Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Evidencia Actividad AA1-5 Plan de Mejora en Seguridad

    Cargado por

    May Steven González Suárez
    13 vistas9 páginas
    Plan de mejora en seguridad de base de datos de la alcaldía de San Antonio del SENA

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Plan de mejora en seguridad de base de datos de la alcaldía de San Antonio del SENA

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    13 vistas9 páginas

    Evidencia Actividad AA1-5 Plan de Mejora en Seguridad

    Cargado por

    May Steven González Suárez
    Plan de mejora en seguridad de base de datos de la alcaldía de San Antonio del SENA

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 9

    1

    PLAN DE MEJORA EN SEGURIDAD

    MAY STEVEN GONZÁLEZ SUÁREZ


    Junio de 2019

    SERVICIO NACIONAL DE APRENDIZAJE


    CENTRO DE SERVICIOS FINANCIEROS
    GESTION Y SEGURIDAD DE BASE DE DATOS
    2

    TABLA DE CONTENIDO

    Pág.
    1. Introducción 03

    2. Objetivos 04

    3. Alcance 05

    4. Hallazgos de la auditoría 06

    5. Acciones de mejora propuestas 08

    6. Conclusiones 09
    3

    1. INTRODUCCIÓN

    Se realiza auditoría a la empresa RED DE SALUD DEL ORIENTE Empresa Social del Estado

    (E.S.E) dedicada a la prestación de servicios de salud de primer nivel de complejidad a la

    población en la ciudad de Cali - Valle del Cauca, en la administración de su base datos, regidos a

    la normatividad ISO 27002 y de acuerdo a los hallazgos encontrados, se proponen acciones de

    mejora que se describen en el desarrollo de este informe.


    4

    2. OBJETIVOS

     Identificar los hallazgos encontrados durante la auditoría.

     Proponer acciones de mejora que brinden soluciones oportunas y adecuadas a las

    falencias que se presenten según los hallazgos encontrados.


    5

    3. ALCANCE

    El alcance de este trabajo corresponde hasta la presentación de las acciones de mejora propuestas

    enfocadas a la parte de la auditoría que se le realizó a la empresa RED DE SALUD DEL

    ORIENTE en lo correspondiente a la administración de la base de datos que maneja la empresa,

    según la normatividad ISO 27002.


    6

    4. HALLAZGOS ENCONTRADOS DURANTE LA AUDITORÍA

    En la auditoría realizada a la administración de la base de datos de la empresa RED DE SALUD

    DEL ORIENTE, se encontró que se debe aplicar correctivos y acciones en los siguientes

    dominios 6, 7, 8, 10 y 11 las cuales se mencionan a continuación.

    Dominio 6 de la estructura organizativa para la seguridad:

     No es clara la asignación de responsabilidades para la seguridad de la información, hay

    usuarios con roles que no están bien definidos (cumple parcialmente a nivel medio con

    este ítem de control).

     El proceso de autorización para instalaciones de procesamiento de información no está

    bien definido (cumple parcialmente a nivel medio con este ítem de control).

     No existen acuerdos de confidencialidad con los usuarios (no cumple con este ítem de

    control).

     La revisión independiente de la seguridad de la información no se realiza con una

    frecuencia adecuada (cumple parcialmente a nivel medio con este ítem de control).

    Dominio 7 de la clasificación y control de activos:

     No están completas las guías de clasificación (cumple parcialmente a nivel medio con este

    ítem de control).

     Faltan elementos por etiquetado (cumple parcialmente a nivel medio con este ítem de

    control).
    7

    Dominio 8 de la seguridad en el personal:

     Los roles y responsabilidades de algunos usuarios no están bien definidos (cumple

    parcialmente a nivel medio con este ítem de control).

     No hay una correcta verificación de los roles y responsabilidades en los usuarios (cumple

    parcialmente a nivel bajo con este ítem de control).

     No se define claramente los términos y condiciones de los usuarios antes de comenzar el

    empleo (cumple parcialmente a nivel bajo con este ítem de control).

     Falta de educación y capacitación continua y actualizada para los usuarios en seguridad de

    la información durante el empleo (cumple parcialmente a nivel bajo con este ítem de

    control).

     Los procesos disciplinarios para los usuarios no están bien definidos ni tampoco sus

    causas (cumple parcialmente a nivel bajo con este ítem de control).

    Dominio 10 de la gestión de comunicaciones y operaciones:

     Las informaciones de las copias de seguridad no están actualizadas al último mes (cumple

    parcialmente a nivel medio con este ítem de control).

     Las políticas y procedimientos para el intercambio de información no son claras (cumple

    parcialmente a nivel medio con este ítem de control).

    Dominio 11 del control de accesos:

     No hay una adecuada administración de privilegios de usuarios, falta de definición y

    revisión (cumple parcialmente a nivel medio con este ítem de control).

     No hay una revisión adecuada de los derechos de acceso de usuario (cumple parcialmente

    a nivel medio con este ítem de control).


    8

    5. ACCIONES DE MEJORA PROPUESTAS

    Teniendo en cuenta los hallazgos encontrados durante la auditoría realizada a la empresa RED

    DE SALUD DEL ORIENTE E.S.E sobre la administración de la base de datos que maneja,

    aplicada a la norma ISO 27002, los cuales se clasificaron por dominios y se mencionaron

    específicamente por ítem de control junto con la observación sobre su cumplimiento

    anteriormente; se proponen las siguientes acciones de mejora:

    1. Brindar capacitaciones de refuerzo al grupo de administradores de base de datos de la

    empresa por medio de empresas capacitadoras certificadas en el tema.

    2. Realizar capacitaciones continuas y de retroalimentación al interior de la empresa a todos

    los usuarios que manejan el sistema y acceden a la información guiadas por el grupo de

    administradores de bases de datos.

    3. Crear los acuerdos de confidencialidad con todos los usuarios del sistema de información.

    4. Reunirse el grupo de administradores de la base datos de la empresa con la gerencia para

    definir de manera clara y aprobar las responsabilidades para la seguridad de la

    información aplicadas para cada usuario, así como también las políticas y procedimientos

    para el intercambio de información, políticas y reglas del control de acceso de los

    usuarios, roles y permisos de cada uno y definir las causas y procedimientos disciplinarios

    a que pueda dar lugar el mal manejo por parte de los usuarios.

    5. Revisar periódicamente y hacer control que se realicen de manera oportuna y completa las

    copias de seguridad.

    6. Completar y hacer seguimiento que se actualicen oportunamente las guías y los

    etiquetados en el control de activos.


    9

    6. CONSLUSIONES

    La importancia de la aplicación de las auditorías en las empresas juega un papel de suma

    importancia en la mejora continua de los procesos y crecimiento de éstas.

    Tras la aplicación de la auditoría a la empresa RED DE SALUD DEL ORIENTE E.S.E, se

    presentaron unas propuestas de acciones de mejoras que pueden contribuir de gran manera para

    subir los indicadores y lograr mejorar considerablemente la gestión de la seguridad de la

    información en su base de datos si se siguen adecuadamente y de manera oportuna.

    También podría gustarte