios equipos, por
ejemplo:
54
equipos
entre
los
cuales
se
mencionan:
(Monitor,
CPU,
Mouse,
Fotocopiadora, Regulador
de
Voltaje,
Laptop,
UPS).
Implicaciones /
Riesgos
Posibilidad de prdidas
de equipos por una
dbil gestin de los
inventarios.
Recomendaciones
Se recomienda al personal de
tecnologa incorporar el serial del
activo fijo a los equipos que le
hacen falta en el inventario, y as
poder tener un mejor control de
cada uno de ellos.
NOTA; considero que nos deben apoyar mejor con la recomendacin, con ms
informacin al respecto de teora de inventario de equipos de tecnologa, normas o
nomenclaturas a ser usado, con la finalidad de estandarizar este inventario de equipos, e
ir apuntado al deber ser (ejemplo; es remendado usar cdigo de barras o no, necesario
utilizar un sistema para no llevar esto en fsico), dudas que surgen del anterior punto.
En el hallazgo se es especfico en el punto, indicndose que lo que falta es el serial del
equipo, ya que de los tems se tiene informacin que podra ser suficiente para un inicio.
Implantar en sistema de gestin de Inventario de activos podra ser una segunda etapa.
Hallazg
o
No
se
evidenci
inventario de equipos de
comunicacin:
(Switch,
Router, Modem).
Implicaciones /
Riesgos
Posibilidad de prdidas
de equipos por una
dbil gestin de los
inventarios,
lo
cual
generara un impacto
econmico negativo para
la empresa.
Recomendaciones
Se
recomienda
al
rea
de
tecnologa
incorporar
en
el
inventario general
todos los
equipos de comunicacin, para as
poder tener un mejor control de
todos los
activos tecnolgicos
que posee la empresa, lo que
NOTA; tengo las mismas apreciaciones del anterior comentario, adems que se debera
explicar cmo se debera ser asumidas las responsabilidades de estos equipos al
resguardo de del Depto. Soporte IT y sobre qu riesgo la empresa y su personal debera
tambin asumir el riesgo. Ejemplo (Lo que sucedi con el servidor, por una gotera fallo el
equipo, polticas que se debe tener por escrito de quien asume la responsabilidad de tal
falla).
Las responsabilidades de todos los activos de Informacin que no estn asignados
directamente a empleados o a terceros, es del rea de TI. Con ello el rea de TI debe hacer
todo lo necesario para resguardar, mantener y proteger cada activo. Los activos que se asignen a
un empleado o tercero, debe ser establecida la responsabilidad en acta de entrega, en la que se
indiquen las responsabilidades que correspondan.
2.
Hallazg
o
Se pudo constatar con el
personal de tecnologa
la existencia de una
carta de compromiso para
los equipos mviles (PDA),
pero no se evidenci
la documentacin de una
poltica de seguridad
donde establezca el uso
adecuado de todos los
activos tecnolgicos (CPU,
Mouse, Lapto, UPS,
Teclado).
Implicaciones /
Riesgos
Posibilidad de una
gestin no adecuada
para el uso de los
equipos, la misma
podra originar daos y
deterioro, lo cual podra
generar prdidas
econmicas para la
empresa.
Recomendaciones
Se recomienda al departamento de
tecnologa realizar la creacin
de una poltica de seguridad para
el uso aceptable de los diferentes
activos tecnolgicos que utiliza el
personal operativo de la empresa.
Por ejemplo se recomienda la
siguientes polticas: 1).
Los
empleados
y
los
usuarios
externos que utilizan o tienen
acceso a los activos de la
organizacin
deberan
ser
conscientes de la importancia
de
los
mismos
para
la
organizacin, y de su cuidado y
buen resguardo.
2). Deberan responsabilizarse
del uso de los recursos de
procesamiento
de
la
informacin y de su adecuado
uso.
NOTA; actualmente solo se maneja polticas para las PDAs, y los equipos laptops
asignados, pero como aplicara para los equipos de mouse, ups, teclado. Donde sabemos
por el uso
y manipulacin
de los mismos,
necesitamosEjemplo
accesoria(un
en
que
sufre
do un
quedesgate
tan tolerantes
podemos
ser, al momento
de una asignacin.
el senti
teclado numrico se deteriora por el uso, como tambin se puede deterior por mal uso) .
En
este
sentido,
sejodceondiciones
be tener algn
criterio
sobre
el usohacer
y desegva
asluaciones
te naturalqque
pueda
tener
un sobre
activo,elba
razonab
lda
es. al
Se
deberan
ue pued
an
orientar
uso
y
cuidado
que
se
le
activo.
Este
aspecto
debe
ser
tratado
con
altos niveles de subjetividad, dado que no hay un control directo sobre el activo.
Inventario de Datos y protecciones:
5
1.
Hallazg
o
Durante la evaluacin se
pudo constatar que el
personal de tecnologa de
la
empresa
no
tiene
conocimiento
del
diccionario de datos, ya
que esa informacin la
maneja el proveedor de
servicio
del
sistema
Power
Street
Solutions.
2.
Implicaciones /
Riesgos
Dificultad
para
determinar
las
caractersticas lgicas y
puntuales de los datos,
ante un problema que se
pueda presentar.
Recomendaciones
Se recomienda que el personal de
tecnologa de la empresa, realice la
gestin de solicitar al proveedor la
documentacin
tcnica
del
diccionario de datos, y as tener
mayor conocimiento de cmo se
encuentra
estructurado
el
diccionario de datos del aplicativo
Power Street Solutions, ante
cualquier problema que se pueda
presentar.
Hallazg
o
Durante la evaluacin se
pudo constatar que el
personal de tecnologa de
la
empresa
no
tiene
conocimiento
del
modelado de datos, ya
que esa informacin la
maneja el proveedor de
servicio
del
sistema
Power
Street
Solutions.
Implicaciones /
Riesgos
Posibilidad de prdida de
tiempo al hacer trabajos
que requieran ubicar la
situacin actual de las
estructuras de datos, por
lo cual se puede originar
retraso para la solucin.
Recomendaciones
Se recomienda que el personal de
tecnologa de la empresa, realice la
gestin de solicitar al proveedor la
documentacin tcnica modelado
de datos, y as tener mayor
conocimiento de cmo se encuentra
estructurado el modelado de datos.
Hallazg
o
Durante la evaluacin se
pudo constatar que el
personal de tecnologa de
la
empresa
no
tiene
conocimiento del control
de acceso a bases de
datos,
es
decir
no
tienen informacin de los
usuarios
que
estn
accediendo a la Bases de
Implicaciones /
Recomendaciones
Riesgos
-Posibilidad de acceso a
Se recomienda al personal de
informacin por parte de
tecnologa de la empresa,
usuarios no autorizados.
realizar mesas de trabajo con el
-Posibilidad de prdida
proveedor de mantenimiento del
sistema Power Street
o
destruccin
de
informacin.
Solutions; Para realizar una
depuracin de los usuarios que se
encuentra en la bases de datos y
as tener un
mejor control de acceso.
datos.
NOTA;
es viable
adems
que de
se debe
tener
unaeldocumentacin
de cmo est
estructurado
los
usuarios
as la
BD.
El
rea
TI
debe
tener
control
deda
latos.
asignacin
ysentido
gesti
nsededebe
los
usuarios
y
l
o
privil
e
g
i
os
que
se
po
s
een
sobre
las
base
de
En
este
exigir
al se
propodr
veedoriden
la etintrega
deinventario
la gestinde
deusuarios
los usuarios
s privnilegios.
ner es
te
control,
y la ydesufinici
de los Al
pertefiles
que
deben tener
con resp
ectoficar
a la el
aplica
cin.
Gestin de Proveedores.
1.
