Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Taller 1 - Caso Big Bank - Rafael Zapata

    Cargado por

    Rafael Zapata
    21 vistas2 páginas
    Este documento resume los principales problemas técnicos y organizacionales encontrados en Big Bank, incluyendo el uso de información de producción en pruebas, credenciales de usuarios desactivados aún activas, falta de políticas de seguridad para trabajo remoto, procesos deficientes para documentación privada, comunicaciones reactivas entre áreas en vez de soluciones, y falta de un sistema de gestión de calidad y enfoque holístico en seguridad de la información. Se proveen recomendaciones para cada problema.

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento resume los principales problemas técnicos y organizacionales encontrados en Big Bank, incluyendo el uso de información de producción en pruebas, credenciales de usuarios desactivados aún activas, falta de políticas de seguridad para trabajo remoto, procesos deficientes para documentación privada, comunicaciones reactivas entre áreas en vez de soluciones, y falta de un sistema de gestión de calidad y enfoque holístico en seguridad de la información. Se proveen recomendaciones para cada problema.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    21 vistas2 páginas

    Taller 1 - Caso Big Bank - Rafael Zapata

    Cargado por

    Rafael Zapata
    Este documento resume los principales problemas técnicos y organizacionales encontrados en Big Bank, incluyendo el uso de información de producción en pruebas, credenciales de usuarios desactivados aún activas, falta de políticas de seguridad para trabajo remoto, procesos deficientes para documentación privada, comunicaciones reactivas entre áreas en vez de soluciones, y falta de un sistema de gestión de calidad y enfoque holístico en seguridad de la información. Se proveen recomendaciones para cada problema.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    MSIN4103 – Defensa y Ciberseguridad en la Red

    Rafael Humberto Zapata Vargas – Cod. 201528502

    Taller 1 – Caso Big Bank

    Problemas Técnicos

    1. Uso de información de producción en ambiente de pruebas.


    Recomendación: Implementar un ambiente de pruebas igual o muy similar en lo posible
    donde se anonimicen los datos, o se utilice información diferente a la utilizada en el
    ambiente de producción.

    2. Deficiencia en los procesos para la eliminacion de usuarios, por ejemplo, Las


    credenciales de un usuario que salió de la organización hace un año aún se encuentran
    activas
    Recomendación: Establecer y auditar procesos para la asignación y retiros en los sistemas
    de información.

    3. Insuficiencia de política de seguridad para el trabajo fuera de las instalaciones de la


    organización laborales. Los empleados que llevan trabajo para su casa
    Recomendación: Establecer políticas, estándares y procesos para el trabajo remoto,
    donde se explique que la información puede ser extraviada, y por tal razón los equipos
    deberían estar cifrados.

    Problemas Organizacionales

    1. Procesos organizacionales deficientes en el manejo de documentación privada, que


    representa un alto valor para la organización y en sus operaciones.
    Recomendación: Generar políticas, herramientas y protocolos para el manejo de
    documentación física. Adquisición de soluciones de software que permitan la consulta de
    un facsímil de los documentos valiosos sin extraer los mismos de sus contenedores
    seguros como bóvedas o áreas de archivado. Capacitar a los empleados de la organización
    en el uso de estas soluciones.

    2. Falta de comunicaciones estratégica, las diferentes áreas de negocio sostienen


    comunicaciones reactivas y deficientes; que giran alrededor del señalamiento de
    culpables y no alrededor de las soluciones y la mitigación de los riesgos.
    Recomendación: Definir canales claros de comunicación transversales a toda la empresa,
    establecer áreas de responsabilidad y conductos de comunicación entre áreas.
    MSIN4103 – Defensa y Ciberseguridad en la Red
    Rafael Humberto Zapata Vargas – Cod. 201528502

    3. Inexistencia de un sistema de gestión de calidad. Se hizo una auditoría y se encontraron


    problemas, pero no se tomaron acciones posteriores.
    Recomendación: Identificar y evaluar impacto de los riesgos y plantear acciones de
    mejora sobre los procesos operativos como también en el sistema gestión de calidad.
    Alrededor de las fallas materializadas, tener listas actividades de identificación de los
    errores que conllevaron la falla (lecciones aprendidas), así como la documentación post-
    mortem que permita comunicar a todos lo niveles el origen de los problemas, sus posibles
    consecuencias en el corto y mediano plazo y las recomendaciones expertas que permitan
    la corrección.

    4. Tener únicamente en cuenta el impacto reputacional, se encuentra un claro desinterés


    administrativo en cuanto a seguridad de la información.
    Recomendación: Determinación de las consecuencias técnicas, operacionales,
    comerciales y reputacionales en un ámbito holística donde la seguridad de la información
    sea transversal a la compañía. Socialización de dicho análisis dentro de la organización.

    También podría gustarte