Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hallazgo n.° 1
Condición
Criterio:
Protección de la información contra códigos malicioso de conformidad con las mejores
prácticas establecidas en ISO 27001, en el que se indica que dentro de los procedimientos a
desarrollar para un efectivo control es crear procedimientos para usar el antivirus, dar
formación para su uso y para afrontar los ataques, así como disponer de un software espía que
se encargue de rastrear el trabajo que se realiza y que se envíe a alguien externo.
Causa:
Falta de implementación de controles alternos una vez identificado que alguna PC no se ha
actualizado adecuadamente el antivirus en el tiempo establecido por la Administración.
Efecto.
Vulnerabilidad en los equipos de cómputos que no actualizan la versión y que puede dar
entrada a códigos maliciosos a la red de la entidad.
Recomendación
Hallazgo n°.2
Condición:
En la revisión efectuada a la política de seguridad del sistema operativo de red, observamos
que en lo relacionado a bloqueos automáticos de cuentas de usuarios después de tres intentos
fallidos no se establece como el área de sistemas controla y documenta los casos de usuarios
que han llegado al límite establecido en la política.
2
Referente a la automatización al bloquearse el usuario no se indica en la política como el área
de sistema monitorea la efectividad del sistema.
Criterio:
Controles de accesos a los sistemas operativos. Las buenas prácticas de ISO 27002, sugieren
que la utilización de un software de controles de accesos puede ser útil ya que proporciona un
registro de los intentos de accesos tanto exitosos como fallidos.
También menciona la importancia de los controles de seguridad lógica cuya identificación y
autenticación del usuario mitiga el riesgo de accesos de usuarios no autorizados.
Causa:
Efecto:
Recomendación:
Recomendamos definir controles que permitan documentar la periodicidad y las razones por las
cuales los usuarios han sido bloqueados y la efectividad de las respuestas realizadas por el
sistema en el tiempo establecido.
De tal manera que facilite la toma de decisiones en la gestión de seguridad de los sistemas
operativos de red y que los cambios o mejoras puedan identificarse oportunamente.