Existencia de poltica de seguridad de la informacin para las relaciones
con los proveedores:
Hallazg
o
Durante la evaluacin se
pudo evidenciar que la
empresa
no
tiene
establecidas
polticas de
seguridad lgica y fsica,
que estn documentadas
en los contratos con los
diferentes
proveedores
de servicios tecnolgicos.
Implicaciones /
Riesgos
Posibilidad
de
incidentes que afecten
a la disponibilidad, la
confidencialidad o
la
integridad
de
informacin.
-Posibilidad de afectar
las operaciones de la
empresa
debido
a
prdidas de tiempo en
la toma de decisiones
en casos de incidentes
de alto impacto.
-Posibilidad de creacin
de perfiles de usuarios
con
accesos
no
adecuados, a los niveles
de confidencialidad de la
informacin.
Recomendaciones
Se
recomienda
al
rea
de
tecnologa realizar mesas de trabajo
con el personal jurdico de
la
empresa para tener en cuenta el
siguiente aspecto al momento de
elaborar el contrato: La empresa
debe
administrar
adecuadamente la seguridad
lgica de los recursos de
Tecnologa de la Informacin,
incluso
aquellos
que
sean
administrados o custodiados
por terceros. En consecuencia
deber establecer, formalizar e
informar
las
polticas
y
procedimientos que permitan
identificar,
autenticar
y
autorizar
el
acceso
a
los
sistemas
de
informacin,
operativos y de base de datos.
NOTA; accesoria al respecto. Este aspecto debe ser un proyecto a ser desarrollado
tomando en cuenta el alcance que se le quiera dar al tema de la seguridad de la
informacin. Se podra asesorar para desarrollar este punto. No se pudo ampliar en la
recomendacin, ya que no se conoce el alcance del contrato que existe o que se est
negociando.
2.
Hallazg
o
Se pudo constatar que el
personal de tecnologa no
tiene conocimiento de la
existencia
acuerdos
confidencialidad.
Implicaciones /
Riesgos
Posibilidad de incidentes
que
afecten
a
la
disponibilidad,
la
confidencialidad o
la
integridad
de
informacin.
Recomendaciones
Se
recomienda
al
rea
de
tecnologa realizar mesas de trabajo
con el personal jurdico de
la
empresa para tener en cuenta el
siguiente aspecto al momento de
elaborar el contrato:
El
personal
temporal
o
contratado,
as
como
los
usuarios externos deben firmar
el acuerdo de confidencialidad
y la no divulgacin de
la
informacin, antes de que se
les otorgue el acceso a
las
instalaciones de procesamiento
de la informacin. Por otra
parte, no debern tener acceso
a las bases de datos de la
empresa,
en
procura
de
mantener la confidencialidad de
lastra
informacin
delde
cliente.
sumini
un ejemplo
lo que pod ra
EVALUACIN DE LA CONTINGENCIA
DE TI.
Se le solicit al personal de tecnologa documentacin referente a los
siguientes aspectos:
1. Contingencia en caso de desastre.
2. Tiene establecido y documentado Escalamiento de la Contingencia:
3. Se encuentra establecido los Escenarios Considerados para una contingencia:
Natural, Humano, Tcnico.
4. Estructura Organizacional.
Hallazg
o
Implicaciones /
Riesgos
Recomendaciones
- Posibilidad de no ubicar
a los responsables
de a. Objetivo y alcance del plan
ejecutar el
plan
de definido.
contingencia y con esto
el no restablecimiento de
b. Metodologa empleada para su
las operaciones crticas.
diseo.
- Imposibilidad de acceso
a
los
recursos
informticos, sean estos
por
cambios
involuntarios
o
intencionales, tales como
cambios de claves
c.
Identificacin
crticos.
de
procesos
NOTA; unos de los planes importante con prioridad para la empresa, es el resguardo de
la informacin BD, en algn sitio seguro fuera de las instalaciones de la empresa. El sitio
debe ser definido por la empresa en funcin de disponibilidad de equipos y
comunicaciones que permitan mover el respaldo a una instalacin ubicada en una
localidad distinta y distante del centro donde se genera la informacin.
Implicaciones /
Riesgos
Posibilidad de acceso
de
personas
no
autorizadas, lo cual
puede
ocasionar
sabotaje,
daos
maliciosos
a
los
diferentes
equipos
tecnolgicos
(Servidores, Switch,
Router, Modem), por
tal motivo
impactara
negativamente
la
operatividad de la
empresa.
Recomendaciones
Los centros de procesamiento de
datos, tanto principales como los
cuarto de comunicaciones, deben
ser resguardados por adecuados
controles de acceso, para lo cual se
deben considerar los siguientes
aspectos:
a.
Utilizar
controles
de
autenticacin para el acceso de
personal
autorizado
(tarjeta,
nmero de identificacin personal
-PIN-, carnet, biometra, entre
otros).
b.
Restringir
el
acceso
a
personal no autorizado a las
mencionadas instalaciones. Por otra
parte, las actividades ejecutadas
por los visitantes deben ser
supervisadas o inspeccionadas, as
como encontrarse registradas en
las bitcoras definidas para tal fin.
c.
Revisar
y
actualizar
peridicamente los derechos de
acceso a las reas protegidas o
restringidas.
NOTA; misma situacin debera aplicarse para los prstamos de los equipos de IT, bajo
la bitcora de quien lo presta. Debe quedar registrado cualquier movimiento de un
activo de informacin, indicndose, como mnimo, quien entrega y quien recibe, la
naturaleza del movimiento, la fecha y la nueva ubicacin del activo.
2. Sensores de Movimiento:
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia de sensores de
movimientos al cuarto de
los
servidores,
como
tambin
a
los
dos
cuartos
de
comunicaciones.
Implicaciones /
Riesgos
Posibilidad de Entradas
Forzadas,
Atracos,
y
situaciones de secuestro,
sin
que
se
puedan
generar alarmas.
Posibilidad de acceso
de
personas
no
autorizadas, sabotaje,
daos maliciosas a los
diferentes
equipos
tecnolgicos
(Servidores, Switch,
Router, Modem), por
tal motivo
impactara
Recomendaciones
Debido al alto grado de sensibilidad
que representa las reas
de
tecnologa
(cuarto
de
los
servidores
y
cuartos
de
comunicaciones) para la empresa,
se recomienda al personal de
tecnologa lo antes posible, realizar
los
trmites
necesarios
que
permitan incorporar sensores de
movimientos, para as reducir el
riesgo de robo y sabotaje.
negativamente
operatividad
de
empresa.
la
la
NOTA; es viable, se debera ejecutar un proyecto para tal fin, ya que esto acarrea costos.
La empresa debe determinar si con base a su esquema de manejo de riesgo, y el impacto
de un incidente sobre estos activos, justifica o no la inversin.
3. Cmaras o Videocmaras:
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia de Cmaras o
Videocmaras al cuarto
de los servidores como
tambin
a
los
dos
cuartos
de
comunicaciones.
Implicaciones /
Riesgos
La
imposibilidad
de
monitorear y verificar el
ingreso de personal no
autorizado al rea donde
se
encuentra
los
servidores y los equipos
de
comunicaciones
Switch,
Router,
Modem.
Recomendaciones
Se recomienda instalar cmaras o
videocmaras adentro del cuarto
donde
se
encuentra
los
servidores, as como tambin en los
dos cuartos de comunicaciones, lo
cual ayudara monitorear
el
personal que ingresa a un rea tan
sensible,
por
ejemplo:
se
recomienda
instalar
Circuito
cerrado
de televisin o CCTV.
NOTA; tambin es viable, solo sera cuestin de acomodar la posicin las cmaras de
vigilancia de administracin, o mudarla de sitio a uno estratgico para vigilar el rea de
IT. OK.
4. Extintores:
Se pudo constatar en la inspeccin que la empresa tiene instalado el
siguiente tipo de extintor en los diferentes lugares: Extintor de Polvo Qumico
Seco (P.Q.S).
