Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2019 Implementacion Sistema Mesa de Ayuda.
2019 Implementacion Sistema Mesa de Ayuda.
pág.
INTRODUCCION ..................................................................................................... 7
2. OBJETIVO GENERAL....................................................................................... 9
4. JUSTIFICACION ............................................................................................. 10
6. METODOLOGÍA .............................................................................................. 14
7.8. HALLAZGOS................................................................................................ 31
9. CONCLUSIONES ............................................................................................ 45
BIBLIOGRAFIA ...................................................................................................... 46
LISTA DE FIGURAS
pág.
pág.
7
1. PLANTEAMIENTO DEL PROBLEMA
8
2. OBJETIVO GENERAL
3. OBJETIVOS ESPECÍFICOS
9
4. JUSTIFICACION
10
5. MARCO TEORICO
ISO 27001. ISO 27001 es una norma internacional emitida por la Organización
Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la
información en una empresa. La revisión más reciente de esta norma fue publicada
en 2013 y ahora su nombre completo es ISO/IEC 27001:2013. La primera revisión
se publicó en 2005 y fue desarrollada en base a la norma británica BS 7799-2.
11
INFORMACION. La información es un conjunto organizado de datos procesados,
que constituyen un mensaje que cambia el estado de conocimiento del sujeto o
sistema que recibe dicho mensaje.
Hacemos parte del Grupo Falck, compañía danesa líder mundial en prevención de
enfermedades y accidentes; y líderes en asistencia de situaciones de emergencia
con presencia en 46 países.
12
6. METODOLOGÍA
13
7. DESARROLLO DEL SGSI
14
6. Implementación de controles. Generalmente, implica la aplicación de nuevas
tecnologías, pero, sobre todo, es la implementación de nuevas conductas en la
organización. Muchas veces las nuevas políticas y procedimientos son
necesarios y las personas, generalmente, se resisten al cambio; es por ello que
son importantes las tareas de capacitación y concienciación para prevenir ese
riesgo.
7. Supervisión del SGSI. Aquí es donde se cruzan los objetivos de los controles
con la metodología de medición; se debe verificar si los resultados que obtiene
cumplen con lo que se estableció en los objetivos.
15
7.1. ENCUADRE GENERAL
16
7.3. ESTRUCTURA DEL ÁREA DE MESA DE AYUDA
Figura 1. Estructura
17
7.4. PROCESOS QUE SE DESARROLLAN EN EL ÁREA
Infraestructura, por una parte, dispone de todos los elementos y recursos necesarios
para la ejecución de ambientes tecnológicos, aplicaciones, bases de datos y demás
componentes necesarios para el desarrollo de los proyectos enfocados al cliente.
Esto incluye la administración de los servidores, switches, firewalls, routers, y
algunas aplicaciones. En la figura 2 se ilustra el mapa de la red del Data center
ubicado en la sede principal, allí se representan los servidores físicos, servidores
nodos para ambientes virtuales, switches, firewalls, y demás dispositivos.
Figura 2. Mapa de red
18
usuarios. Tienen un tiempo de respuesta mayor a los incidentes, por ejemplo: la
instalación de algún programa específico o petición de periféricos. Adicionalmente
se tiene la responsabilidad de la administración de los equipos de cómputo,
teléfonos IP, monitores y periféricos (Mouses, teclados, guayas, bases, entre otros),
los cuales se asignan a los usuarios de la compañía y se resguardan en bodega
cuando hay rotación de los mismos.
19
7.4.2. Procesos de nivel 2.
20
7.5. VALIDACIÓN DE LA DOCUMENTACIÓN ACTUAL
✓ Mantenimiento de Equipos
✓ Manejo de Backups
✓ Asignación de recursos de infraestructura
✓ Gestión de incidentes.
✓ Proceso de inventario
21
7.6. DEFINICIÓN DEL RIESGO
22
7.7. ANÁLISIS DE LOS RIESGOS
Los análisis de riesgos deben utilizar unos criterios definidos claramente que se
puedan reproducir en ocasiones sucesivas. De esta manera se puede ir
comparando el nivel de riesgo en una organización a medida que se va mejorando
el Sistema de Gestión de Seguridad de la Información.
