Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Cis 12 & 13

    Cargado por

    emii29
    13 vistas2 páginas
    El documento presenta los resultados de una auditoría de redes e infraestructura de comunicaciones realizada por el Gerente de Infraestructura. Se verificó el cumplimiento de los controles CIS, encontrando que la documentación de la arquitectura de red no se mantenía completamente actualizada y algunos activos nuevos no estaban incluidos en procesos de actualización y escaneo de seguridad, generando un riesgo bajo. Se recomienda crear un plan para subsanar estas debilidades en un plazo definido.

    Descripción original:

    Título original

    CIS 12 & 13

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    El documento presenta los resultados de una auditoría de redes e infraestructura de comunicaciones realizada por el Gerente de Infraestructura. Se verificó el cumplimiento de los controles CIS, encontrando que la documentación de la arquitectura de red no se mantenía completamente actualizada y algunos activos nuevos no estaban incluidos en procesos de actualización y escaneo de seguridad, generando un riesgo bajo. Se recomienda crear un plan para subsanar estas debilidades en un plazo definido.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    13 vistas2 páginas

    Cis 12 & 13

    Cargado por

    emii29
    El documento presenta los resultados de una auditoría de redes e infraestructura de comunicaciones realizada por el Gerente de Infraestructura. Se verificó el cumplimiento de los controles CIS, encontrando que la documentación de la arquitectura de red no se mantenía completamente actualizada y algunos activos nuevos no estaban incluidos en procesos de actualización y escaneo de seguridad, generando un riesgo bajo. Se recomienda crear un plan para subsanar estas debilidades en un plazo definido.

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 2

    Auditoría Redes Informáticas y Comunicación

    Departamento Infraestructura
    Responsable Gerente de Infraestructura
    Fecha 09/06/2022

    Objetivo
    Aplicar una evaluación de tipo lista de chequeo a los controles recomendados por el CIS (por sus siglas en inglés Centro para
    la Seguridad de Internet); considerando que se debe cumplir con un nivel de higiene cibernética de grado 3 (IG3) por el grado
    de sensibilidad del Banco en sus operaciones digitales y su bajo apetito por el riesgo de ciberseguridad.
    Verificar que la infraestructura de red esté completamente documentada y que los diagramas de arquitectura se mantengan
    actualizados, que los componentes clave de la infraestructura tengan soporte de proveedores actualizaciones de funciones; y
    se monitoreen las versiones y configuraciones de su infraestructura en busca de vulnerabilidades que requieran que actualicen
    los dispositivos de red a la última versión segura y estable que no afecte la infraestructura.

    ID Control Documentado Implementado Automatizado Reportado


    Política En la mayoría En todos los Para todos los
    12.1 Asegúrese de que la infraestructura de red esté actualizada Aprobada de activos activos activos
    Política En todos los
    12.2 Establecer y mantener una arquitectura de red segura No aplicable No aplicable
    Aprobada activos
    Política En todos los En todos los Para todos los
    12.3 Gestione de forma segura la infraestructura de red
    Aprobada activos activos activos
    Política En la mayoría
    12.4 Establecer y mantener diagramas de arquitectura No aplicable No aplicable
    Aprobada de activos
    Centralice la autenticación, la autorización, y la auditoría de Política En todos los En todos los Para todos los
    12.5
    la red (AAA) Aprobada activos activos activos
    Uso de protocolos seguros de administración de redes y Política En todos los En todos los Para todos los
    12.6
    comunicaciones Aprobada activos activos activos
    Asegúrese de que los dispositivos remotos utilicen una VPN Política En todos los En todos los Para todos los
    12.7
    y se conecten a la infraestructura AAA de una empresa Aprobada activos activos activos
    Establecer y mantener recursos informáticos dedicados para Política En todos los En todos los Para todos los
    12.8 Aprobada
    todo el trabajo administrativo activos activos activos

    Conclusiones Nivel de Implementación

    El departamento de Infraestructura conoce y sigue al pie de la letra los


    requerimientos, responsabilidades y mandatos definidos en la Política de
    Seguridad de Comunicaciones, en la cual se evidencian documentados
    todos los controles CIS requeridos, así como el despliegue de
    responsabilidades operativo y de supervisión sobre cada uno de ellos,
    completando así un adecuado nivel de implementación de los controles.
    Sin embargo, la amplitud actual de la red y la agilidad de la ¿entidad en el
    desarrollo de proyectos actuales e iniciativas de negocio emergentes, han
    deteriorado el grao de reacción de la Gerencia de Infraestructura para la
    atención oportuna de la documentación de en los diagramas de
    arquitectura de los cambios y adquisiciones tecnológicas recientes, así
    como su inclusión dentro de los controles automatizados de verificación y
    actualización de seguridad; generando un riesgo residual bajo,
    principalmente por su baja probabilidad de materialización.

