Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[NOMBRE DE LA COMPAÑÍA]
[Dirección de la compañía]
Asignatura Datos del alumno Fecha
Apellidos: Maldonado Velázquez
Gestión de la
28/05/2021
Seguridad
Nombre: Marlén
Actividad
Misión de la Empresa: Somos una Fiscalía autónoma que garantiza el acceso a la justicia,
el debido proceso, la verdad y la reparación del daño a las personas víctimas de delito, el
respeto y protección a los derechos humanos mediante el profesionalismo y efectividad
en la investigación criminal para fomentar confianza y seguridad en la ciudadanía.
2. Qué objetivo pretende lograr y que alcance persigue con la implementación de un SGSI
en el sistema o proceso informático seleccionado, debidamente justificado.
Alcance: Con base en la Norma ISO27000, se evaluarán las condiciones actuales y las
Acción que se requieren implementar para cumplir con la norma en base al sistema de
Constancias de Antecedentes Penales, los puntos a evaluar serán 6, 8, 9, y 17, con el
objetivo de determinar e implementar políticas, normas o procedimientos que nos
ayuden a la gestión de riesgos en cuanto a las vulnerabilidades detectadas en el sistema.
[O] Parcial, el personal que maneja el sistema, conoce las funciones y limitaciones para
su usuario dentro del sistema. Acción a seguir, hacer de conocimiento al personal de las
funciones a realizar en cada perfil de usuario.
[T] Parcial, ya que el sistema cuenta con diferentes roles para cumplir con el requisito de
las solicitudes y la búsqueda de los antecedentes de los solicitantes, siendo así que, para
la atención de una Constancia, están involucrados varios usuarios.
Por otra parte, el personal de desarrollo tiene acceso a la información en producción.
Acción a realizar, el personal de desarrollo, deberá trabajar en un ambiente de pruebas.
6.1.3 Contacto con las autoridades.
[N] No implementado, no existe ninguna política o procedimiento. Acción a realizar, se
deberá analizar y definir las políticas en caso de que sucedan intrusiones o fugas de
información, para que se procedan las investigaciones necesarias.
[O] No implementado, no existe un procedimiento en caso de algún suceso que
comprometa el sistema o la información que ahí se maneja. Acción a realizar, difundir a
los empleados el procedimiento que se deberá seguiría.
[T] No aplica, el contacto sería por parte externa del sistema.
6.1.4 Contacto con grupos de interés especial.
[N] [O] No aplica, no es necesario implementar políticas para esta categoría.
[T] No implementado, no se tiene contacto con grupos de interés para ver las mejoras en
cuestión de seguridad de la información. Acción a realizar, es importante asignar a una
persona para que se mantenga actualizado con respecto a grupos de interés sobre
seguridad de la información.
6.1.5 Seguridad de la información en la gestión de proyectos.
[N] No implementada, no existe política o procedimiento para que en la gestión de
proyectos se incluya la seguridad de la información. Acción a realizar, la norma indica la
integración de la seguridad de la información en el desarrollo de proyectos, por ello se
deberá establecer un proceso para su integración.
[O] No implementada, el personal tiene desconocimiento del procedimiento. Acción a
realizar, hacer del conocimiento a el personal de desarrollo de proyectos los
procedimientos a seguir.
[T] Parcial, el sistema cuenta con privilegios para cada tipo de usuario, se encuentra
incorporadas las bitácoras para el seguimiento de las acciones realizadas dentro del
sistema, aunque en la realización del proyecto no se siguió ningún procedimiento para la
incorporación de medidas para enfrentar algún ataque (ciber ataques, inyección SQL,
etc.). Acción a realizar, hacer revisión profunda en cuanto a las vulnerabilidades que se
puedan presentar dentro del sistema y realizar un análisis de riesgo de la información,
para que sean solventados los problemas encontrados.
6.2 Los dispositivos móviles y el teletrabajo.
6.2.1 Política de dispositivos móviles.
[N] No implementado. Acción a realizar, implementar normas en cuanto al uso de los
dispositivos móviles en horarios de oficina.
[O] [T] No aplica, no se puede acceder al sistema desde dispositivos móviles.
