0 calificaciones0% encontró este documento útil (0 votos)
21 vistas2 páginas
Este documento resume los principales problemas técnicos y organizacionales encontrados en Big Bank, incluyendo el uso de información de producción en pruebas, credenciales de usuarios desactivados aún activas, falta de políticas de seguridad para trabajo remoto, procesos deficientes para documentación privada, comunicaciones reactivas entre áreas en vez de soluciones, y falta de un sistema de gestión de calidad y enfoque holístico en seguridad de la información. Se proveen recomendaciones para cada problema.
Este documento resume los principales problemas técnicos y organizacionales encontrados en Big Bank, incluyendo el uso de información de producción en pruebas, credenciales de usuarios desactivados aún activas, falta de políticas de seguridad para trabajo remoto, procesos deficientes para documentación privada, comunicaciones reactivas entre áreas en vez de soluciones, y falta de un sistema de gestión de calidad y enfoque holístico en seguridad de la información. Se proveen recomendaciones para cada problema.
Este documento resume los principales problemas técnicos y organizacionales encontrados en Big Bank, incluyendo el uso de información de producción en pruebas, credenciales de usuarios desactivados aún activas, falta de políticas de seguridad para trabajo remoto, procesos deficientes para documentación privada, comunicaciones reactivas entre áreas en vez de soluciones, y falta de un sistema de gestión de calidad y enfoque holístico en seguridad de la información. Se proveen recomendaciones para cada problema.
1. Uso de información de producción en ambiente de pruebas.
Recomendación: Implementar un ambiente de pruebas igual o muy similar en lo posible donde se anonimicen los datos, o se utilice información diferente a la utilizada en el ambiente de producción.
2. Deficiencia en los procesos para la eliminacion de usuarios, por ejemplo, Las
credenciales de un usuario que salió de la organización hace un año aún se encuentran activas Recomendación: Establecer y auditar procesos para la asignación y retiros en los sistemas de información.
3. Insuficiencia de política de seguridad para el trabajo fuera de las instalaciones de la
organización laborales. Los empleados que llevan trabajo para su casa Recomendación: Establecer políticas, estándares y procesos para el trabajo remoto, donde se explique que la información puede ser extraviada, y por tal razón los equipos deberían estar cifrados.
Problemas Organizacionales
1. Procesos organizacionales deficientes en el manejo de documentación privada, que
representa un alto valor para la organización y en sus operaciones. Recomendación: Generar políticas, herramientas y protocolos para el manejo de documentación física. Adquisición de soluciones de software que permitan la consulta de un facsímil de los documentos valiosos sin extraer los mismos de sus contenedores seguros como bóvedas o áreas de archivado. Capacitar a los empleados de la organización en el uso de estas soluciones.
2. Falta de comunicaciones estratégica, las diferentes áreas de negocio sostienen
comunicaciones reactivas y deficientes; que giran alrededor del señalamiento de culpables y no alrededor de las soluciones y la mitigación de los riesgos. Recomendación: Definir canales claros de comunicación transversales a toda la empresa, establecer áreas de responsabilidad y conductos de comunicación entre áreas. MSIN4103 – Defensa y Ciberseguridad en la Red Rafael Humberto Zapata Vargas – Cod. 201528502
3. Inexistencia de un sistema de gestión de calidad. Se hizo una auditoría y se encontraron
problemas, pero no se tomaron acciones posteriores. Recomendación: Identificar y evaluar impacto de los riesgos y plantear acciones de mejora sobre los procesos operativos como también en el sistema gestión de calidad. Alrededor de las fallas materializadas, tener listas actividades de identificación de los errores que conllevaron la falla (lecciones aprendidas), así como la documentación post- mortem que permita comunicar a todos lo niveles el origen de los problemas, sus posibles consecuencias en el corto y mediano plazo y las recomendaciones expertas que permitan la corrección.
4. Tener únicamente en cuenta el impacto reputacional, se encuentra un claro desinterés
administrativo en cuanto a seguridad de la información. Recomendación: Determinación de las consecuencias técnicas, operacionales, comerciales y reputacionales en un ámbito holística donde la seguridad de la información sea transversal a la compañía. Socialización de dicho análisis dentro de la organización.