Taller: A16 Gestión de incidentes de seguridad de la información

Por cada caso registrar el título del dominio del Anexo A que corresponda.
No.
1 Cinco (5) reportes por fraude en el proceso financiero, según la invesigación utilizando falsas
identidades de control de acceso a la aplicación.
2 En el centro de computo con 100 servidores, no hay sistema extinsión incendios.
3 Se materializó amenaza “SQL injection”, no se habia realizado todas las pruebas de seguridad en
el desarrollo de la aplicación.
4 En revisión celular se encontró aplicación indebida, incumpliendo política móvil.
5 En las pruebas de intrusión de la aplicaciones web, se detectó puertos abiertos sin cumplir la
política. (Ataques “clickjacking” Puerto 443).
6 En un servidor fuera de uso, se evidencia que no se eliminó la información del equipo, se
evidenció información de los clientes VIP de los años 2019, 2018, 2017.
7 En revisión de la política de criptografía no hay ninguna referencia a la aplicación “https (cifrado
SSL)”.
8 No se evidenció los registros de auditoria al proveedor que administra y monitorea el firewall.
9 No se observó el registro de los cambios de los servidores “transacciones webservice”, pasando
de MySQL a Oracle.
10 Un ente regulador estableció el uso de certificados x.509, el responsable TI indica “imposible
este cumplimiento, con actualizar Windows es suficiente”.
11 Al revisar la información en el servidor, se detecta que no hay evidencia de generación de
respaldo, al confrontar el responsable indica “se almacena en la nube, no es necesario”.
12 Cinco (5) casos de Spyware (programas espías) en los últimos seis meses.
13 El Sistemas de Detección de Intrusos (IDS) esta deshabilitado.
14 En revisión de la red, se evidenció que la red de CCTV no esta protegida y esta en el mismo
segmento de la red de operaciones críticas.
15 En la protección de antivirus, “el servidor de datos registra archivos infectados: Malware Botnets
(robots informáticos, autónomos y automáticos), de forma reiterativa.
16 Al verificar un equipo de seguridad avanzada se encontró que nunca se cambio el usuario de
administrador que aparece en los manuales de fabrica, esto para facilitar el acceso remoto del
proveedor.
17 Se registro un caso de ransomware (secuestro de información digital).
18 Equipo Cisco (firewall-Switches) se encontró desactualizado el SO.
19 Se detecto uso de una red Wifi sin protección e integrada a la red de la organización.
21 Aparente ataque a la red el pasado 10/Nov/2019 desde la red 200.150.101.20.
22 Intento fallido de acceso desde la IP 176.10.11.54.
23 Tráfico lento el pasado 8/Nov/2019 durante 5 minutos, sin afectación a la red.
24 Ingreso fallido a la aplicación del login jlopez19 (6/Nov/2019 8:10 am).
25 Se materializó incidente en aplicativo según el registro de investigación:
Título Anexo A

A.9
A.11

A.14
A.6

A.14 - A.13

A.11 - A.8

A.10
A.15

A.12 - A.14

A.12 - A.14

A.17
A.12 - A.14
A.13

A.13

A.12- A.13

A.13
A.12
A.13
A.13
A.13
A.9
A.12
A.9
A.14- A.12