El Polvo Qumico Seco (P.Q.S): Un extintor consta de un cilindro metlico que
contiene un agente extintor que, o bien debe mantenerse siempre a presin, o bien
se incorpora la presin en el momento de su utilizacin.
Hallazg
o
Se
constat
que
la
empresa tiene instalado
Extintores
de
Polvo
Qumico Seco (P.Q.S).
Implicaciones /
Riesgos
Posibilidad
causar
problemas para respirar
y dificultar la visibilidad
durante
o
inmediatamente despus
de su descarga.
Recomendaciones
Se recomienda al departamento de
Higiene
y
Seguridad
realizar
mesas
de
trabajo
con
la
Administracin
General
de
la
empresa,
para
analizar
la
posibilidad de cambiar los
10
10
NOTA;
no tena
conocimiento
al respecto,
coordinadora
de higiene
y seguridad.
Ok. sera cuestin de elevar la informacin a la
Se pudo evidenciar en la evaluacin realizada la existencia de un extintor cercano
al cuarto de los servidores, como tambin se observ uno cercano al cuarto de
comunicacin que se encuentra en el departamento de talento humano.
Tambin se le solicit el oficio del ltimo mantenimiento que se le realiz al
extintor y la constancia de la ltima induccin que se le realizo al personal para el
uso de los extintores, para lo cual no hubo observaciones:
La informacin suministrada consta de un informe del ultimo mantenimiento
realizado a los extintores fue el da 01 de Julio 2015 por parte de la empresa
Multiservicio la 8 El Pial; y la charla participo 21 personas de la diferentes
reas de la empresa la cual se efectu fecha 01/08/2015 por el facilitador Lucas
Galvis.
Hallazg
o
Durante la evaluacin se
pudo
constatar la
no
existencia de extintores
cercanos al cuarto de
comunicaciones
ubicado
en la sede corporativa
de la empresa.
Implicaciones /
Riesgos
Surge el
riesgo
elevado de no poder
controlar
conatos
incendios con grandes
posibilidades de daos
tanto
humano
como
material.
Recomendaciones
Se recomienda instalar extintor
de CO2 cercano al cuarto de
comunicacin, para
as
poder
controlar
una
emergencia
de
incendio
y
evitar
prdidas
humanas y materiales.
NOTA; hacer la solicitud para ubicar un extintor cerca del cuarto de antenas. Tener en
consideracin el tipo de extintor requerido para equipos electrnicos.
5. Detectores de Incendio:
Se pudo constatar en el cuarto de comunicaciones ubicado en la sede corporativa un
detector de incendio.
11
11
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia de detectores
de incendio
en el
cuarto de los servidores
como tambin al cuarto
de comunicacin ubicado
en el departamento de
talento humano.
Implicaciones /
Riesgos
La imposibilidad detectar
incendios, lo cual podra
generar
daos
lamentables
tanto
humano como a su vez
material en este caso
Servidores,
Switch,
Router, Modem).
Recomendaciones
Se recomienda instalar detectores
de incendio adentro del cuarto
del
servidor
y
equipos
de
comunicacin y as poder detectar
una emergencia de incendio, para
luego proceder aplicar medidas
para controlar el fuego, facilitar la
evacuacin y actuar sobre el
sistema de extincin. Un detector
de incendio es la manera ms
rpida de luchar contra un incendio
antes de que sea tarde.
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia
de dispositivos
de control de Temperatura
y Humedad en el cuarto de
los servidores como en los
cuartos
de
comunicaciones.
Implicaciones /
Riesgos
Posibilidad
de
no
detectar problemas a
tiempo en los servidores,
por ejemplo:
recalentamiento por tal
motivo
pudieran
afectar las operaciones
de la empresa.
Recomendaciones
Se recomienda que el personal de
tecnologa gestione la adquisicin
de
dispositivos de control de
Temperatura
y
Humedad
(Termmetro Digital), para as
poder tener control diario y luego
registrarlo en una bitcora.
la
el
NOTA;
que Esta
se hace
con
esta
bitcora
si serda
instala
este
tipo
de vdispositivo,
para
quienes
le
servira?
b
itc
o
ra
debe
ser
resgua
d
a,
y
deber
a
ser
eri
f
icada
m
ens
u
a
lmente
para
dete
rmequipos
inar posi
bleesser
desviaciones
que
pnudieran
alertar
de cam
mbios
que
pudieran
apefectar
los
.
D
posibl
e
,
se
deb
e
de
f
inir
los
valores
n
i
m
os
y
mx
imos
r
m
itidos
de
t
e
m
pera
t
ura
y
hu
m
edad,
t
o
m
a
n
do
en
c
uenta
l
as
c
o
ndi
c
iones
est
a
blecidas
por los proveedores.
7. UPS e Instalaciones elctricas Seguras.
12
12
Hallazg
o
Se pudo evidenciar en la
evaluacin realizadaque el
coordinador de TI es el
encargado de realizar la
gestin con el proveedor,
igual nos comunic que
solamente se llama el
proveedor cuando se daa
el UPS.
Implicaciones /
Riesgos
Posibilidad de no realizar
una adecuada gestin de
mantenimiento, lo cual
puede
impactar
negativamente
la
operativa
de
los
servidores, a su vez
prdida econmica para
la empresa.
Recomendaciones
Se
recomienda
que
el
mantenimiento de los UPS sea
preventivo lo cual permite que el
equipo funcione en condiciones
ptimas de operacin, ayuda a que
el equipo extienda al mximo su
vida til, elimina los problemas de
energa, permitiendo a la empresa
un
trabajo
continuo
y
sin
interrupciones, a la vez que permite
programar un servicio predictivo
que optimice el funcionamiento del
equipo.
Tambin se recomienda que la
persona encarga de realizar la
gestin del monitoreo de
el
mantenimiento de los UPS no sea
el personal de TI de la empresa, ya
que es una actividad ajena a la
operativa
tecnolgica
de
la
empresa.
NOTA;
es
decir
quelasera
el de
Dpto.
de
Infraestructura
la fgestin
deomantenimiento
de los
equipos
e IT
llevar
tutela
que
se
cumpla.
Se
modi
icaien
latorec
mendacin,
yiciente,
a que
ely
m
o
nitoreo
de
q
ue
se
c
uente
con
un
esqu
e
m
a
de
m
ante
ni
m
per
i
dico
y
su
f
que
se
aplique,
d
ebe
s
er
de
TI
,
lo
que
corr
e
sponde
a
un
rea
de
i
n
f
raestructura
es
el
mantenimiento en s.
Hallazg
o
Se pudo evidenciar en la
inspeccin la carencia de
UPS para los equipos de
comunicaciones
en
el
cuarto
ubicado
en
el
departamento
de
Talento humano.
Implicaciones /
Riesgos
La posibilidad de que
ocurra una falla elctrica
lo cual puede originar la
suspensin de servicio de
los
equipos
de
comunicacin y a su vez
daos a los mismos, por
tal motivo impactara
negativamente
la
operatividad
de
la
empresa,
lo
cual
generara
prdidas
econmicas.
Recomendaciones
Se recomienda al personal de
tecnologa la gestin para instalar
un UPS para los equipos de
comunicaciones
en
el
cuarto
ubicado en el departamento de
Talento humano, para as evitar
daos a los equipos.
NOTA;
esLonecesario
unUPS,
UPSyao que
podemos
usar
un
regulador
picos de
corriente?
ideal
es un
el equipo
no en
estara
sujeto asupresor
cadas
node
controladas,
lo
cual
dara
oportunidad
de
hacer
un
apagado
condiciones
adecuadas.
De
igual
manera,
la decisin
tomada que
en funcin
las condiciones
de suministro elctrico
propias de
la zona,debe
y elserimpacto
pudieradetener
sobre el funcionamiento
de los
13
13
equipos.
