Professional Documents
Culture Documents
Planear y Organizar
Adquirir e Implementar
Entrega y Soporte
Supervisar y Evaluar
Se clasificaron los procesos de COBIT 4.1 para la seguridad de red LAN para la
Institución (Cecyteh), se realizó el análisis de todos los procesos descritos en
COBIT 4.1 y se seleccionaron aquellos procesos donde se ofrece soporte a la
infraestructura y que juegan un papel fundamental para garantizar la integridad,
disponibilidad y confidencialidad de la información.
Observación:
No existe procedimiento específico para la identificación de riesgos de TI, solamente
se maneja una evaluación de los riesgos en base al criterio de los empleados del
Área de TI según los objetivos de la Institución.
Riesgo:
Al no identificarse los riesgos de TI no se consideran las posibles amenazas,
vulnerabilidades, y consecuencias a las que esta expuesto el negocio, por lo tanto
no es posible medir el impacto y pérdidas económicas de un ataque o falla de un
recurso crítico.
Recomendación:
Definir procedimientos para identificar los recursos críticos y riesgos potenciales
sobre éstos. Asegurarse del cumplimiento de los mismos y verificar que estén
acorde con los objetivos de la Institución.
Observación:
Al no estar identificados los riesgos de TI no es posible establecer un Plan de Acción
contra Riesgos que mitigue los problemas causados por una amenaza.
Riesgo:
De presentarse un ataque o falla sobre un recurso crítico no se cuenta con acciones
establecidas para recuperarse y garantizar el servicio continuo del negocio, esto
puede llevar a producir pérdidas económicas y de prestigio de la Institución.
Recomendación:
Conjuntamente con la identificación de los riesgos potenciales debe definirse la
creación de planes de acción contra posibles riesgos, los responsables de llevarlos
a cabo y la asignación de los recursos necesarios sean estos de carácter humano
o financiero para la ejecución de este plan.
Debe tomarse en cuenta que estos planes han de ser revisados y probados
periódicamente para asegurar su funcionamiento y efectividad.
Observación:
La organización no cuenta con un plan definido de seguridad de T.I., los planes de
contingencia existentes tampoco contemplan posibles ataques a la seguridad del
sistema.
Riesgo:
De no existir un plan de seguridad, no se establece n medidas de seguridad para la
prevención de ataques o fallas de seguridad, tampoco se definen acciones a tomar
para la recuperación de una de estas amenazas y no es posible cuantificar el
impacto en el normal desarrollo de las actividades del negocio.
Recomendación:
Centralizar la administración de la seguridad de la información de manera que estén
acordes con los objetivos del negocio.
Definir responsabilidades para la elaboración, actualización, ejecución y monitoreo
del plan de seguridad.
Observación:
El acceso a los recursos de T.I. está limitado al personal que cuenta con un usuario
y password claramente definido, pero no existe un control estricto sobre el manejo
de cuentas, en lo que tiene que ver con sesiones múltiples de un mismo usuario; los
cambios de password no son obligatorios para todos los sistemas, únicamente para
el sistema SIGA (90 días), para el acceso a servidores los nombres de usuario y
claves no pueden ser cambiados por los usuarios, sino únicamente por el
Departamento de T.I. con solicitud formal para el cambio.
Riesgo:
Posible divulgación de passwords de usuario, con exposición a uso no adecuado o
malintencionado de éstas, lo que ocasiona no poder identificar responsabilidades
en la manipulación de datos.
Recomendación:
Establecer nuevas políticas y procedimientos para la administración de cuentas de
usuarios y passwords, tanto en servidores como aplicaciones, que contemple
cambios de password inicial, cambios periódicos de password y limitación del
número de conexiones con el mismo usuario.
Observación:
Los derechos de acceso a recursos, asignados a las cuentas, no son sujetos a
revisiones después de su creación, ya que el perfil que se le asigna es establecido
por el Gerente del Área en cuestión.
Riesgo:
Al no contar con logs en todos los sistemas no se puede identificar
responsabilidades en caso de accesos no autorizados o mal intencionados a los
recursos y perfiles de usuario mal asignados.
Recomendaciones:
Creación de archivos logs para las aplicaciones que registren el acceso de las
cuentas y los recursos que utilizan. Revisión periódica de los logs existentes.
Observación:
El Sistema SIGA es el único que cuenta con notificaciones para el usuario sobre el
cambio de clave periódica, el resto de aplicaciones no cuentan con este servicio y
en el caso de los servidores las cuentas tienen deshabilitada la opción de cambio
periódico. En cuanto al registro de número de intentos de acceso o la fecha de último
ingreso no se registra ni en los servidores ni en las aplicaciones.
Riesgo:
La falta de control de los accesos a recursos por parte de los mismos usuarios
provocaría mal uso de las cuentas y desconocimiento de posibles problemas que
puedan presentarse en el funcionamiento de la misma.
Recomendaciones:
Implementar notificaciones tanto para el cambio de clave como para el límite de
intentos para acceso y sesiones múltiples con la misma cuenta. Una vez
implementado este procedimiento instruir a los usuarios al respecto.
Observación
No se realizan notificación sobre violaciones de seguridad ni se toman acciones
para prevenir, detectar o superar la incidencia provocada.
Riesgo:
No se determinan responsables directos o indirectos de un incidente de seguridad.
No se determina fecha, origen y hora del incidente de seguridad. No se toman
acciones inmediatas para superar el incidente de seguridad ni para prevenir
incidencias futuras.
Recomendaciones:
Definir procedimientos y responsabilidades para la revisión de logs e identificación
de posibles violaciones de seguridad existentes y buscar soluciones que las superen
o minimicen, sea esto implementación de nuevas reglas de firewall, parches o
actualizaciones de los sistemas.
Observación:
No se cuenta con procedimientos de clasificación de datos, ni responsables de
datos sensitivos, no hay registros de datos borrados o compartidos y sus respectivas
autorizaciones para estas actividades.
Riesgo:
Acceso a datos no definidos acorde a su criticidad , los datos que no están bien
clasificados no tienen un adecuado plan de recuperación. La política de TI no
contempla la reclasificación de la información por su sensibilidad.
Recomendaciones:
Crear un procedimiento para la clasificación de datos con el responsable de los
mismos, según la criticidad e importancia.
Observación
Los usuarios tienen conocimiento del documento de políticas de TI pero no se
realizan evaluaciones para verificar la comprensión y el cumplimiento de las
políticas.
Riesgo:
Se puede caer en el mal uso de los recursos y datos de la Institución. Fuga de la
información crítica de la empresa. Los procedimientos de uso de los recursos no se
realizan según los estándares y poner en riesgo la seguridad de los datos.
Recomendaciones:
Evaluar periódicamente a los usuarios sobre el entendimiento de las políticas del
uso de TI.