6.2.2 Teletrabajo.
[N] [O] [T] No aplica, ya que para trabajar con el sistema es necesario estar dentro de la
red interna, el personal no trabaja desde fuera de las instalaciones.
8. Gestión de activos
8.1 Responsabilidad sobre activos
8.1.1 Inventario de activos
[N] No implementado, no existen políticas para la clasificación e identificación de
activos. Acción a realizar, es necesario implementar políticas para la identificación de
activos y realizar la clasificación de la información manejada.
[O] No implementado. Acción a realizar, es necesario implementar procedimientos que
indiquen la clasificación de activos.
[T] No implementado. Acción a realizar, implementar software que ayuden al inventario
de activos dentro de la organización.
8.1.2 Propiedad de los activos
[N] No implementado. Acción a realizar, definir las obligaciones de los propietarios de la
información.
[O] No implementado. Acción a realizar, hacer de conocimiento al personal que se le
asigna la responsabilidad de gestionar el activo.
[T] No aplica, no es requerido ya que este punto se verá fuera del sistema.
8.1.3 Uso aceptable de los activos
[N] No implementado. Acción a realizar, creación de normas para indicar el uso
apropiado de la información.
[O] No implementado. Acción a realizar, informar al personal de la clasificación que se
tiene y seguir las normas implementadas para su debido uso.
[T] No aplica, será visto por fuera del sistema.
8.1.4 Devolución de activos
[O] No implementado, el personal tiene desconocimiento total de los procesos para usar
soportes extraíbles. Acción a realizar, difundir las normas para su uso con el personal.
[T] No aplica, dentro del sistema no es necesaria la utilización de soportes extraíbles.
8.3.2 Eliminación de soportes
[N] No implementado, no existe procedimiento o regla. Acción a realizar, definir
procedimientos para la eliminación segura de datos.
[O] No implementado. Acción a realizar, hacer del conocimiento a los empleados de los
procedimientos.
[T] No aplica, esto es procedimiento fuera del sistema.
8.3.3 Traslado de soportes físicos
[N] No implementado. Acción a realizar, definir las normas que deberán seguirse para el
traslado de soportes físicos.
[O] No implementado. Acción a realizar, hacer de conocimiento al personal las normas
que deberán de seguirse para el tratamiento de traslado de los soportes físicos.
[T] No aplica, este apartado será implementado por fuera del sistema.
9. Control de acceso
9.1 Requisitos de negocio para el control de acceso
9.1.1 Política de control de acceso
[N] Total, para la solicitud de usuarios nuevos es necesario realizar una solicitud previa
al jefe inmediato el cual será el encargado de solicitar dicha petición a la Dirección
General de Tecnologías, Información y Telecomunicaciones.
[O] Total, cada empleado con acceso al sistema conoce las limitaciones, ya que solamente
tiene acceso a las funciones que se requieren realizar para la atención de Constancias.
[T] Total, el empleado tiene asignado un rol para realizar sus funciones dentro del
sistema.
9.1.2 Acceso a las redes y a los servicios de red
[N] No implementado, no existe política. Acción a realizar, definición de políticas para la
identificación de procedimientos en los accesos y servicios de red.
[O] Total, para que la persona tenga acceso al sistema, debe tener la configuración
requerida en la máquina, además de estar dentro de la red interna de la institución.
[T] Total, la configuración es por parte de la DGTIT.
9.2 Gestión de acceso de usuario
9.2.1 Registro de usuarios y cancelación del registro
[T] Total, cuando acceden por primera vez al sistema, es requisito indispensable
personalizar la contraseña para poder continuar.
9.2.5 Revisión de los derechos de acceso de usuario
[N] No implementado, no existe procedimiento documentado o definido. Acción a
realizar, establecer el periodo para la revisión de acceso al sistema.
[O] No implementado, el personal no tiene asignado el trabajo de revisión de accesos
para los usuarios. Acción a realizar, capacitar y difundir con el personal las revisiones
que deben de realizarse en cuanto a los accesos del personal dentro del sistema.
[T] No implementado. Acción a realizar, implementar dentro del sistema apartado
donde pueda ser visualizado el historial de la bitácora por cada usuario.