26
Imagen tomada de las locaciones del edificio
27
recepción. Sin dejar a un lado que se cuenta con 1 camilla de
emergencias ubicada en el 6 piso.
7.7.1.12. Recursos técnicos para evacuación. Se cuenta con Pull Down tipo sirena
7.7.1.13. Recursos técnicos para incendios. Extintores: La empresa tiene extintores
distribuidos por las diferentes áreas, con su respectiva señalización.
7.7.1.14. Detectores de humo. Todas las áreas están protegidas con detectores de
humo direccionados a un panel de control
7.7.1.15. Gabinetes contra incendio. En cada piso está ubicado un gabinete contra
incendio tipo I , dotado con manguera de 1,5” X 30 metros de longitud,
llave, hacha pico y el extintor ABC de 10 libras
28
Tabla 1. Interpretación De Nivel Del Riesgo
Interpretación De Nivel Del Riesgo
30
A continuación, se realiza el estudio, representando los riesgos más específicos.
31
7.8. HALLAZGOS
1. Las credenciales de los usuarios de red no son personificadas por los mismos
usuarios, en lugar de esto se le proporcionan contraseñas genéricas siguiendo
un patrón según la fecha en que se creó el usuario; por lo cual hay usuarios con
la misma contraseña de usuario de red.
2. Las contraseñas de usuarios de red nunca caducan
3. Cuando un usuario del área de Infraestructura es promovido a un área diferente
o cliente, no se realiza un proceso de baja de permisos y privilegios relacionados
a los procesos del área de infraestructura.
4. Se evidencia que algunos analistas tienen en sus puestos de trabajos Switches
expuestos funcionando, teniendo en cuenta que el área no está aislada de las
otras áreas o visitantes que pueden acceder a través de estos a la red y a la
información.
5. No se realiza depuración de la información contenida en los discos duros
externos destinados a la realización de backups de los equipos que se
recepcionan en el área.
6. No existe cultura en las personas del área ni de la compañía en general para
realizar el bloqueo de los equipos cuando se ausentan de sus lugares de
trabajo.
7. Se evidencia bastante desorden y descontrol en la gestión documental del área,
es decir, las actas de entrega de equipo de usuarios de la compañía. Las actas
de entrega de equipos no tienen un orden claro para el archivamiento, no se
tiene total depuración de las mismas, en ocasiones se dejan en lugares
expuestos a otras áreas o visitantes, comprometiendo la seguridad de la
información que contienen.
8. Los teléfonos móviles se pueden conectar a la red de la empresa y no existe un
bloqueo para estos dispositivos.
9. La herramienta de inventario se encuentra desactualizada, desordenada y con
información que no es verídica. Perdiendo así el control de los activos
32
entregados a los usuarios y por lo que se ha evidenciado la perdida de
algunos de estos activos.
10. Existen problemas de licenciamiento de herramientas de Microsoft, no se tienen
las suficientes licencias para todos los usuarios.
11. Los equipos se entregan a los usuarios sin ningún software de anti-virus.
Actualmente sólo se tienen 160 licencias del anti-virus System Center
Endpoint Protection.
12. Los muebles que se encuentran en la bodega, utilizados para colocar los
equipos de cómputo se encuentran en mal estado y se ha evidenciado que los
equipos han sufrido golpes por la caída de los paños de estos muebles.
13. El acceso al Data center no está controlado, pues varios analistas que sus
funciones no son pertinentes, tienen acceso él, pues tienen su registro en el
biométrico de éste. Además, no se cuenta con una bitácora de control de
accesos.
14. El acceso a la bodega está permitido para todos los integrantes del área,
contribuyendo al desorden y descontrol que se tiene con el tema del inventario.
15. No se realizan campañas de capacitación y conciencia en temas de seguridad
para las áreas de la compañía.