    Recomendaciones
    Se recomienda el desarrollo de un plan de acción, que defina formalmente
    el periodo del tiempo en el cual el cual se normalizará y subsanará la
    ausencia en la actualización de os artefactos de la arquitectura
    empresarial de las redes, así como la incorporación de los nuevos activos
    de información al los escaneos y ejercicios de actualización periódicos
    sobre actualizaciones de seguridad, de forma tal que la organización
    conozca la ventana de tiempo en la cual mantendrá estas debilidad des
    dentro de su ambiente de control tecnológico.
    Auditoría Redes Informáticas y Comunicación
    Departamento Seguridad de la Información
    Responsable Gerente de Seguridad de la Información
    Fecha 09/06/2022

    Objetivo
    Aplicar una evaluación de tipo lista de chequeo a los controles recomendados por el CIS (por sus siglas en inglés Centro para la
    Seguridad de Internet); considerando que se debe cumplir con un nivel de higiene cibernética de grado 3 (IG3) por el grado de
    sensibilidad del Banco en sus operaciones digitales y su bajo apetito por el riesgo de ciberseguridad.
    Verificar la capacidad de operaciones de seguridad para prevenir, detectar y responder rápidamente a las amenazas
    cibernéticas antes de que puedan afectar a la empresa.

    ID Control Documentado Implementado Automatizado Reportado


    13.1 Centralizar alertas de eventos de seguridad Política En todos los En todos los Para todos los
    Aprobada activos activos activos
    13.2 Implemente una solución de detección de intrusiones basada Política En todos los
    en host No aplicable No aplicable
    Aprobada activos
    13.3 Implementación de una solución de detección de intrusiones Política En todos los En todos los Para todos los
    en la red Aprobada activos activos activos
    13.4 Realizar filtrado de tráfico entre segmentos de red Política En todos los
    No aplicable No aplicable
    Aprobada activos
    13.5 Gestionar el control de acceso para activos remotos Política En todos los En todos los Para todos los
    Aprobada activos activos activos
    13.6 Recopilar registros de flujo de tráfico de red Política En todos los En todos los Para todos los
    Aprobada activos activos activos
    13.7 Implementar una solución de prevención de intrusiones Política En la mayoría En todos los Para todos los
    basada en host Aprobada de activos activos activos
    13.8 Implementar una solución de prevención de intrusiones en la Política En todos los En todos los Para todos los
    red Aprobada activos activos activos
    13.9 Implementar el control de acceso a nivel de puerto Política En todos los En todos los En todos los
    Aprobada activos activos activos
    13.10 Realizar el filtrado en la capa de aplicación Política En todos los En todos los En todos los
    Aprobada activos activos activos
    13.11 Ajustar los umbrales de alerta de eventos de seguridad Política En la mayoría
    No aplicable No aplicable
    Aprobada de activos

    Conclusiones Nivel de Implementación

    El departamento de Seguridad de la información ha habilitado todas las


    capacidades necesarias para el monitoreo y defensa de la red, y posee
    tecnologías para administradlo de forma sistémica, logrando de esta forma
    un grado de implementación del 95% respecto a los controles CIS IG3
    sobre estos aspectos; se detecta solo la no existencia de una solución de
    IDS a nivel de host para las servidores Linux, generando así una brecha en
    el entorno de control existente, que puede traducirse en un riesgo
    Moderado, por la importancia de los procesos soportados por estos equipos
    en el banco.

    Recomendaciones
    Se recomienda el desarrollo de un ejercicio de rentabilidad costo-beneficio
    respecto a la inversión necesaria para la adquisición e implementación de
    tecnología IDS host, para los servidores Linux, parta la correcta toma de
    decisiones de respuesta al riesgo.

    También podría gustarte