Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Descripción de la No Conformidad 1
La organización no ha llevado a cabo valoraciones de riesgos de la seguridad de
la información a intervalos planificados y en la valoración existente no selecciona
las opciones de tratamiento ni los controles para algunos riesgos.
Se detectó que la última valoración de riesgos se realizó en diciembre de 2015, lo
cual no asegura un control apropiado sobre la evolución de los riesgos y su
tratamiento. En dicha valoración para el riesgo de pérdida de información y del
proceso gestión documental no se selecciona la opción de tratamiento ni los
controles para tratarlo.
Siendo de los cinco, este el más importante y delicado, sin demeritar la relevancia
de los siguientes, ya que, de aquí se superan las falencias en los hallazgos de los
otros cuatro, me dispongo a sugerir plan de acción:
Identificar procesos y activos misionales del negocio para implementar los
controles.
Segmentar las redes de usuarios y del servidor
consiste en dividir la red en subredes para que, en el caso de aumentar el número de
ordenadores conectados a ella establezcan mejor comunicación y seguridad y así aumentar
el rendimiento, tomando en cuenta que existe una única topología, un mismo protocolo de
comunicación y un solo entorno de trabajo, esto mejora el tráfico y el rendimiento en la red y
proporcionamos más seguridad en la comunicación.
Mediante la creación de un convenio de nombres para los usuarios, Primera inicial, seguido
del apellido (jperez, cobregon, pramirez o Apellido, seguido del código del departamento
(perez029, obregon454, ramirez191, etc.) seguido de la respectiva contraseña con las
políticas de la norma.
Descripción de la No Conformidad 2
No se asegura que la información reciba un nivel apropiado de protección de
acuerdo a su importancia para la organización debido a que se clasifica de una
forma y se etiqueta de otra.
Según se describe en el plan de acción, el cual no se llevó a cabo, se evidencia en
el listado maestro de registros que las carpetas de RRHH se clasifican como
libres, pero se rotulan con el sello restringido.
Este caso ya lo habíamos conversado, pero de acuerdo a lo requerido se
establece que la clasificación de la información se etiquetada de las tres maneras
que la norma requiere para el archivo o manejo de documentación por el personal
a cargo así: Confidencial, Privada, sensible y pública.
Descripción de la No Conformidad 3
No se evidencia que la organización proporcione los recursos necesarios para el
mantenimiento y mejora del SGSI.
Según informe de declaración, El administrador del área renuncio en enero de
2017 y a la fecha no se ha reemplazado. (abandono o negligencia ante remplazo)
El SGSI. (Sistema de Gestión de Seguridad de la Información) es un proceso de
mejora continua, ya que, las amenazas evolucionan y los riesgos varían de
acuerdo con el tiempo. Nunca se implementaron los planes de acción, sólo se
concluyeron, se establecieron, pero nunca se ejecutaron, quedó a la deriva y se
evidenció en cada uno de los hallazgos.
Aclaro en este punto que hay que segmentar las responsabilidades (el oficial de la
información no puede desarrollar labores de infraestructura y/o desarrollo,
compras, etc.)
Descripción de la No Conformidad 4
La organización no obtiene oportunamente información acerca de las
vulnerabilidades técnicas para evaluar su exposición a estas vulnerabilidades.
Según declaración, No se evidencia la realización de análisis de vulnerabilidades
técnicas.
Descripción de la No Conformidad 5
Se realizó una prueba de plan de continuidad de seguridad de la información en
uno de los proyectos actuales ejecutados por la empresa a cargo de la
subgerencia de la organización, posterior se realizó un informe resultado del plan
de contingencia realizado.
Declaración: No se evidencia la realización de pruebas del plan de continuidad de
seguridad de la información.
El personal que desarrollo la prueba de plan de continuidad no fue contundente ya
que no es el idóneo teniendo en cuenta el desconocimiento de la normatividad y
las acciones a tomar por defecto, tengo entendido que no fue el ingeniero que
estaba antes.
Propuesta (pre auditoria)
Contratación de empresa de consultoría que nos revise antes de la auditoria
formal de tal manera que estemos al tanto de cualquier falencia en los controles
que se tuvieron después de implementarlos o un Ethical hacking (hacker Ético)
que es necesario para validar la postura de seguridad de la compañía dado que la
misión de estas personas es ejecutar pruebas de explotación de vulnerabilidades y
de esta manera presentar un informe de cuan expuesta esta la empresa ante
amenazas de seguridad informática y que tan efectivos son los controles
implementados.
Black Hat (Sin conocimiento de entorno)
Gray Hat (Conocimiento medio del entorno)
White Hat (Conocimiento amplio y/o total del entorno)