16. Se entregan credenciales de restablecimiento de contraseña de correo a
terceros y en texto plano.
17. No se realizan actualizaciones de parches de Windows a nivel de dominio ni en
equipos ni en servidores, dejando vulnerables estos a los ataques en la red
como virus, troyanos, ramsonware, entre otros.
18. No existe una política de depuración de información de los servidores de la
empresa.
19. Aunque se evidencia que están publicados algunos procesos y diagramas de
éstos en la intranet, no están documentados ni diagramados todos los procesos
que se manejan y los que están documentados se deben revisar pues están
desactualizados.
20. Cuando se desvincula un funcionario de la compañía no se realiza un bloqueo
inmediato de su correo electrónico, el funcionario puede acceder a este a través
de cualquier red durante 12 días calendario después de su desvinculación.
21. Si bien el control de la entrega de equipos es el acta que firma el usuario y la
posterior actualización en el sistema de inventario, no existe un plan de
contingencia ante la pérdida de un acta o la falta de alguna de las funciones
mencionadas.
33
22. No existe una persona designada para el tratamiento y seguimiento de procesos
de seguridad de la información.
23. En ocasiones no se sigue el protocolo de entrega de equipos y se ha
evidenciado la falta de identificación de los equipos.
24. Los servidores físicos y virtuales tienen establecidos usuarios y contraseñas
genéricos y son iguales para todos los servidores, además no se realiza el
cambio de estas credenciales desde hace más de 2 años
25. Los equipos de los usuarios tienen las mismas credenciales de usuarios locales
desde hace más de 3 años.
26. El servidor de la herramienta de backups ya llegó al límite de almacenamiento
y no se están ejecutando todos los backups programados.
27. Algunos dispositivos de infraestructura están obsoletos y están en alto riesgo
de colapso, provocando la caída de canales como el de VPN.
34
7.9. CONTROLES RECOMENDADOS
35
9. La compañía debe proporcionar las licencias necesarias para las aplicaciones
o determinar la utilización de herramientas de software libre para evitar
sanciones.
10. Se recomienda realizar el estudio de adquisición de licencias para un software
anti-virus para todos los equipos de la compañía, pues actualmente están
expuestos ante ataques, robos de información, entre otros.
11. Se debe realizar la solicitud formal para el mantenimiento o la compra de los
muebles designados para el almacenamiento del stock de equipos en bodega.
12. El acceso al Data center debe estar autorizado únicamente para el analista de
nivel 3 encargado de los procesos de infraestructura y el coordinador del área.
Adicionalmente se debe realizar una bitácora de control y registro de accesos.
13. Se debe designar una persona encargada del manejo de la bodega de
infraestructura, esta persona tendrá la responsabilidad de llevar un control de
los elementos que ingresan o salen de la bodega.
14. Realizar la instalación de un sistema de acceso por biométrico al igual que en
el Data center.
15. El mesa de ayuda debe realizar planes de acción y capacitación (fondos de
escritorio, correos, reuniones, etc.) para todos los funcionarios de la compañía
con el fin de crear conciencia y cultura de seguridad de la información y los
activos de la empresa, es de gran importancia que los temas de SI sean de
conocimiento para todos los usuarios no solamente para las áreas de TI.
16. Todo tipo de credenciales deben ser enviadas de forma encriptada y
asegurando que estas no lleguen a terceros.
17. Se deben generar políticas a nivel de dominio para generar actualizaciones
automáticas en los equipos de la compañía para evitar ataques, virus, robo de
información, entre otros.
18. Se recomienda que la información que lleve cierto tiempo alojada en los
servidores sea depurada, con el fin de no comprometer la misma y mantener
los sistemas optimizados.
19. La documentación de los procesos es uno de los pasos más importantes para
la implementación de la norma ISO 27001, por lo tanto, se recomienda mantener
esta información actualizada con todos los procesos que se llevan a cabo.
