INFORME DE GESTION A EJECUTAR PARA SUBSANAR HALLAZGOS Y

NO CONFORMIDADES DE AUDITORIA AÑO 2017

El siguiente es un informe que contiene las medidas para establecer la

implementación, el seguimiento y las mejoras en el SGSI de MULTISERTEC
LTDA. De acuerdo a las falencias y no conformidades establecidas por la auditoria
desarrollada por la empresa COTECNA los días 17 y 18 mayo del 2017 y donde
se contemplan las propuestas, sugerencias, plan y cronograma de acciones para
ejercer cumplimento a la norma ISO 27001:2013.
De acuerdo a documentación recibida por parte de la oficina y donde se advierten
cinco (5) hallazgos y no conformidades por parte de ultima auditoria, me presto a
describir; una a una, las medidas y acciones a ejecutar detalladamente para cada
una de estas a fin de adherirlas al cumplimiento a la respectiva norma (27001) y
así obtener la certificación sobre esta.

Descripción de la No Conformidad 1
La organización no ha llevado a cabo valoraciones de riesgos de la seguridad de
la información a intervalos planificados y en la valoración existente no selecciona
las opciones de tratamiento ni los controles para algunos riesgos.
Se detectó que la última valoración de riesgos se realizó en diciembre de 2015, lo
cual no asegura un control apropiado sobre la evolución de los riesgos y su
tratamiento. En dicha valoración para el riesgo de pérdida de información y del
proceso gestión documental no se selecciona la opción de tratamiento ni los
controles para tratarlo.
Siendo de los cinco, este el más importante y delicado, sin demeritar la relevancia
de los siguientes, ya que, de aquí se superan las falencias en los hallazgos de los
otros cuatro, me dispongo a sugerir plan de acción:
 Identificar procesos y activos misionales del negocio para implementar los
controles.
 Segmentar las redes de usuarios y del servidor
consiste en dividir la red en subredes para que, en el caso de aumentar el número de
ordenadores conectados a ella establezcan mejor comunicación y seguridad y así aumentar
el rendimiento, tomando en cuenta que existe una única topología, un mismo protocolo de
comunicación y un solo entorno de trabajo, esto mejora el tráfico y el rendimiento en la red y
proporcionamos más seguridad en la comunicación.

 Deshabilitar usuario Administrador del servidor

De acuerdo a la no conformidad emitida y sujeto a la norma se debe restringir la
disponibilidad de usuarios susceptibles al tratamiento de la información por parte de
personal no idóneo.

13 -08 – 2018 MULTISERTEC LTDA ING. YEZID FERREIRA

 INFORME DE GESTION A EJECUTAR PARA SUBSANAR HALLAZGOS Y
NO CONFORMIDADES DE AUDITORIA AÑO 2017

 Establecer VPN para el acceso remoto al servidor

Tomando en cuenta que en el informe emitido por el auditor describe que los riesgos se
incrementan por el acceso a la información por parte de terceros, es importante para el
respeto a la norma de seguridad deducir que el riesgo disminuye si el personal y la empresa
se conectan mediante una conexión VPN. El acceso está protegido, la conexión está
previsiblemente cifrada y el usuario tiene el mismo acceso que si estuviera ahí.

 Validar la posibilidad de configurar un servidor controlador de dominio

(Crear directorio activo)
Esto hace que toda la red esté bajo el control de un solo dominio y permite al administrador
que maneje múltiples dominios, reduciendo el costo y la complejidad (riesgos, vulnerabilidad
en la red) y proporciona una mayor seguridad con relación al usuario en el logeos.

 Validar las actualizaciones de Windows del servidor

 Verificar que no exista software pirata en el servidor
 Verificar que el firewall de Windows del servidor este habilitado y en todas
las estaciones de trabajo

 Deshabilitar y/o configurar las cuentas de usuario de las estaciones de

trabajo para que no tengan permisos de administrador.

Mediante la creación de un convenio de nombres para los usuarios, Primera inicial, seguido
del apellido (jperez, cobregon, pramirez o Apellido, seguido del código del departamento
(perez029, obregon454, ramirez191, etc.) seguido de la respectiva contraseña con las
políticas de la norma.