Para las instalaciones elctricas de los dos cuartos de comunicaciones se
evidencio la siguiente observacin:
Hallazg
o
Durante
la
evaluacin
se
observ
que
las
instalaciones elctricas no
se encuentran
en
condiciones adecuadas de
seguridad, es decir los
cables estn fuera de las
tuberas.
Implicaciones /
Riesgos
En las instalaciones
elctricas, existen dos
tipos
de
riesgo
mayores: - Las corrientes
de
choque
y
las
temperaturas excesivas,
capaces
de
provocar
quemaduras,
incendios
explosiones
u
otros
efectos peligrosos.
Recomendaciones
Se
recomienda
al
rea
de
tecnologa realizar mesas de trabajo
con
el
departamento
de
infraestructura para poder mitigar
estos peligros de alto riesgo, y as
evitar daos Humano y material.
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
carencia de identificacin
del cableado
de
red
(RJ45) de conexin hacia
los
equipos
de
comunicaciones
(Switch,
Router,
Modem)
e
inexistencia del plano de
distribucin (Backbone).
Implicaciones /
Riesgos
La
imposibilidad
de
identificar
las
conexiones
desde
el
RACK hacia los Switch y
Reuters al momento que
se presenta cualquiera
emergencia o incidente
de comunicacin.
Recomendaciones
Se recomienda al personal de
tecnologa
ejecutar
el
levantamiento de la identificacin
del
cableado (RJ45) que van
conectados a los Switch y Router,
para luego tambin realizar el plano
de distribucin (Backbone), lo cual
facilitara identificar en cualquier
momento
algn
dao
de
comunicacin.
NOTA; necesit asesora al respecto. Se podra trabajar un soporte adicional para apoyar
en la normalizacin de la infraestructura de cableado. Esto es un proyecto.!!!
Observaciones Generales:
Cuarto de Servidores:
Hallazg
o
Se
pudo
observar
materiales
inflamables
en el cuarto de servidores.
Implicaciones /
Riesgos
Posibilidad de que se
genere un incendio en
la sala de servidores y
equipos
de
comunicaciones,
que
podran
impactar
la
operatividad
de
la
empresa
y
genere
Recomendaciones
Se recomienda reubicar en
otro sitio los materiales que no
tienen nada que ver con el cuarto
donde
se
encuentra
los
servidores,
y
as
evitar
la
posibilidad de siniestros.
14
14
prdidas econmicas.
Hallazg
o
Se
pudo
observar
materiales
inflamables
en el cuarto de servidores.
Tambin
se
observ
problemas de humedad y
filtraciones en el cuarto
de comunicacin (Sede
Corporativa)
Implicaciones /
Riesgos
Posibilidad de generar
siniestros que afecten a
los
equipos
de
comunicaciones, y que
puedan
impactar
la
operatividad
de
la
empresa
y
genere
prdida econmica.
Recomendaciones
Se recomienda reubicar en
otro sitio los materiales que no
tienen nada que ver con el cuarto
donde se encuentra los servidores y
equipos de comunicaciones.
Tambin se recomienda al rea de
tecnologa realizar reuniones con el
departamento
de infraestructura
para proceder a la reparacin de
las filtraciones de humedad.
Hallazg
o
Se pudo evidenciar que
no se cuenta con una
bitcora de registro de
acceso al espacio fsico
donde se encuentra la
planta elctrica.
Implicaciones /
Riesgos
Posibilidad de acceso de
personas no autorizadas,
lo cual puede ocasionar
sabotaje,
daos
maliciosos a la planta
elctrica.
Recomendaciones
a.
Utilizar
controles
de
autenticacin para el acceso de
personal
autorizado
(tarjeta,
nmero de identificacin personal
-PIN-, carnet, biometra, entre
otros).
b.
Restringir
el
acceso
a
personal no autorizado a las
mencionadas instalaciones. Por otra
parte, las actividades ejecutadas
por los visitantes deben ser
supervisadas o inspeccionadas, as
como encontrarse registradas en
las bitcoras definidas para tal fin.
Sensores de Movimiento:
15
15
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia de sensores de
movimientos al espacio
fsicos
donde
se
encuentra
la
planta
elctrica.
Implicaciones /
Riesgos
Posibilidad de Entradas
Forzadas,
Atracos,
y
sabotajes, sin que se
puedan generar alarmas.
Recomendaciones
Debido al alto grado de sensibilidad
que representa la planta elctrica
para la empresa, se recomienda al
personal de Infraestructura lo antes
posible,
realizar
los
trmites
necesarios que permitan incorporar
sensores de movimientos, para as
reducir el riesgo de sabotaje y dao.
Cmaras o Videocmaras:
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
ausencia de Cmaras o
videocmaras al espacio
fsico donde se encuentra
la planta elctrica.
Implicaciones /
Riesgos
La
imposibilidad
de
monitorear y a su vez
verificar el ingreso de
personal no autorizado al
rea donde se encuentra
la planta elctrica,
lo
cual puede ocasionar
sabotaje,
o
daos
maliciosos a la planta
elctrica.
Recomendaciones
Debido al alto grado de sensibilidad
que representa la planta elctrica
para la empresa, se recomienda al
personal de Infraestructura lo antes
posible,
realizar
los
trmites
necesarios que permitan incorporar
cmara y videocmaras, para as
reducir el riesgo de sabotaje y dao.
Extintores:
Durante la evaluacin de pudo evidenciar la presencia de un extintor ubicado en las
instalaciones donde se encuentra la planta elctrica.
Hallazg
o
Se pudo evidenciar en la
etiqueta o rotulo impreso
en el extinguidor la fecha
de ltimo mantenimiento
Junio 2014, es decir lleva
un ao y medio se realizar
mantenimiento.
Implicaciones /
Riesgos
Surge la posibilidad que
al
utilizarlo
en
un
momento de emergencia
(Incendio), est averiado,
con
lo
cual
sera
imposible
controlar
conatos
de incendio
con
grandes
posibilidades de daos
Humanos y materiales.
Recomendaciones
Se recomienda que el personal del
departamento
de
Higiene
Ocupacional gestione algn control
donde se pueda constatar que la
empresa
que
realiza
el
mantenimiento de los extintores
ejecut el trabajo planteado; y as
aseguren la integridad del personal
que reside dentro o cerca de
estas instalaciones, y de
los
activos
de
informacin ante
cualquier conato de incendio que
puede
surgir
en
cualquier
momento.
Detectores de Incendio:
Hallazg
o
Se pudo evidenciar en la
evaluacin realizada la
Implicaciones /
Riesgos
La imposibilidad de
detectar un incendio,
Recomendaciones
Se recomienda instalar detectores
de incendio adentro de las
16
16
ausencia de detectores
de incendio
en las
instalaciones fsicas donde
se encuentra la planta
elctrica.
instalaciones
fsicas
de
la
Planta Elctrica, y as poder
Detectar
una
emergencia
de
incendio, para luego proceder
aplicar medidas para controlar el
fuego, facilitar la evacuacin y
actuar
sobre
el
sistema
de
extincin.
Un
detector
de
incendio es la manera ms rpida
de luchar contra un incendio
antes de que sea tarde.
Observaciones Generales:
Hallazg
o
Se le solicit al jefe de
Infraestructura soporte del
ltimo mantenimiento de
la planta elctrica, para la
cual se nos comunic que
no exista ningn respaldo
por escrito de los trabajos
que se realizaron a la
planta elctrica.
Implicaciones /
Riesgos
* Posibilidad de que no
se
realice
el
mantenimiento
a
la
planta elctrica, por tal
motivo surge elRiesgo
elevado de no poder
suministrar energa a la
empresa en cualquier
momento
de
contingencia.
Se evidenci que en la
parte inferior de la planta
elctrica, la existencia de
residuos de gasoil, para
lo cual se nos inform (el
jefe de infraestructura)
que era consecuencia de
la carga o suministro de
gasoil hacia la planta.