20. Dentro de los procesos que se realizan con ocasión de cualquier desvinculación
se debe incluir el bloqueo o cambio de credenciales del correo asociado al
exfuncionario, pues actualmente hay un rango bastante amplio para que se
puedan generar extracciones de información importante, o incluso ataques a la
red o a los equipos.
36
21. Los analistas encargados en la entrega de equipos y realización de actas de
entrega deben tener una alternativa ante cualquier situación con las actas, por
ejemplo, una base de datos donde se registre el activo entregado y los datos
del usuario y fecha en que se entregó, con el fin de no perder la trazabilidad de
cada uno de os activos.
22. Como parte de los lineamientos establecidos en ISO 27001, la coordinación del
área debe delegar a una persona capacitada para el tratamiento y gestión de la
seguridad de la información.
23. Todos los integrantes del área de infraestructura y mesa de ayuda deben seguir
y acatar los protocolos que se establecen para el manejo y control de los activos
y la información contenida.
24. Se debe establecer un plan de acción o política para redefinir credenciales a los
usuarios locales de cada servidor, donde se siga un patrón de seguridad
exigente para las contraseñas. Estas deben ser diferentes para cada uno de los
servidores y se deben cambiar en un tiempo determinado. Las credenciales de
los servidores se consignarán en un documento siguiendo protocolos de
seguridad donde solamente los oficiales encargados tengan acceso. Finalmente
se debe realizar una entrega formal de las credenciales a la gerencia de acuerdo
al plan de continuidad de negocio.
25. Las credenciales para los usuarios locales de los equipos pueden mantenerse
iguales para estos últimos por temas de soporte, sin embargo, es necesario que
estas credenciales sean cambiadas en un determinado tiempo para evitar que
se filtre esta información y los usuarios tengan accesos que no deben, o no les
están permitidos.
26. Se recomienda buscar una estrategia para dar continuidad con los backups
diarios programados. Por ejemplo, depurar backups que sean muy antiguos y/o
aumentar el espacio de almacenamiento en el servidor de la base de datos del
aplicativo de backups.
27. Se recomienda realizar la verificación de todos los dispositivos que según la
vida útil se encuentran obsoletos y proceder con el proceso de cotización y
compra de dispositivos actualizados.
37
7.10. DEFINICIÓN DE LA AUDITORÍA, SEGUIMIENTO Y MEJORA DEL SGSI
38
8. ESTADO DE LOS CONTROLES PROPUESTOS
%
Contr Estado cumplimien Responsa Impact Observacion
ol to ble o es
1. Se debe generar
una política en el
directorio activo a
nivel de dominio para
que los usuarios
generen una Pendiente 0% Analistas Medio Sin socializar
contraseña de
acuerdo a unos
parámetros de
seguridad. Esta
política debe
parametrizar
l
a programación para
cambio de contraseña
obligatorio en un
término de tiempo
determinado.
2. Cuando un
funcionario del área
de infraestructura
sea
promovido o
desvinculado de la Pendiente 0% Analistas Medio Sin socializar
compañía, no
solamente se deben
restringir los permisos
asociados, sino que
se debe realizar un
plan de cambio de
credenciales de todos
los accesos y
ambientes del área.
39
3. En los puestos de
trabajo deben
permanecer los
elementos de trabajo
establecidos,
Completa 100% Analistas Bajo
lo
do
s
dispositivos
com
o Switches o routers
deben estar
resguardados en la
bodega y solicitados
formalmente
únicamente cuando
la operación lo
requiera.
40
4. Los discos
duros
designados para
la realización
de backups de Completa 100% Analistas Medio
equipos deben do
ser formateados
inmediatamente
después de
entregar el backup al
oficial encargado
del
recibimiento de
la
información.
5. Se deben
establecer estrategias
y campañas de Socializado
conciencia para que Analistas,
Iniciado 20% Bajo pero sin
los funcionarios tomen Coordinació
n ejecutar
la cultura de bloquear
sus equipos cuando
se ausentan de su
lugar de trabajo.
6. Se debe establecer
un plan de acción para
la gestión documental
de las actas de
entrega de equipos. Se tuvo la
Como primera medida asignación
se deben resguardar temporal de
en un lugar donde Completa Analistas, un recurso
100% Alto
terceros no tengan Coordinació más en el
do
acceso. Se debe n área para la
establecer un orden organización
claro de archivo y se y
debe realizar la clasificación
depuración de las documnetal
actas de personas que
están desvinculadas
de la compañía o que
han entregado el
equipo por alguna
situación.
41
7. Realizar el estudio Ejecutado y
para implementar el Analistas,
En 90% Medio en proceso
bloqueo de acceso a proceso Coordinació
de pruebas
la red para móviles. n
8. Se debe ejecutar un
plan de acción para
levantar la información
pertinente a los En 85% Analistas, Alto
responsables de los proceso Coordinació
activos entregados y n
realizar la
actualización
del sistema de
inventario.
42
Se realizó la
instalación
de las
herramientas
9. La compañía debe free: WPS
proporcionar las Office y
licencias necesarias Analistas, Thunderbird.
para las aplicaciones En 60% Coordinació Alto Se estan
o determinar la proceso n, Gerencia llevando a
utilización de cabo analisis
herramientas de de auditorias
software libre para de software
evitar sanciones. para la
adquisición
de más
licencias de
Microsoft
Office de
acuerdo a la
necesidad.
10. Se recomienda Se socializó
realizar el estudio de que la
adquisición de administraci
licencias para un Analistas, ón en Brasil
software anti-virus Iniciado 10% Coordinació Alto determinará
para todos los equipos n, Gerencia todo el tema
de la compañía, pues de las
actualmente licencias y el
está tipo de anti-
n expuestos ante virus para
ataques, robos de los
información, equipos
entre otros.
Se realizaron
11. Se debe realizar la algunas
solicitud formal para el reparaciones
mantenimiento o la Analistas, y re-
Iniciado 50% Coordinació Medio acomodación
compra de los
muebles designados n, Gerencia de los
para el muebles, sin
almacenamiento del embargo aún
stock de equipos en está el riesgo
bodega. de
accidentes
43
12. El acceso al Data
center debe estar
autorizado
únicamente para el
analista de nivel 3
Analistas,
encargado de Completa 100% Medio
Coordinació
los do
procesos de n
infraestructura y el
coordinador del área.
Adicionalmente se
debe realizar una
bitácora de control y
registro de accesos.
44
13. Se debe designar
una persona
encargada del manejo
de la bodega de Analistas,
infraestructura, Completad 100% Bajo
Coordinació
est o
n
a persona tendrá la
responsabilidad de
llevar un control de los
elementos que
ingresan o salen de la
bodega.
14. Realizar la Analistas, Solicitud de
instalación de un Iniciado 10% Coordinació Medio compra
sistema de acceso por n, Gerencia realizada
biométrico al igual que
en el Data center.
15. El área de
infraestructura y mesa
de ayuda debe
realizar planes de
acción y capacitación
(fondos de escritorio,
correos,
reuniones, webinar, Pendiente 0% Analistas, Medio
etc.) paratodos Coordinació
los n
funcionarios de la
compañía con el fin de
crear conciencia y
cultura de seguridad
de la información y los
activos de la empresa,
es de gran
importancia que los
temas de SI sean de
conocimiento para
todos los usuarios no
solamente
para las áreas de TI.
45
16. Todo tipo de
credenciales deben
ser enviadas de forma Completad 100% Analistas Alto
encriptada y o
asegurando que estas
no lleguen a terceros.
Por temas
de
17. Se deben compatibilida
generar políticas d con
a nivel aplicaciones
de dominio Rechazado 0% Analistas, Alto y ambientes
para generar Coordinació de desarrollo
actualizaciones n no se puede
automáticas en establecer la
los equipos de la regla a nivel
compañía para evitar de dominio,
ataques, virus, robo el proceso
de información, entre se
otros. tiene que
hacer
manual.
46
18. Se recomienda
que la información que
lleve cierto tiempo
alojada en los Pendiente Analistas,
0% Medio En estudio
servidores sea Coordinació
depurada, con el fin de n
no comprometer la
misma y mantener los
sistemas optimizados.
19. La documentación
de los procesos es
uno de los pasos más
importantes para la Analistas,
implementación de la Iniciado 30% Coordinació Bajo
norma ISO 27001, por n, Calidad
lo tanto, se
recomienda mantener
esta información
actualizada con todos
los procesos que se
llevan a cabo.
20. Dentro de los
procesos que se
realizan con ocasión
de cualquier
desvinculación se
debe incluir el bloqueo
o cambio de Completa 100% Analistas Alto
credenciales del do
correo asociado al
exfuncionario, pues
actualmente hay un
rango bastante amplio
para que se puedan
generar extracciones
de información
importante, o incluso
ataques a la red o a
los equipos.
47
21. Los analistas
encargados en la
entrega de equipos y
realización de actas
de entrega deben
tener una alternativa
ante cualquier Completa 100% Analistas Bajo
situación con las do
actas, por ejemplo,
una base de datos
donde se registre el
activo entregado y los
datos del usuario y
fecha en que se
entregó, con el fin de
no perder la
trazabilidad de cada
uno de os activos.
48
22. Como parte de los
lineamientos
establecidos en ISO
27001, la coordinación Coordinació
del área debe delegar Pendiente 0% Bajo Sin
n,
socializar
a una persona Gerencia
capacitada para el
tratamiento y gestión
de
la seguridad de la
información.
23. Todos los
integrantes del área
de infraestructura y
mesa de ayuda deben Completad 100% Analistas Medio
seguir y acatar los o
protocolos que se
establecen para el
manejo y control de
los activos y la
información
contenida.
24. Se debe
establecer un plan de
acción o política para
redefinir credenciales Se realizó la
a los usuarios locales creación del
de cada servidor, documento
donde se siga un de politica
patrón de seguridad de
exigente para las credenciales
contraseñas. Estas en la ruta de
deben ser diferentes infraestructur
para cada uno de los En 90% Analistas, Alto a donde se
servidores y se deben proceso Coordinació parametrizó
cambiar en un tiempo n las reglas
determinado. para las
Las credenciales
credenciales de los de cada
servidores se servidor.
consignarán en un Se
documento siguiendo realizaron
protocolos de los cambios
seguridad de
dond credenciale
e solamente los s a los
49
oficiales encargados servidores,
tenga pendiente
n acceso. Finalmente entrega
se debe realizar una formal a la
entrega formal de las gerencia
credenciales a la
gerencia de acuerdo
al plan de continuidad
de
negocio.
50
25. Las credenciales
para los usuarios
locales de los equipos
puede
n mantenerse iguales
para estos últimos por
temas de soporte, sin Pendiente Analistas,
0% Medio Sin
embargo, es Coordinació
socializar
necesario que estas n
credenciales
sean
cambiadas en un
determinado tiempo
para evitar que se filtre
esta información y los
usuarios tengan
accesos que no
deben, o no les están
permitidos.
26. Se recomienda
buscar una estrategia
para dar continuidad Socializado,
con los backups se
diario realizaron
Analistas,
s programados. Iniciado 30% Alto algunas
Coordinació
Por optimizacion
n
ejemplo, depurar es a nivel
backups que sean de reglas de
muy antiguos y/o la
aumentar el espacio herramienta
de almacenamiento
en el servidor de la
base de datos del
aplicativo de backups.
52
9. CONCLUSIONES
El aprendizaje fue un factor clave que se evidencio en ambas partes, tanto para
el equipo como para la parte investigadora.
53
BIBLIOGRAFIA
CALDER, Alan. Nueve claves para el éxito: Una visión general de la implementación
de la norma NTC-ISO/IEC 27001. Colombia. ICONTEC. 2006. 127 p.
54