 Entrenamiento de seguridad a usuarios

 Verificar estados de la información Almacenamiento, Transito y
Procesamiento.
 Realizar backup de la información tanto física como digital y ejecutar
ejercicios periódicos de restauración del backup.
 Crear política de retención de información (tiempo de almacenamiento que
se necesita)
 Si se realizan backups en el servidor configurar RAID (arreglo de discos)
Controladora RAID
 Considerar SaaS en la nube
 Crear política de seguridad de la información (capacitación a personal)
 Crear línea base de instalación de equipos de usuario
 Verificar retención de video y método de grabación de seguridad (no, sin
acceso)

13 -08 – 2018 MULTISERTEC LTDA ING. YEZID FERREIRA

 INFORME DE GESTION A EJECUTAR PARA SUBSANAR HALLAZGOS Y
NO CONFORMIDADES DE AUDITORIA AÑO 2017

 Cuando se intercambia información sensible con terceros se deben firmar

clausulas NDA (Non Disclosure Aggrement) Acuerdos de confidencialidad.
(Contrataciones, RRHH)

Descripción de la No Conformidad 2
No se asegura que la información reciba un nivel apropiado de protección de
acuerdo a su importancia para la organización debido a que se clasifica de una
forma y se etiqueta de otra.
Según se describe en el plan de acción, el cual no se llevó a cabo, se evidencia en
el listado maestro de registros que las carpetas de RRHH se clasifican como
libres, pero se rotulan con el sello restringido.
Este caso ya lo habíamos conversado, pero de acuerdo a lo requerido se
establece que la clasificación de la información se etiquetada de las tres maneras
que la norma requiere para el archivo o manejo de documentación por el personal
a cargo así: Confidencial, Privada, sensible y pública.

Descripción de la No Conformidad 3
No se evidencia que la organización proporcione los recursos necesarios para el
mantenimiento y mejora del SGSI.
Según informe de declaración, El administrador del área renuncio en enero de
2017 y a la fecha no se ha reemplazado. (abandono o negligencia ante remplazo)
El SGSI. (Sistema de Gestión de Seguridad de la Información) es un proceso de
mejora continua, ya que, las amenazas evolucionan y los riesgos varían de
acuerdo con el tiempo. Nunca se implementaron los planes de acción, sólo se
concluyeron, se establecieron, pero nunca se ejecutaron, quedó a la deriva y se
evidenció en cada uno de los hallazgos.
Aclaro en este punto que hay que segmentar las responsabilidades (el oficial de la
información no puede desarrollar labores de infraestructura y/o desarrollo,
compras, etc.)

Descripción de la No Conformidad 4
La organización no obtiene oportunamente información acerca de las
vulnerabilidades técnicas para evaluar su exposición a estas vulnerabilidades.
Según declaración, No se evidencia la realización de análisis de vulnerabilidades
técnicas.

13 -08 – 2018 MULTISERTEC LTDA ING. YEZID FERREIRA

 INFORME DE GESTION A EJECUTAR PARA SUBSANAR HALLAZGOS Y
NO CONFORMIDADES DE AUDITORIA AÑO 2017

Para evaluar la eficacia de la implementación y la aplicación de las pruebas de

vulnerabilidades técnicas aplicadas a los equipos de la organización se debe
contratar o adquirir herramientas aplicativas que gestionan esta actividad en
periodos o intervalos definidos según la norma, Programas o aplicativo de análisis
de vulnerabilidad (hay softwares libres, ejemplo: Nessus, es una herramienta de
seguridad de redes informáticas, previene ataques, escanea la vulnerabilidad y
arroja un informe, el cual nos da soporte)

Descripción de la No Conformidad 5
Se realizó una prueba de plan de continuidad de seguridad de la información en
uno de los proyectos actuales ejecutados por la empresa a cargo de la
subgerencia de la organización, posterior se realizó un informe resultado del plan
de contingencia realizado.
Declaración: No se evidencia la realización de pruebas del plan de continuidad de
seguridad de la información.
El personal que desarrollo la prueba de plan de continuidad no fue contundente ya
que no es el idóneo teniendo en cuenta el desconocimiento de la normatividad y
las acciones a tomar por defecto, tengo entendido que no fue el ingeniero que
estaba antes.
Propuesta (pre auditoria)
Contratación de empresa de consultoría que nos revise antes de la auditoria
formal de tal manera que estemos al tanto de cualquier falencia en los controles
que se tuvieron después de implementarlos o un Ethical hacking (hacker Ético)
que es necesario para validar la postura de seguridad de la compañía dado que la
misión de estas personas es ejecutar pruebas de explotación de vulnerabilidades y
de esta manera presentar un informe de cuan expuesta esta la empresa ante
amenazas de seguridad informática y que tan efectivos son los controles
implementados.
Black Hat (Sin conocimiento de entorno)
Gray Hat (Conocimiento medio del entorno)
White Hat (Conocimiento amplio y/o total del entorno)

13 -08 – 2018 MULTISERTEC LTDA ING. YEZID FERREIRA