Se
recomienda
realizar
* Riesgo elevado de mantenimiento (Limpieza) luego de
conatos de incendio con realizar la carga de gasoil (vote de
grandes
posibilidades gasoil durante la carga) a la planta
elctrica,
para
as
evitar
la
de daos.
posibilidad de incendios.
Recomendaciones
Se recomienda que el personal
del
departamento
de
Infraestructura
gestione
algn
control donde pueda constar que
la
empresa
que
realiza
el
mantenimiento lo haya ejecutado
satisfactoriamente; y as aseguren
la continuidad operativa de la
empresa.
17
17
distintos puntos de la red con el fin de obtener los datos necesarios para
determinar su estado actual.
De las observaciones hechas, se desprenden los siguientes hallazgos:
Implicacin/Riesgo
Recomendac
Cable
de
red
s
troncal
muy
largo
(cerca
de
90mts)
entre el almacn y el
ltimo switch dispuesto
en ese cable.
La
canalizacin
esta
compartida con cables
de electricidad.
Hallazgo
Conexin
inestable por
s
atenuacin del medio de
transmisin,
ocasionando
prdida de paquetes por
tiempo de espera agotado.
Interferencia elctrica por el
cableado elctrico cercano.
Reconfigurar
la
in
topologa de la red
hacia
una
solucin
ms estable. Por la
visual evaluada y el
espacio fsico dispuesto,
se puede realizar una
conexin
inalmbrica
punto a punto con
equipos de gama alta,
puesto que funcionara
como troncal entre la
oficina
administrativa
y
almacn.
No
existe
segmentacin en la
red.
Separar el dominio de
colisiones utilizando
equipos
activos
dentro de la red (Ej.:
Enrutadores,
firewall
interno)
Switchs en cascada no
identificados.
Organizar
y
documentar todos los
puntos de red. Con el
fin de levantar un plano
detallado de la red
fsica.
Ante
una
falla
el
diagnstico no se puede
realizar. El crecimiento de la
red no puede realizarse de
forma
ordenada,
pudendo
crear cuellos de botella ante
una expansin.
Identificar
los
puntos de red tanto
en cajetines de clientes
como en el patch panel.
Actualizar
el
firmware de
los
equipos y revisar las
configuraciones
realizadas, con el fin
de habilitar funciones
que contribuyan con
su funcionamiento.
NOTA; para mejorar la red se tiene que ejecutar varios proyectos con el
consentimiento del deber ser, es decir que de esta aparte est claro varios proyecto
para mejorar; 1.- mudar la antenas de DIGITEL a la sede operativa, 2.- eliminar la
conexin de cable para el rea de operaciones y ponerlo de manera inalmbrica, 3.certific ar la red y estructurar de nuevo los puntos de red local, 4.- documentar todo
lo concerniente a la red. Ok. Esto es un proyecto.!!!
Control evaluado: Configuracin lgica de la red
Identificar la configuracin lgica actual de la red, con el fin de determinar cualquier
situacin no deseada que pudiese estar causando problemas de funcionamiento y
seguridad, degradacin en el servicio o rendimiento general.
Una vez hechas las capturas de datos y las observaciones necesarias, se
describen los hallazgos encontrados:
Hallazgo
El acceso
a internet
s
por
parte
de
los
clientes
no
est
controlado. Cualquier
usuario puede acceder
a recursos web sin
restriccin,
control o
monitoreo.
Implicacin/Riesgo
Recomendac
Consumo
excesivo de ancho
s
de
banda. Acceso libre a recursos
riesgosos y de ocio de la web
(Ej.: Redes sociales, videos en
lnea,
pginas
indebidas,
descargas de msica). Riesgo
de infecciones de virus y
malware. Falta de monitoreo
y control de las actividades de
la
red
corporativa.
Degradacin
en
la
comunicacin y acceso a los
servicios
remotos
inter
sucursales.
No hay una identificacin
precisa de la ubicacin fsica
del equipo. Ante un incidente
no es fcil determinar donde
se encuentra
para
tomar
las
Habilitar
in equipos de
control de ancho de
banda (Ej.:
Firewall,
Proxy,
control
de
contenido), donde se
pueda
monitorear y
regular
el
uso
de
internet por parte de
los clientes de la red
corporativa.
Evitando
el
desperdicio
de
ancho de banda en
recursos web que no
forman
parte
del
negocio.
Crear un mecanismo
de
asignacin
de
direcciones
gestionado
por
la
coordinacin
de
tecnologa, ya sea
Peticiones
directas
internet.
DNS
hacia
acciones
necesarias.
Cualquier persona se puede
conectar a los recursos de la
red
mediante un medio
fsico.
Uso innecesario de ancho de
banda.
Posibilidad
de
conectarse a otros servicios
DNS maliciosos o destinados
a
saltar
controles
de
acceso.
Riesgo
de
suplantacin
de
sitios
o
servicios web.
Escritorio
remoto
redirigido
desde
internet sin control de
acceso
Riesgo
de
seguridad
al
exponer un servicio interno y
crtico de la red. Acceso sin
restriccin
externa
a
un
servidor crtico de la red
corporativa.
IPv6
habilitado
innecesariamente
asignndolas
manualmente
o
mediante un DHCP de
concesiones fijas.
Implementar
un
servicio DNS interno
para la red corporativa,
donde
todos
los
clientes slo puedan
consultar
a
ste,
restringiendo
las
consultas a servicios
externos.
Crear un mecanismo de
acceso autenticado (Ej.
VPN) para el acceso de
los servicios crticos de
la red. Implementar
compresin
en
el
intercambio de datos.
Deshabilitar
el
protocolo IPv6 en
todos los equipos.
NOTA; asesora sobre este tema, para poder controlar la red es necesario un
proyecto para tal finalidad, pero cul sera la opcin ms adecuada.
Se podra
contratar un soporte adicional para ayudar a definir las tareas requeridas. Esto es un
proyecto.!!!
20
20
Hallazgos
Implicacin /
Riesgos
Recomendacin
En la organizacin no se
realizan actividades para
concientizar al personal
sobre procedimientos y
responsabilidades
de
prevencin de software
malicioso.
Posibilidad
de
interrupciones
de
servicios afectando la
operatividad de la
organizacin; alteracin,
robo o prdida de
informacin, accesos no
autorizados.
Se recomienda definir
polticas y normas que
definan procedimientos
y
responsabilidades
sobre la prevencin del
software malicioso por
parte de los empleados,
de la misma manera
generar
y
planificar
actividades
que
permitan concientizar al
personal
sobre dichas
polticas, normas
y
procedimientos.
En
las
estaciones
de
trabajo y servidores de
desarrollo se implement la
versin gratuita de Avast
antivirus, la cual carece de
ciertas caractersticas de
proteccin incluidas solo en
versiones pagas, por lo
que un atacante puede
aprovecharse
de
estas
vulnerabilidades.
Posibilidad de accesos
no
autorizados,
divulgacin
de
informacin sensible, o
prdida de informacin.
Se
recomienda
implementar solucin de
antivirus corporativo, con
licenciamiento para todos
los equipos presentes en
la red de la organizacin.
Posibilidad
de
interrupciones
de
servicios;
alteracin,
robo
o
prdida
de
informacin, accesos no
autorizados.
Implementar solucin de
antivirus que permita la
gestin centralizada,
permitiendo garantizar
la aplicacin correcta de
parches
de
actualizacin y gestin
adecuada de alertas de
seguridad generados por
los mismos.
Las actualizaciones se
realizan desde cada
Aumento de consumo
de ancho
de
banda
Se
recomienda
implementar repositorio
21
21
o servidor de distribucin,
que consiste
en
un
equipo que se conecta
a interne actualice el o los
ficheros
y
luego
lo
distribuya al resto dentro
de la red local.
Conclusin
:
La empresa cuenta con niveles de seguridad proteccin de software malicioso, sin
embargo, en base a los hallazgos manifestados, se requiere que dicha gestin sea
mejorada, en este sentido a continuacin se referencian una serie de
recomendaciones basada en las mejores prcticas para una adecuada gestin de
software de antivirus:
-
La gestin de antivirus debe ser tratada como una funcin importante dentro del
rea de TI, se debe asignar responsable, delegar funciones y capacitar al
personal de TI para que el mismo responda por la administracin del Antivirus.
NOTA;
proyectar
una
implementacin
de
de gestin
amplia,
sin embargo
es
cuestin
deeevaluar
cotos
Asiantivirus
es, se
evaluar
impacto
tener un ev
nto de este
tipoy ybeneficios.
tomar la dec
sin
quedebe
corres
ponda.elProyecto
.!!que podra
Gestionar la seguridad de los puestos de usuario final.
En la empresa no se tienen establecidas normas y polticas de seguridad de la
informacin que regulen el uso de los equipos, servidores, porttiles, software, red y
otros dispositivos as como las operaciones de TI.
A continuacin se referencian los siguientes hallazgos del punto:
Hallazgos
Implicacin /
Riesgos
No se encuentran
definidas lneas bases
de configuracin de
seguridad para los
sistemas operativos,
se observ que la
empresa cuenta con
soporte externo que se
encarga de realizar
tareas de formateo e
instalacin
de
sistemas sin controles o
gua
de
implementacin, esto
puede provocar por
ejemplo que existan
usuarios
administradores
sin
contrasea o con
contraseas dbiles,
puertos
abiertos,
software instalado sin
autorizacin
que
pueden traducirse en
vulnerabilidades.
Posibilidad
de
la
presencia de software
malicioso en los equipos
de la red, Accesos no
autorizados,
alteracin
robo
o
prdida de informacin
sensible.
No
se
cuenta
con
polticas de bloqueo de
dispositivos o
medios
extrables.
Posibilidad de robo de
informacin,
instalacin de software
no autorizado, infeccin
por software malicioso.
Recomendacin
Se recomienda disear
y documentar normas
que
regulen
la
configuracin
de
los
servidores y estaciones
de trabajo, basado en
buenas prcticas que
contribuyan a aumentar
los niveles de seguridad
de la informacin por
ejemplo:
Cambiar nombre de
usuario administrador
de sistema operativo.
Establecer niveles de
complejidad para las
contraseas de los
usuarios.
Deshabilitar usuario
invitado.
Implementar polticas
de
caducidad
de
contraseas con el fin
de disminuir el riesgo
ante situaciones como
el robo de contrasea.
Garantizar instalacin
de
antivirus
y
actualizacin. Inhabilitar
carpetas compartidas
por defecto.
Definir
software
permitido
por
la
organizacin por reas o
departamentos.
Se recomienda disear y
documentar polticas de
bloqueo de dispositivos o
medios extrables que no
afecten la operatividad
de la organizacin ya
que puede haber casos o
situaciones donde
se
requiera su uso, por lo
que
se
recomienda
establecer controles que
regulen su utilizacin y
mitiguen las amenazas.
No
se
han
definido
procedimientos
de
clasificacin
de
la
informacin
segn
su
importancia y sensibilidad
para la organizacin, lo
que puede implicar en
que exista informacin
almacenada
en
servidores y estaciones
de trabajo sin adecuados
mecanismos
de
proteccin, por ejemplo
contabilidad,
cuentas
bancarias, informacin de
clientes, proveedores,
facturacin,
inventarios,
personal
internos.
Posibilidad
de
robo,
alteracin, divulgacin no
autorizada o perdida de
informacin sensible para
la organizacin.
No
existen
procedimientos
de
desincorporacin
de
dispositivos y
medios
de almacenamiento de
forma segura.
Pueden
existir
dispositivos o
medios
de
almacenamiento
desincorporado
del
ambiente productivo de
la
empresa,
con
informacin sensible que
puede ser recuperada y
usada
con
fines
negativos
para
la
organizacin.
La
informacin
que
puede ser usada por
delincuencia organizada
para
eventos
como
robos,
extorciones,
secuestros entre otros.
Se
recomienda
a
la
organizacin
realizar un
anlisis
que
permita
identificar y documentar
los
activos
de
informacin, de la misma
manera
establecer
criterios que permitan
asignar
niveles
de
clasificacin basado en la
integridad,
confidencialidad
y
disponibilidad
de
la
misma
y
establecer
mecanismos
de
proteccin
segn
el
nivel otorgado, como por
ejemplo
controles de
acceso, encriptacin de
la
informacin, entre
otros.
Se
recomienda
establecer y documentar
procedimientos
de
desincorporacin
de
dispositivos y
medios
de
almacenamiento
como por ejemplo para
el caso de discos duro,
garantizar la destruccin
fsica
antes
de
desecharlos.
Conclusin:
Garantizar que los puestos de usuario final (es decir, porttil, equipo sobremesa,
servidor y otros dispositivos y software mviles y de red) estn asegurados
adecuadamente, debe ser una tarea ineludible por la organizacin y el rea de TI, es
sumamente importante establecer controles que permitan resguardar y proteger la
informacin que se procesa y se almacena en la organizacin, buscando mantener la
confidencialidad, la disponibilidad e integridad de la misma.
Hallazgos
Implicacin /
Riesgos
Recomendacin
El acceso a los
sistemas operativos y
servicios de Red en
las estaciones de
trabajo
no
se
encuentran
restringidos.
Posibilidad
de
accesos
no
autorizados,
divulgacin
de
informacin sensible,
sabotaje interno.
Se
recomienda
restringir el acceso al
sistema
operativo y
servicios
de
red
mediante
la
implementacin
de
cuentas de usuarios
con
derechos
de
acceso de acuerdo a
los requerimientos de
sus funciones.
El
acceso
de
los
servicios de red se
realiza a travs del
usuario de inicio de
sesin por defecto que
tiene configurado cada
mquina, por ejemplo
varias
mquinas
se
autentifican
con
el
usuario
Administrador.
Imposibilidad
de
detectar accesos no
autorizados,
Dificultades
de
monitoreo y rastreo
de accesos lgicos.
Se recomienda asignar
ID
de
identificacin
de usuario para cada
persona con acceso a
computadoras
y
servicios de red en
la organizacin, estos
ID deben ser utilizados
para la creacin
de
cuentas de usuarios
individuales.
Ante la ausencia de
gestin de acceso de
usuarios,
no
se
contemplan
procedimientos
de
creacin, modificacin y
eliminacin
de cuentas
de usuario.
Posibilidad de la
existencia de usuarios
con
derechos
administrativos que no
cumplen una funcin
especfica y pueden ser
usados por atacantes.
Claves
de
acceso
dbiles.
Claves de acceso de
usuario administradores
compartidas por muchos
usuarios.
Se recomienda disear y
documentarlos
procedimientos
que
permitan realizar las
tareas de gestin de
cuentas de usuario los
cuales deben contemplar
situaciones como la
solicitud de creacin de
un nuevo usuario,
inactivacin
o
activacin de cuentas
de usuario, por ejemplo
ante las salida de
personal
por
vacaciones;
y
eliminacin de cuentas
de usuarios cuando por
ejemplo un trabajador
se retira de la
organizacin.
No se tiene un adecuado
control sobre las cuentas
con
privilegios
de
administrador,
el
personal
general
Posibilidad de cambios
de
configuracin
no
autorizados,
sabotaje,
interrupciones
de
servicios, instalacin
Se recomienda definir y
documentar
los
procedimientos, normas
y polticas que regulen el
uso de usuario con
de
software
autorizado, accesos
autorizados.
no
no
Conclusin:
Uno de los elementos primordiales en la organizacin es la Gestin de acceso lgico
a los sistemas y recursos de red, como se pudo evidenciar actualmente la empresa no
cuenta con una gestin adecuada de cuentas de acceso de usuario e identificacin,
por lo se considera fundamental y necesario definir y documentar procedimientos para
dicha administracin; es importan aclarar que realizar esta gestin de forma local
es decir en cada equipo puede resultar compleja y requerir grandes inversiones
de tiempo y recursos humanos ya que cada cambio, sea creacin, modificacin o
eliminacin, entre otras cosas, debera ejecutarse por parte del personal de ti en cada
mquina que lo requiera de la organizacin, en este sentido se propone y recomienda
que dicha gestin se realice de manera centralizada.
Se pude observar que en la empresa se utiliza mayoritariamente la plataforma
Windows por lo que una buena opcin sera utilizar Active Directory como herramienta
de gestin centralizada, Es decir, en lugar de tener usuarios locales y permisos
en cada computadora, todo es administrado en un dominio nico desde un servidor.
Active Directory, es un servicio establecido en uno o varios servidores en
donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de
administrar los inicios de sesin en los equipos conectados a la red, as como
tambin la administracin de polticas en toda la red, permite a los administradores
establecer polticas a nivel de empresa, desplegar programas en muchos ordenadores
y aplicar actualizaciones crticas a una organizacin entera. Un Active Directory
almacena informacin de una organizacin en una base de datos central,
organizada y accesible. Pueden encontrarse desde directorios con cientos de objetos
para una red pequea hasta directorios con millones de objetos.
A continuacin se referencian algunas ventajas de la administracin centralizada:
Ahorro de tiempos: esta es la principal ventaja al administrar servicios de
forma centralizada. Por ejemplo, si el rea de IT debiera configurar ciertos
permisos en ciertos usuarios en un esquema descentralizado, deberan acudir
equipo por equipo aplicando los cambios. En una red extensa (100 equipos?
500? 2000? Ponga el valor que usted desee) este trabajo puede llevar incluso
varios das de trabajo. Sin embargo, si se administra desde un nico servidor es
posible realizar la tarea en unos pocos minutos.
Mayor seguridad: al controlar todo desde un nico punto de administracin,
se minimiza la probabilidad de errores o configuraciones errneas. Si un
empleado debe visitar equipo por equipo para, por ejemplo, aplicar una
configuracin, puede ocurrir que se cometa un error al repetir una tarea tantas
veces (cansancio?) o incluso puede ocurrir que un equipo sea omitido. Con la
administracin centralizada, se optimiza la seguridad de los sistemas al ser ms
sencillo poder asegurar que todo est como debe estar.
Hallazgos
Implicacin /
Riesgos
Recomendacin
No
se
tienen
establecidos
procedimientos
de
monitorio de eventos
relacionados con la
seguridad
de
la
informacin.
Posibilidad de eventos
que pueden provocar
interrupciones
de
servicios,
espionaje,
prdida de dineros que
no
son
detectados
oportunamente
y
en
conciencia no aplicar
correctivos.
Se recomienda disear y
documentar
procedimientos
que
permitan
monitorear
actividad referente a
accesos
vlidos,
accesos
fallidos,
cambios no autorizados
de
configuracin,
denegacin
de
servicios, uso indebido
de
los
recursos
tecnolgicos,
incumplimiento
de
polticas internas de la
organizacin, entre
otros.
No se revisan ni se
gestionan los eventos
de
sistema
peridicamente.
Posibilidad de eventos
de
seguridad
no
detectados,
vulnerabilidades que no
se mitigan o eliminan.
Se recomienda disear y
documentar
procedimientos
de
revisin y evaluacin de
eventos de seguridad de
sistemas los cuales
deben
contemplar
elementos
como
identificacin
de
fuentes de informacin
por ejemplo Logs de
sistemas;
almacenamiento
de
registro
de
eventos,
rotacin del registro de
eventos, resguardo como
evidencia digital, anlisis,
generacin de alertas,
entre otros. Para el caso
de
los
servidores
y
estaciones de
trabajo
Windows antes de aplicar
evaluacin
se
deben
tomar
decisiones
referentes
a
las
directivas de evaluacin
del sistema, las cuales
especifica las categoras
de eventos relacionados
con la seguridad que
desea auditar.
La empresa no cuenta
con
herramientas
de
monitoreo de eventos de
seguridad.
Dificultad
para
el
anlisis,
dado
los
grandes volmenes de
informacin.
Actividades
de
monitoreo
poco
eficientes.
Se recomienda identificar
herramientas que sirvan
de apoyo a las labores de
monitoreo de seguridad
que sean adaptables a la
arquitectura
tecnolgica de la
organizacin,
es
importante conocer que
existen
herramientas
pagas y herramientas
basadas en software libre
que
pueden
ser una
buena opcin.
Conclusin
:
Se considera sumamente importante que la empresa cuente con mecanismos que
permitan realizar supervisin sobre la infraestructura tecnolgica para detectar
eventos relacionados con la seguridad, de la misma manera implementar
herramientas que permitan la deteccin oportuna mediante la generacin
de
alertas automticas.
A Continuacin se aclaran puntos referentes a directivas de evaluacin de sistema
operativo Windows y se referencias herramientas para el monitoreo de eventos de
seguridad:
Directiva
Evaluacin
De
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Auditar
Para implementar se puede seguir los pasos presentes en las pginas oficiales de
Microsoft segn sea la versin del sistema operativo ejemplo:
https://technet.microsoft.com/eses/library/dd408940(v=ws.10).aspx
Es importante aclarar que en el caso de implementaciones con Active
Directory, ests directivas sern aplicadas desde el servidor central, no ser necesario
realizar esta actividad en cada equipo.
Herramientas de Monitoreo:
Existen una variedad de herramientas que pueden ser utilizadas para realizar
supervisin sobre la estructura tecnolgica, tanto licenciadas como gratuitas, a
continuacin se referencian algunas:
-
NOTA;
estasdel
soluciones
sey como
deben sacarle
de poner
en prctica,
pero de
es soluciones.
necesario una
capacitacin
buen
uso
provecho
a este
tipo
Por
supuesto,
pe
r
o
pr
i
m
ero
debe
ser
evaluado
el
a
lcance
de
cada
una
de
ellas,
para
ver
cul
es
la
que
m
e
jor
s
e
adeca
a
la
e
m
p
r
esa.
Pienso
que
este
tipo
d
e
herr
a
m
ie
n
tas,
pueden
ser
trabaj
a
das
en
un
f
uturo,
luego
d
e
que
se
logre
un
ni
v
el
de
m
a
durez
adecuado para la infraestructura de TI. Proyecto a Futuro.!!!
Verificacin de Servidores de Produccin:
Durante las visitas realizadas se realizaron anlisis a los servidores que soportan el
ambiente productivo tecnolgico de la organizacin, los cuales estaban referencia en
la documentacin recibida producto de los requerimientos de evaluacin:
Servidores:
Servidor
SERVIDOR10
SRV-DC01
SRV-DC02
Ubicacin
Fsica
Sistem
a
Operativ
o
San
Cristbal
Windows
Server
2003R2
Descripcin
En la documentacin
consignada,
especficamente en los
diagramas de red dicho
servidor se identifica
como
servidor
de
pruebas 1, pero para el
momento de la visita
cumpla funciones de
servidor de produccin
tanto del Sistema Power
Street y el Servicio
Web.
Cristbal
Microsoft
Windows
2008R2
64
Bits
Para el momento de la
visita el servidor estaba
siendo preparado con la
nueva versin de la
herramienta
Power
Street.
Cristbal
Microsoft
Windows
2008R2
64
Bits
El Servidor no estaba
prestando
ningn
servicio, el rea de TI
argumento
que
se
encontraba en tareas de
mantenimiento.
San
San
30
30
SERVIDOR03
SERVIDOR04
Barinas
Windows
Server
2003R2
Barinas
Windows
Server
2003
Servidor de la aplicacin
Power
Street,
sede
Barinas.
Servidor
de
la
aplicacin Web, sede
Barinas.
Hallazgos
Implicacin /
Riesgos
Recomendacin
Los
servidores
SERVIDOR10,
SERVIDOR03,
SERVIDOR04,
tienen
instalados
el
sistema
operativo
Windows
Server versin 2003, el
cual
dejo
de
recibir
soporte
tcnico desde
el 14 de julio de 2015.
No
se
realizan
actualizaciones
de
seguridad, lo cual
puede
traer
como
consecuencia
la
existencia
de
vulnerabilidades
conocidas.
Posibilidad de privar a
la empresa del acceso a
herramientas y servicios
en los que sustentar su
innovacin.
Se recomienda realizar
actualizaciones
del
sistema
operativo
a
versiones superiores que
estn
debidamente
licenciadas y cuente con
soporte tcnico.
En el SERVIDOR10 y
SERVIDOR04 se observ
un nmero elevado de
usuarios
de
sistema
operativo (64) en el
primeo y (67) en el
segundo, que adems
tienen
privilegios
de
administrador. El personal
de
TI argument que
estos son agregados por
el proveedor externo de
la herramienta
Power
Street, no se observ
documentacin
que
sustente
esta
implementacin
de
usuarios.
Dificulta de gestin y
administracin
de
seguridad, posibilidad de
accesos no autorizados,
usuarios activos que no
cumplen
ninguna
funcin y pueden ser
utilizados
para
actividades maliciosas.
Se recomienda realizar
anlisis con el fin de
identificar que usuarios
realmente deben existir
para
la
operatividad
normal de las funciones de
los servidores, para esto
se debe solicitar soporte
al
proveedor como
documentacin
tcnica
que
justifique
dicha
implementacin, validar si
es necesario que los
usuarios
de
operacin
tengan
privilegios
de
Administrador.
Se evidenci el uso
del
servicio
de
escritorio remoto, el
mismo se encuentra
habilitado para un
nmero considerable de
usuarios,
no
se
observaron
procedimientos
de
Posibilidad de abrir
brechas de seguridad,
por
la
Gestin
inadecuada del acceso
de los usuarios.
Utilizacin de claves
dbiles.
Exposicin
de
servicios innecesarios
Se
recomienda
implementar
controles
que permitan aumentar el
nivel de seguridad y
disminuir vulnerabilidades
en el servicio,
ejecutando actividades
como: Aplicacin
de
control y monitoreo
del
acceso
a
los
servidores a travs de
dicho servicio.
a Internet.
Vulnerabilidades en las
aplicaciones o protocolos
utilizados.
actualizaciones
de
Seguridad.
Verificar
la
encriptacin de 128-bit
entre clientes y servidores.
Activar la autentificacin a
nivel
de
red
(NLA),
disponible a partir de la
versin de Windows vista y
Windows 7.
Utilizar tnel VPN hacia la
red como paso previo al
uso
de
conexin
de
escritorio remoto.
uso de firewalls tanto
en el permetro como en el
SO
para
filtrar
las
peticiones
entrantes
limitando la conectividad
de estos servidores.
Establecer grupos de
usuarios y complejidad
de
contraseas,
entre
otros.
En el Servidor10, se
encuentra la base de
datos de produccin de
Power
Street,
que
tiene por nombre PRS01
y para el momento de
la evaluacin registraba
un tamao de 41gb, se
pudo evidenciar
que
la
misma
contiene
informacin desde el
ao 2011, el personal de
TI argumento que no se
realizan
tareas
de
mantenimiento ya que
dicha Base de datos es
administrada
por
el
proveedor
de
la
herramienta
Posibilidad de Lentitud
en
el
tiempo
de
respuesta
de
la
aplicacin.
Errores de aplicacin.
Alto
consumo
de
recursos
de
procesamiento.
Perdida de informacin.
Dificulta
en
la
generacin
de
los
respaldo.
Se recomienda establecer
una mesa de trabajo con
el proveedor con el fin de
realizar
tareas
de
mantenimiento de la base
de datos, de la misma
manera
definir
y
documentar
procedimientos
que
permitan realizar estas
tareas peridicamente.
Igual
mente
se
recomienda
replicar
dichos procedimientos a
las bases de datos
presente en las otras
sucursales.
Se
recomienda
crear
poltica que defina cul es
el tiempo de antigedad
de data que se requiere
mantener activa en la
base de datos, con el fin
de
evitar
que
exista
informacin
innecesaria
para
las
operaciones
rutinarias
y
que
incrementan el tiempo de
respuesta ante consultas,
as como los tamaos de
espacio en disco.
32
Se evidencio el uso de
la herramienta de
software libre Cobian
Backup, para la
gestin de respaldos
de la base de datos,
la cual se ejecuta una
vez al da realizando
un respaldo masivo de
la misma a discos
externos ubicados en
las
mismas
instalaciones;
igualmente se observ
que de manera
manual se van
borrando los respaldos
ms antiguos.
Se recomienda establecer
procedimientos para tener
respaldos de la bases de
datos
debidamente
resguardas en ubicaciones
fsicas externas a la sede
donde se encuentra el
servidor.
Se realiz consulta al
personal de TI sobre
si
contemplaban
el
arreglo de disco RAID
1 (Mirroring), que
permite mantener una
copia en lnea de los
ambientes productivos
ante una eventualidad,
y que disminuye el
riesgo de prdida de
informacin ante las
vulnerabilidades
presente
en
los
procedimientos
de
respaldo.
El personal argumento
que el servidor que se
estaba preparando con
la versin nueva si lo
contemplaba, pero el
servidor10
que
actualmente
estaba
prestando el servicio
productivo
no,
cabe
destacar
que
el
ambiente productivo fue
instalado
en
el
servidor10 mientras se
realizaban
tareas
de
actualizacin y pruebas
de la nueva versin.
Posibilidad de prdida
de
informacin
ante
una
eventualidad,
correspondiente a los
lapsos de tiempo entre
las
que se
ejecuta
cada copia de backup.
Observaciones Generales
o
33
33
NOTA; en lneas generales, an falta una buena definicin por parte del auditores de
como deber estar conformado un departamento de tecnologa, a nivel de la
inform acin que se levant en la visitas, adems no veo en algn lugar que indique
que ca pacitaciones o entrenamiento necesarias amerita el personal de IT y una buena
definic in de las funciones, bajo responsabilidades del departamento bien definidas,
ejempl o (no se toc la parte de sistema de cmaras de seguridad, sistema de alarma, e
incluso gestin de redes telefnicas), si estas estn bien conformadas como esta, que
capacid ades debera tener en cuenta para el manejo de los videos de seguridad,
puntos fueras de la tecnologa pero que es parte de este departamento, que no se
dejara a un lado, de lo que son las buenas prcticas.
Aspectos referidos en su comentario:
Estructura organizacional del rea de TI: No se dio una recomendacin al
respecto, pues consideramos que la prioridad era estabilizar el funcionamiento y
operatividad de los servicios de TI. De igual manera, si nos remitimos a las
mejores prcticas (por ejemplo ITIL), seran requeridas funcionalidades que
implicaran, por separacin de responsabilidades, establecer una nmina que
entendemos hoy da no es la prioridad. Por ello, solo nos remitimos a
recomendar la inclusin de un recurso que pueda asumir funciones del da a da,
y que permita que la persona de mayor nivel, existente, pueda asumir las tareas
que implican dicha estabilizacin.
34
34
35
35
36
36
ACUERDO DE CONFIDENCIALIDAD
Yo, _Carlos Humberto Chacn Rivas_, mayor de edad, de nacionalidad _Venezolano_,
domiciliado en _Av. Las Pilas Res. Jiraharas II casa 34, San Cristbal_, Estado Tchira_,
de profesin
mantener
confidencial toda
debiera
tratarse
de
buena
fe
circunstancias
como
alrededor
informacin
de
la
reservada
del
deber
de
confidencialidad que
asumo,
responder
al
_Grupo
Carlos
Rivas
Humberto
Chacn
4.636.862
37
37