9.2.6 Retirada o reasignación de los derechos de acceso
[N] No implementado, no existe procedimiento definido para retirar los accesos dentro
del sistema. Acción a seguir, se deberá definir el procedimiento a seguir cuando un
empleado sea cambiado de área o dado de baja de la institución.
[O] No implementado, la persona desconoce que se debe de hacer en caso de cambio de
área o separación de la institución. Acción a realizar, el área deberá de difundir el
procedimiento al personal.
[T] Parcial, la baja o retirada de acceso de algún usuario se hace mediante solicitud previa
del director del área. Acción a realizar, se debería de hacer la identificación automática
cuando un usuario cambie de puesto o finalice su trabajo en la institución.
9.3 Responsabilidades del usuario
9.3.1 Uso de la información secreta de autenticación
[N] Total, dentro del formato que firma el usuario, se hace responsable del debido uso
de la información a la cual tendrá acceso.
[O] Total, el personal tiene claro qué sucederá en caso de difundir o hacer mal uso de la
información a la cual tiene acceso.
[T] Total, el sistema tiene bloqueada la opción de guardar las credenciales de acceso y
recordar el usuario, tiene definida la estructura de contraseña segura y forzar al usuario
a personalizar su contraseña al iniciar sesión.
9.4 Control de acceso a sistemas y aplicaciones
9.4.1 Restricción del acceso a la información
[N][O] No aplica, no se requiere ninguna política, el personal solamente accede al
sistema con los privilegios que le fueron solicitados para realizar sus funciones.
[T] Total, ya que el sistema está basado en privilegios, el usuario solamente podrá tener
acceso a las opciones del menú que le fueron autorizadas.
9.4.2 Procedimientos de conexión (log-on) seguros
[N] No implementado, no existen procedimientos para la identificación de inicios de
sesión seguros. Acciones a realizar, definir el procedimiento que se debe de realizar para
corroborar que el usuario es quien dice ser.
[O] No implementado, el usuario puede intentar poner su contraseña las veces que
considere necesario. Acciones a realizar, hacer de conocimiento al usuario los intentos
fallidos que tuvo después en el día.
[T] No implementado, no se sigue ningún procedimiento para la detección de intentos
fallidos por parte del usuario que intenta acceder al sistema. Acciones a realizar, se
deberá de incluir un límite de intentos para que cuando sea rebasado, se tenga que
realizar otra acción por parte de la DGTIT.
9.4.3 Sistema de gestión de contraseñas
[N] No implementado, no existen normas documentadas que señalen las características
de una contraseña segura. Acción a realizar, definir las normas para la implementación
de contraseñas seguras.
[O] Total, dentro del sistema se solicita que la contraseña contenga números, letras
mayúsculas y minúsculas.
[T] Parcial, el sistema pide la confirmación de la contraseña y cuando es la primera vez
que inicia o se restablece la contraseña, pedirá que sea personalizada. Acciones a realizar,
se deberá implementar dentro del sistema el cambio de contraseñas cada cierto tiempo.
9.4.4 Uso de programas de utilidad privilegiados
[N] [O] [T] No aplica, el sistema no requiere autenticación por separado.
9.4.5 Control de acceso al código fuente de los programas
[N] No implementado, no existe ninguna política o procedimiento documentado para el
control de acceso al código fuente. Acción a realizar, desarrollar las normas para
controlar quienes serán los responsables de resguardar el código fuente del aplicativo.
[O] No implementado, el personal de desarrollo no tiene reglas definidas para el control
de acceso o modificaciones al código fuente. Acción a realizar, hacer de conocimiento al
personal las normas que se deberán seguir.
[T] No implementado, no se mantienen los registros de cambios al sistema y se realizan
en mínimo de prueba antes de su implementación. Acción a realizar, implementar
17.2 Redundancias
17.2.1 Disponibilidad de las instalaciones de procesamiento de
información
[N] [O] No aplica, no es necesario la implementación de políticas
[T] No implementado, no se tiene el ambiente preparado en caso de caída del sistema.
Acción a realizar, implementar un servidor espejo que, en caso de cualquier caída del
servidor principal, pueda continuar brindándole el servicio.
Referencias: