Plan de Medidas

-Control de diagnóstico realizado por la Dirección de Informática y Comunicaciones de la Empresa de Gases

Industriales a Oficina Central Empresa del Papel (CUBAPEL) con fecha: 8 de junio de 2018.

Objetivos del Control:

1. Comprobar el cumplimiento de lo establecido en el Reglamento de Seguridad Informática anexo a la

Resolución 127/2007 por el entonces Ministerio de la Informática y las Comunicaciones (MIC), hoy
Ministerio de las Comunicaciones (MINCOM).
2. Detección de las vulnerabilidades que afectan el Sistema de Seguridad Informática implementado en la
entidad.
No. Deficiencias detectadas Acciones Ejecuta Responsable Fecha de
cumpl.
GESTIONES
1 Violaciones de acceso a -Aumentar el trabajo preventivo con -Esp. SI: -Jefe de Área: Permanente
sitios pornográficos y los trabajadores. Sandra Calvo Yoennis
Ges contrarrevolucionarios. -Realizar un control más estricto y Castro. Rodríguez.
t tener actualizados los informes
semanales de las trazas de
navegación.

4 No existe personal que -Contratar y preparar a un -Esp. SI: -Jefe de Área: CUMPLIDO
atienda a tiempo completo la especialista para que atienda la Sandra Calvo Yoennis
Ges actividad de Seguridad actividad en cuestión. Castro. Rodríguez
t Informática. -Promover la participación de los
especialistas del área en talleres,
diplomados y certificaciones en
seguridad informática.

11 No están habilitadas las -Habilitar las opciones técnicas en -Esp. Redes: -Jefe de Área: En proceso (se
opciones técnicas en los los sistemas operativos para Eddy Gaspar Yoennis instaló un
Ges servicios y sistemas garantizar la seguridad de las Martínez Rodríguez controlador de
t
 operativos para garantizar la contraseñas. dominio que
complejidad de las -Impartir capacitación al personal de aumenta el
contraseñas de acceso a los la entidad sobre la elaboración de nivel de
servicios. contraseñas seguras. complejidad en
las
contraseñas)
12 Se utiliza incorrectamente el -Deshabilitar el Control Total a los -Esp. Redes: -Jefe de Área: En proceso
Ge grupo “Todos” y los recursos compartidos en la red. Eddy Gaspar Yoennis (mediante la
st permisos de “Control Total” -Impartir charla al personal de cómo Martínez Rodríguez instalación del
en la mayoría de los recursos compartir información de manera controlador de
compartidos con información segura. dominio se
vital, habilitados en crearan
servidores y estaciones de políticas de
trabajo. seguridad
impidiendo el
uso incorrecto
de dichos
grupos)
14 Existen reglas muy -Optimizar la seguridad en el -Esp. Redes: -Jefe de Área: CUMPLIDO
permisivas en el servidor con cortafuego para eliminar las reglas Eddy Gaspar Yoennis
Ges la funcionalidad de permisivas a usuarios no deseados. Martínez Rodríguez
t cortafuego que limita el -Habilitar salva de los Logs por el
tráfico entre la red interna
 (LAN) y la externa (WAN). período de 1 año.
No se definen correctamente
el origen y destino de las
conexiones, predomina el
uso indebido de las
interfaces de red en las
reglas de filtrado. No se
habilitan los log por el tiempo
establecido (no menor de un
año).

15 En la red no existen sistemas -Implementar un sistema de -Esp. Redes: -Jefe de Área: En proceso (se
de detección de intrusión detección de intrusos. Eddy Gaspar Yoennis instaló un
Ges (IDS) y protección de -Registrar evidencias de Martínez Rodríguez nuevo
t intrusión (IPS), para detectar infiltraciones o posibles infiltraciones cortafuego en
los accesos lógicos no en la red. el cual se
autorizados en tiempo real, configurara el
por lo que la entidad está uso de
expuesta a estas acciones IDS/IPS)
sin que se registren
evidencias.
17 No existen un controlador de -Instalar un Servidor de Controlador -Esp. Redes: -Jefe de Área: CUMPLIDO
dominio para el control de Dominio (Active Directory). Eddy Gaspar Yoennis
Ges centralizado de la red: Martínez Rodríguez
t política de permisos,
directivas de seguridad, entre
otros.

19 En el servidor de correo -Instalar nueva versión del servidor -Esp. Redes: -Jefe de Área: Parcialmete
MDaemon se utiliza una MDaemon. Eddy Gaspar Yoennis cumplido (se
Ges versión (13.0.3) con Martínez Rodríguez deben habilitar
t vulnerabilidades críticas, no filtros de
está habilitada la contenidos para
autenticación SMTP para el evitar reenvio
envío de mensajes, no se de correos
aplican filtros de contenido, cadenas)
lo que denota que el servidor
carece de las opciones
técnicas necesarias para
impedir el envío o recepción
de cartas en cadenas,
 mensajes no deseados, entre
otros.

21 No se utilizan protocolos -Implementar protocolos seguros -Esp. Redes: -Jefe de Área: En proceso
seguros (SMTPS, IMAPS y POP3S, SMTPS, IMAPS Eddy Gaspar Yoennis (con la
Ges POP3S) en el servicio de garantizando el cifrado en la Martínez Rodríguez migración de
t correo electrónico, por lo que transferencia de datos. todos los
las contraseñas y el usuarios y
contenido de los mensajes servidor de
viajan por la red en texto correo para el
claro. nuevo dominio
cubapel se
activara el uso
de protocolos
seguros)
22 Al comprobar el uso que se -Establecer mecanismos del control -Esp. SI: -Jefe de Área: CUMPLIDO
le da al enlace disponible (2 y uso racional de la conectividad. Sandra Calvo Yoennis
Ges Mbps) y en la revisión de -Conversatorio con el personal al Castro. Rodríguez (se analizan las
t trazas del servicio de respecto del tema en cuestión. trazas y se
navegación del 30 de marzo -Proponer al consejo de dirección -Esp. Redes: detecta
al 28 de abril del 2018, se tomar medidas administrativas con Eddy Gaspar indisciplinas y
detecta un uso irracional e los usuarios recurrentes en esta Martínez uso irracional
 indisciplinas. indisciplina. del servicio en
algunas UEB)

DOCUMENTACIONES
2 Plan de Seguridad -Hacer modificaciones -Esp. SI: -Jefe de Área: En Proceso (se
Informática no se ajusta al correspondientes en el PSI en Sandra Calvo Yoennis está
Doc sistema informático correspondencia a lo que está Castro. Rodríguez actualizando el
implementado en la práctica. realmente implementado en la plan de
empresa. seguridad
informática)
3 No están documentadas -Habilitar una comisión con el -Esp. SI: -Jefe de Área: INCUMPLIDO
protagonismo de los jefes de área, Sandra Calvo Yoennis
Doc garantizando que la delimitación de Castro. Rodríguez
correctamente las funciones
estas funciones constituya una
o responsabilidades herramienta de dirección que
permita controlar y exigir su
cumplimiento una vez firmado por
generales y específicas del
los trabajadores.
-Elaborar documentos y
personal que utiliza las TIC. procedimientos correspondientes.

5 La documentación con los -Actualizar y habilitar los expedientes -Esp. ST: Eric -Jefe de Área: En proceso (se
detalles técnicos (número de técnicos que incluya el número de García. Yoennis están
Doc serie de los componentes) serie de las partes o piezas que Rodríguez actualizando
para el control de los bienes pueden ser suplantadas, con la firma los expedientes
informáticos está incompleta. del usuario responsable del medio, de PC)
jefe de área y del Especialista de
Seguridad Informática.

6 No está habilitado un -Elaborar procedimiento -Esp. ST: Eric -Jefe de Área: EN PROCESO
procedimiento para el control correspondiente. García. Yoennis
Doc sobre los soportes de Rodríguez
almacenamiento externos
(memorias flash, laptop,
cámaras fotográficas, discos
duros, celulares, PDA, entre
otros).

10 No existe un mecanismo -Elaborar procedimiento -Esp. SI: -Jefe de Área: EN PROCESO

documental para las bajas, ni correspondiente de acuerdo a las Sandra Calvo Yoennis
Doc para la suspensión temporal normativas vigentes. Castro. Rodríguez
de identificadores de acceso -Esp. Redes:
a los servicios en los casos Eddy Gaspar
de que el personal se Martínez
ausente por razones de
 licencia, vacaciones u otras
causas.

23 El Sistema de Seguridad -Habilitar todos los documentos -Esp. SI: -Jefe de Área: EN PROCESO
Informática carece de los rectores, tanto en formato duro como Sandra Calvo Yoennis (se están
Doc Procedimientos, Políticas y en digital. Castro. Rodríguez actua;izando
Reglamentos necesarios las políticas
para el apoyo a la actividad. reglamento y
procedimientos)

INVERSIONES
7 El local de los servidores -Coordinar con la dirección general y Dirección -Jefe de Área: INCUMPLIDO
está sometido a un grupo de el área administrativa la reparación General Yoennis
Inv condiciones físicas que del local técnico Nodo Central de Rodríguez
afectan considerablemente al acuerdo a las normativas vigentes. Grupo de
equipamiento y los servicios -Organizar el Local Técnico de Servicios
que se brindan: acuerdo a las normativas vigentes.
-Coordinar la compra del
 Las paredes en equipamiento Útiles Herramientas,
malas condiciones así como infraestructura necesaria
muestran para la organización sistemática del
evidencias de Nodo, así como las futuras
humedad. La mayor
 instalaciones.
concentración está -Coordinar con el área de Seguridad
alrededor del y Protección proveer al Local
equipo de clima, la Técnico Nodo de los medios de
ventana también protección contra incendios y
está dañada y no sistemas de alarma.
cierra
herméticamente el
local.
 El gabinete de los
servidores está
pegado por uno de
sus lados a la pared
incumpliendo las
normas para este
tipo de
equipamiento.
 El cableado está
desordenado, con
empates hecho a
mano y expuesto a
daños físicos.
 No tiene habilitada medidas
de seguridad física como:
sistemas para la detección
de intrusos (alarmas) y
sistema contra incendios.

8 El respaldo existente para los -Demandar la compra de los medios Grupo -Jefe de Área: INCUMPLIDO
servidores no es el adecuado técnicos necesarios para garantizar Servicios Yoennis
Inv para poder garantizar la el respaldo de los servidores y Rodríguez
continuidad de los servicios servicios.
que se brindan y para poder
apagar a tiempo los
servidores en caso de una
falla.
9 El cableado de red no está -Rediseñar el cableado estructurado Admón. red -Jefe de Área: INCUMPLIDO
identificado correctamente con el apoyo de entidades Yoennis (se concluyó el
Inv esto impide corregir fallas o competentes que presten este Rodríguez ctto con
dar solución a una avería en servicio. SERCONI, por
el menor tiempo posible. -Implementar el nuevo cableado de problemas de
la red. combustible no
han realizado el
trabajo)
13 No cuentan con soporte -Demandar la compra de medios de Grupo -Jefe de Área: INCUMPLIDO
 externo para las salvas, no almacenamiento externo para las Servicios Yoennis
Inv se documenta mediante un salvas de información. Rodríguez
procedimiento la gestión de
salvas con detalles de la
información, responsables,
medios disponibles, entre
otros.

18 No se almacenan los log del -Implementar mecanismo de -Esp. Redes: -Jefe de Área: Parcialmente
Sistema Operativo de los almacenamiento de los Logs de los Eddy Gaspar Yoennis cumplido (Solo
servidores, estaciones de Sistemas Operativos de los Martínez Rodríguez se almacenan
Inv
trabajo y servicios por el servidores y estaciones de trabajo los log hasta
tiempo establecido (no por un período mínimo de un año. donde alcance
menor de un año). el espacio en
los servidores)

20 No existe un sistema para las -Instalar servidor WSUS o Servidor -Esp. Redes: -Jefe de Área: INCUMPLIDO
actualizaciones de seguridad de actualizaciones automático. Eddy Gaspar Yoennis (no existe
Inv de los sistemas operativos Martínez Rodríguez infraestructura
que se utilizan en la entidad. ni capacidad de
almacenaje
para instalar un
 sistema de
actualizaciones
de seguridad)
NO PROCEDE
16 La arquitectura de la red no -Implementar VLAN que aíslen a los -Esp. Redes: -Jefe de Área: NO PROCEDE
es la adecuada, actualmente diferentes departamentos en Eddy Gaspar Yoennis
es una red plana, en la que pequeñas subredes con sus Martínez Rodríguez
NP
todas las estaciones de respectivos cortafuegos.
trabajo y servidores se
encuentran en la misma
subred.