Borrador consol_V2

8/18/2019 Borrador consol_V2

1/40

1

San Cristóbal, Diciembre 2015

Informe de Evaluación de Controles de TI de laEmpresaPremier Dasinca

E!uipo Evaluador"

Coordinador: Humberto ChacónAnalistas: Wilder Calderon

Javier Maldonado


2/40

2

Maiguel García


3/40

3

Introducción:

"Las compaías invierten en tecnología para ser m!s productivas #ecnología $ue no es

rentable% es arte"% indica &mar de la Ho' Gerente de (n)orm!tica * #ecnología de

Carulla +ivero ,sta )rase es contundente para dimensionar la relación directa entre

tecnología * productividad -o es una opción% es una e.igencia para los directivos en

tecnología generar productividad haciendo el me/or uso de las soluciones tecnológicas%

sac!ndoles el ma*or provecho% logrando satis)acer las necesidades de la empresa *

generando valor

Las empresas son ho* in)orm!tico0dependientes% por esto cada ve' son ma*ores los

retos * las responsabilidades del líder tecnológico 1ara lograr las metas el camino a

seguir es hacer una buena gobernabilidad del !rea tecnológica 2#(3% la cual indica cómo

tomar decisiones estrat4gicas sobre la in)raestructura tecnológica e ilustra sobre

cómo apo*ar los ob/etivos del negocio de )orma correcta * en los tiempos precisos

#b$etivo%eneral:

Hacer una evaluación $ue permita a la ,mpresa emprender un plan de traba/o para

lograr la estabili'ación * adecuación de su ambiente de #(% de manera de garanti'ar

al -egocio los servicios necesarios para el cumplimiento de sus metas

Premisas:

1ara la empresa es de vital importancia la seguridad * resguardo de los datos

$ue se generan de su operatividad

1ara la ,mpresa es de gran importancia el generar un ambiente organi'ado *

alineado con me/ores pr!cticas para el !rea de #(

1ara la ,mpresa es importante el recurso Humano e.istente% * desea su

)ortalecimiento * capacitación para acometer los retos planteados

I& Se'uridad ()sica Continuidad de*e'ocio

+C+*CE


4/40

4

Gestión de Activos

5elaciones con los 1roveedores

Gestión de la Continuidad del -egocio

6eguridad 7ísica * Ambiental

,n la evaluación desarrollada se evaluó el ambiente de producción del aplicativo

Po-er Street Solutions8 A continuación se destaca la documentación $uesoporta lo establecido en cada ob/etivo de Control% las debilidades encontradas% elriesgo $ue trae dicha debilidad * la recomendación propuesta por parte del grupoevaluador

% e s ti ó n d e + c ti v o s &

9 (nventa r i o d e ,$ui p os :

6e le solicitud al departamento de tecnología el inventario de los Activos de losdi)erentes e$uipos tecnológicos 2in)ormación entregada con )echa de diciembre;9163

1osibilidad de p4rdidasde e$uipos por unad4bil gestión de losinventarios

6e recomienda al personal detecnología incorporar el serial delactivo ?/o a los e$uipos $ue lehacen )alta en el inventario% * así poder tener un me/or control decada uno de ellos

NOTA; considero que nos deben apoyar mejor con la recomendación, con másación al respecto de teora de in!entario de equipos de tecnolo"a, normas oclaturas a ser usado, con la #inalidad de estandari$ar este in!entario de equipos, e

ntado al deber ser %ejemplo; es remendado usar códi"o de barras o no, necesario

in#ormnomenir apu

utili$ar un sistema para no lle!ar esto en #sico&, dudas que sur"en del anterior punto'(n el )a l la$"o s e es e s pec # ico en el p u nto, i ndicándose que l o que # alta es el seri al delequipo , y a que de los tems se tiene in # or m ac i ón que podra ser su # iciente para un inicio'*mplantar en sist e ma d e "estión de *n!ent a rio de acti!os p odra s e r u na se"unda etapa'

.alla/' Implicaciones ecomendaciones

-o se evidencióinventario de e$uipos decomunicación: 2S-itc,outer, 3odem4

1osibilidad de p4rdidasde e$uipos por unad4bil gestión de losinventarios% lo cualgeneraría un impacto

económico negativo parala empresa

6e recomienda al !rea detecnología incorporar en elinventario general todos lose$uipos de comunicación% para así poder tener un me/or control de

todos los activos tecnológicos$ue posee la empresa% lo $ue


5/40

NOTA; actualmente solo se maneja polticas para las +As, y los equipos laptopsos, pero como aplicara para los equipos de mouse, ups, teclado' onde sabemosre un des"ate por el uso y manipulación de los mismos, necesitamos accesoria endo que tan tolerantes podemos ser, al momento de una asi"nación' (jemplo %un

asi"nadque su# el sentiteclado num-rico se deteriora por el uso, como tambi-n se puede deterior por mal uso&

.

signi?caría en un momento dadocontar con ese e$uipo para laresolución de un problemadiagnosticado

NOTA; ten"o las mismas apreciaciones del anterior comentario, además que se deberae/plicar cómo se debera ser asumidas las responsabilidades de estos equipos alres"uardo de del epto' 0oporte *T y sobre qu- ries"o la empresa y su personal debera

tambi-n asumir el ries"o' (jemplo %o que sucedió con el ser!idor, por una "otera #allo elequipo, polticas que se debe tener por escrito de quien asume la responsabilidad de tal#alla&'

as respons abilidad e s de todos los acti!os de *n #or m ac i ón que no est-n asi "nadosdirect am ente a e m pleados o a terce r os, es d e l área de T* ' on e ll o e l áre a d e T * d e be ) a ce r t odo l o n e c e s ar i o pa r a r e s "u a r d ar , m a n t e n e r y pr o t e "e r ca d a a c ti !o ' os a c ti !os que se a s i " n e n aun e m p lea do o t e r cer o, d e be s e r e s t a b l ec id a l a r e spons a b ili d a d e n a c ta d e e n t r e "a , e n l a q u e sei nd i qu e n la s re sponsa b ili d a d e s que c o rre spond a n '

1ropied a d d e lo s a c ti v os :

Se pudo evidenciar en el inventario la asi'nación del responsable delactivo tanto personal, como tambi4n el departamento donde se encuentra ubicado

@ >s o ace p tabl e d e l o s a ctivos :


6e pudo constatar con elpersonal de tecnologíala e.istencia de unacarta de compromiso para

los e$uipos móviles 21A3%pero no se evidencióla documentación de unapolítica de seguridaddonde estable'ca el usoadecuado de todos losactivos tecnológicos 2C1>%Mouse% Lapto% >16% #eclado3

1osibilidad de unagestión no adecuadapara el uso de lose$uipos% la misma

podría originar daos *deterioro% lo cual podríagenerar p4rdidaseconómicas para laempresa

6e recomienda al departamento detecnología reali'ar la creaciónde una política de seguridad parael uso aceptable de los di)erentes

activos tecnológicos $ue utili'a elpersonal operativo de la empresa

1or e/emplo se recomienda lasiguientes políticas: 14 Bosempleados los usuarioseternos !ue utili/an o tienenacceso a los activos de laor'ani/ación deber)an serconscientes de la importanciade los mismos para laor'ani/ación, de su cuidado buen res'uardo&

24& Deber)an responsabili/arse

del uso de los recursos deprocesamiento de lainformación de su adecuadouso6&

'(n este sentido, se d e be tener al"n c r iterio sobre el uso y des "as te natural que p uedatener un ac t i!o, ba jo c ondiciones ra$onab l es ' 0e deberan )acer e !a l uaciones q ue pued a norientar sobre el uso y cuidado que se le da al acti!o' (ste aspecto debe ser tratado conaltos ni!el e s de s u bjeti !idad, dado que no ) ay un control directo sob r e el acti!o '

Inventario de Datos protecciones"


6/40

NOTA; de acuerdo a la recomendación no solo es que nos entre"ue la in#ormación,n se debera tener adiestramiento por parte del pro!eedor, de cómo estátam

con#i"urada tanto el diccionario de datos como el modelado' (l dicc i onario de datos y su

5

9 , l dicc ionar io d e d at o s s e en c uent r a est r uc t urado :


urante la evaluación sepudo constatar $ue elpersonal de tecnología dela empresa no tiene

conocimiento deldiccionario de datos% *a$ue esa in)ormación lamane/a el proveedor deservicio del sistema7Po-er StreetSolutions6&

i?cultad paradeterminar lascaracterísticas lógicas *puntuales de los datos%ante un problema $ue sepueda presentar

6e recomienda $ue el personal detecnología de la empresa% realice lagestión de solicitar al proveedor ladocumentación t4cnica del

diccionario de datos% * así tenerma*or conocimiento de cómo seencuentra estructurado eldiccionario de datos del aplicativo7Po-er Street Solutions6, antecual$uier problema $ue se puedapresentar

2' ,.ist e e l Mo d elad o d e atos :


urante la evaluación sepudo constatar $ue elpersonal de tecnología dela empresa no tieneconocimiento delmodelado de datos% *a$ue esa in)ormación lamane/a el proveedor deservicio del sistema

7Po-er StreetSolutions6&

1osibilidad de p4rdida detiempo al hacer traba/os$ue re$uieran ubicar lasituación actual de lasestructuras de datos% porlo cual se puede originarretraso para la solución

6e recomienda $ue el personal detecnología de la empresa% realice lagestión de solicitar al proveedor ladocumentación t4cnica modeladode datos% * así tener ma*orconocimiento de cómo se encuentraestructurado el modelado de datos

m o delado, deben ser e ntre"ados por el pr o ! e edor, en el #o r m ato que ellos manejen, y que per m ita identi #icar cl ara e inequ!ocam ente los datos que almac e na el sist e m a y susrelaciones' (sta en t re " a debe ser compl e m e n tada con un entren a m i ento mn i m o, s o bretodo en los concep t os y descripcio n es del a t ri b uto de cada !ariable de in # or m aci ó n'

3' ,st a im p leme n tad o e l c ontro l d e ac c es o a la ase s d e at o s :


urante la evaluación sepudo constatar $ue elpersonal de tecnología dela empresa no tieneconocimiento del controlde acceso a bases dedatos% es decir notienen in)ormación de los

usuarios $ue est!naccediendo a la ases de

01osibilidad de acceso ain)ormación por parte deusuarios no autori'ados01osibilidad de p4rdidao destrucción dein)ormación

6e recomienda al personal detecnología de la empresa%

reali'ar mesas de traba/o con elproveedor de mantenimiento del

sistema 7Po-er StreetSolutions68 1ara reali'ar una

depuración de los usuarios $ue seencuentra en la bases de datos *

así tener unme/or control de acceso


7/40

6

datos

NOTA; es !iable además que se debe tener una documentación de cómo está estructuradolos usuarios a la 7' (l área de T* debe tener el control de la asi"nación y "esti ó n de losusuarios y lo s pri!il e" i os que se po s een sobre las base de da t os' (n este sentido s e debee/i"ir al pro ! eedor la e ntre"a de la "esti ó n de los usu a rios y s u s pr i ! i le"ios' Al te ner es t econtrol, se podrá i den t i# icar el in!entario de usuarios y la de #inici ó n de los per #iles quedeben tener c on resp e c t o a la aplica c ión'

% e s ti ó n d e P r ov e e d or e s &

9 ,.isten c i a d e polít ic a d e segurid a d d e l a in)ormac ió n p a r a la s relacio n e sc o n lo s pr o veedore s :


urante la evaluación sepudo evidenciar $ue laempresa no tieneestablecidas políticas deseguridad lógica * )ísica%$ue est4n documentadasen los contratos con losdi)erentes proveedoresde servicios tecnológicos

8 1osibilidad deincidentes $ue a)ecten

a la disponibilidad% lacon?dencialidad o laintegridad dein)ormación

81osibilidad de a)ectarlas operaciones de laempresa debido ap4rdidas de tiempo enla toma de decisionesen casos de incidentesde alto impacto

01osibilidad de creaciónde per)iles de usuarioscon accesos noadecuados% a los nivelesde con?dencialidad de lain)ormación

6e recomienda al !rea detecnología reali'ar mesas de traba/o

con el personal /urídico de laempresa para tener en cuenta elsiguiente aspecto al momento deelaborar el contrato: 7a empresadebe administraradecuadamente la se'uridadló'ica de los recursos deTecnolo')a de la Información,incluso a!uellos !ue seanadministrados o custodiadospor terceros& En consecuenciadeber9 establecer, formali/ar einformar las pol)ticas

procedimientos !ue permitanidenti:car, autenticar autori/ar el acceso a lossistemas de información,operativos de base de datos6&

NOTA; accesoria al respecto' (ste aspecto debe ser un proyecto a ser desarrolladotomando en cuenta el alcance que se le quiera dar al tema de la se"uridad de lain#ormación' 0e podra asesorar para desarrollar este punto' No se pudo ampliar en la

recomendación, ya que no se conoce el alcance del contrato que e/iste o que se est-ne"ociando'

, n lo s c ontr a to s t ien e n estab lecid o s lo s ac u erdo s d e con )idenc ial idad :


6e pudo constatar $ue elpersonal de tecnología notiene conocimiento de lae.istencia acuerdoscon?dencialidad

1osibilidad de incidentes$ue a)ecten a ladisponibilidad% lacon?dencialidad o laintegridad de

in)ormación

6e recomienda al !rea detecnología reali'ar mesas de traba/ocon el personal /urídico de laempresa para tener en cuenta elsiguiente aspecto al momento de

elaborar el contrato:


8/40

BEl personal temporal ocontratado, as) como losusuarios eternos deben :rmarel acuerdo de confidencialidad la no divul'ación de lainformación, antes de !ue seles otor'ue el acceso a lasinstalaciones de procesamientode la información& Por otra

parte, no deber9n tener accesoa las bases de datos de laempresa, en procura demantener la confidencialidad de

NOTA; accesoria al respecto ' 0e les pue d e s u m ini s tra un ej e mplo de lo que p od

9

conte mplar e ste acuer d o de con#idencialidad' Ane/o 1'ra

@ #iene n inven t ari o d e 1 roveedo r es :

6e pudo evidenciar en la evaluación $ue la empresa lleva un inventario de lasdi)erentes empresas de servicios% donde se encuentra nombre del proveedor%nombre del personal de contacto% tel4)onos% servicio $ue o)rece% por e/emplo se

nombra las siguientes empresas: Cantv% Movistar% igitel% 6apis 6ervicios% Morcaetc

E ; + < + C I = * D E + C# * T I *% E * C I+D E T I &

6e le solicitó al personal de tecnología documentación re)erente a lossiguientes aspectos:

9 Contingencia en caso de desastre #iene establecido * documentado ,scalamiento de la Contingencia:@ 6e encuentra establecido los ,scenarios Considerados para una contingencia:

-atural% Humano% #4cnico= ,structura &rgani'acional



9/40

:

6e pudo constatar $ue laempresa no tieneestablecida ladocumentación para laimplementación de planesde contingencia en casode ocurrir cual$uier eventonatural% humano o t4cnico

8 5iesgo de interrupcióndel servicio% $ue puedeimpactar negativamentea la organi'ación * sucapacidad de generaciónde valor

0 1osibilidad de no ubicara los responsables de

e/ecutar el plan decontingencia * con estoel no restablecimiento delas operaciones críticas

0 (mposibilidad de accesoa los recursosin)orm!ticos% sean estospor cambiosinvoluntarios ointencionales% tales comocambios de claves

6e recomienda a la alta gerencia dela empresa asegurar la e.istenciade un plan de contingenciastecnológicas aprobado% )ormali'ado%actuali'ado% implementado *probado ,l plan debe incluircomo mínimo los siguientesaspectos:

a &b/etivo * alcance del plan

de?nido

b Metodología empleada para sudiseo

c (denti?cación de procesoscríticos

d Clasi)icación de los sistemas%aplicaciones% so)tDare * e$uipos2críticos% vitales% sensitivos% etc3


10/40

de acceso% eliminacióno borrado )ísicoElógico dein)ormación clave%proceso de in)ormaciónno deseado

e (denti)icación del personalcontacto por !rea * descripciónde sus responsabilidades

#' 5ecursos humanos% ?nancieros *tecnológicos mínimos * necesariospara la recuperación de laoperatividad el negocio

OTA; unos de los planes importante con prioridad para la empresa, es el res"uardo dela in#ormación 7, en al"n sitio se"uro #uera de las instalaciones de la empresa' (l sit i odebe ser de #inido por la e m pre sa en # unción de disponi bil i dad de equ ipos yc o m unicac i ones que pe r m itan m o! e r el respaldo a una instala c ión ubicada en unalocalidad d i stinta y dis t ante del cen t ro don d e s e "enera la in # o r m ac ió n'

S e ' ur i d a d ( )s ic a + m b i en t a l &

,valuac ió n d e l cua r t o dond e s e enc u entr a lo s 6ervi do re s 2 6ed e & pe r ativa3

,valuac ió n d e l cua r t o d e Comu n icac ió n 26 e d e Corpor at iva3

,valuac ió n d e l cua r t o d e Comu n icac ió n 2 e pa r tament o d e # a lent o Hu m ano3

9 Controles )ísicos de acceso:

,l control de acceso constitu*e uno de los servicios de seguridad $ue esindispensable% en !reas $ue represente riesgo para la empresa% en eldepartamento de #ecnología% se evaluaron los controles de acceso en los di)erentescuartos antes mencionados obteniendo el siguiente resultado:

1ara el acceso a las tres !reas se observó una puerta de madera% lo $ue signi?ca$ue el control de acceso es manual

La misma se constató las siguientes observaciones:


0 6e pudo evidenciar $ueno se tiene una bit!cora deregistro de acceso alcuarto de servidores *comunicaciones

0-o e.iste documentaciónde las normas *

procedimientosre)erentes a la seguridad)ísica% especí)icamente alcuarto de servidores *comunicaciones

0 6e Constató $ue elresguardo del cuarto decomunicación ubicado enel departamento detalento humano no est!ba/o la responsabilidad delpersonal de tecnología

1osibilidad de accesode personas noautori'adas% lo cualpuede ocasionarsabota/e% daosmaliciosos a losdi)erentes e$uipostecnológicos

2Servidores% S-itc,outer, 3odem4% portal motivo impactaríanegativamente laoperatividad de laempresa

Los centros de procesamiento dedatos% tanto principales como loscuarto de comunicaciones% debenser resguardados por adecuadoscontroles de acceso% para lo cual sedeben considerar los siguientesaspectos:

a >tili'ar controles deautenticación para el acceso depersonal autori'ado 2tar/eta%nFmero de identi?cación personal01(-0% carnet% biometría% entreotros3

b 5estringir el acceso apersonal no autori'ado a lasmencionadas instalaciones 1or otraparte% las actividades e/ecutadaspor los visitantes deben sersupervisadas o inspeccionadas% así

como encontrarse registradas enlas bit!coras de)inidas para tal )in


11/40

c 5evisar * actuali'arperiódicamente los derechos deacceso a las !reas protegidas orestringidas

A continuación se describe otras recomendaciones $ue se deben tener en cuenta

estipuladas en las me/oras pr!cticas como por e/emplo: IS#2>000% re)erentes alcontrol de acceso al cuarto de servidores * a los dos cuartos de comunicaciones dondese encuentra los siguientes dispositivos: S-itc, outer, 3odem&

ebería n con s idera r s e la s sig u ient e s rec o me n dacion es :

a) la )echa * hora de entrada * salida de visitantes deberían restringirse% * todos losvisitantes deberían ser supervisados% a menos $ue su acceso se ha*a aprobadopreviamente8 el acceso debería concederse sólo para propósitos especi)icados *autori'ados% proporcion!ndoles instrucciones sobre los re$uisitos de seguridaddel !rea * los procedimientos de emergencia La identidad de los visitantesdebería ser autenticada por un medio adecuado8

b) el acceso a las !reas donde se procesa * se almacena la in)ormación sensibledebería ser restringido sólo a las personas autori'adas mediante laimplementación de controles de autenticación% por e/emplo% mediante laimplementación de un mecanismo de autenticación de dos )actores% tales comotar/etas de acceso o tar/etas con nFmero de identi?cación personal

c) todos los empleados% contratistas * partes e.ternas deberían ser obligados autili'ar algFn tipo de identi?cación visible * deberían noti)icar inmediatamente alpersonal de seguridad si encuentran a visitantes no acompaados * a cual$uierpersona $ue no lleve la identi)icación visible

d) debería concederse el acceso restringido del personal de soporte de terceraspartes a las !reas seguras o a las instalaciones sensibles de procesamiento de lain)ormación sólo cuando sea re$uerido8 este acceso debería ser autori'ado *supervisado

NOTA; misma situación debera aplicarse para los pr-stamos de los equipos de *T, bajola bitácora de quien lo presta' ebe que dar re"istrado cu alquier m o ! i m ien t o de unacti!o de in #ormación, indicán d ose, co mo mn i m o, quien e n tre"a y quien recibe , l anaturale$a d e l m o! i mi e nto, la # ec)a y la nu e !a ubicación d el acti! o '

2' 6ensores de Movimiento:


6e pudo evidenciar en laevaluación reali'ada laausencia de sensores demovimientos al cuarto delos servidores% comotambi4n a los doscuartos decomunicaciones

1osibilidad de ,ntradas7or'adas% Atracos% *situaciones de secuestro%sin $ue se puedangenerar alarmas

1osibilidad de accesode personas noautori'adas% sabota/e%daos maliciosas a losdi)erentes e$uipostecnológicos2Servidores% S-itc,

outer, 3odem4% portal motivo impactaría

ebido al alto grado de sensibilidad$ue representa las !reas detecnología ?cuarto de losservidores cuartos decomunicaciones4 para la empresa%se recomienda al personal detecnología lo antes posible% reali'arlos tr!mites necesarios $uepermitan incorporar sensores demovimientos% para así reducir elriesgo de robo * sabota/e


12/40

1

negativamente laoperatividadempresa

de la

NOTA; es !iable, se debera ejecutar un proyecto para tal #in, ya que esto acarrea costos'a empresa debe de t e r m i nar si con base a su esqu e m a de m an e jo de ries"o, y e l i m pactode un incid e nte so b re e stos acti! o s, justi#ica o no la in!er s ión '

3' C!maras o +ideoc!maras:


6e pudo evidenciar en laevaluación reali'ada laausencia de C!maras o+ideoc!maras al cuartode los servidores comotambi4n a los doscuartos de

comunicaciones

La imposibilidad demonitorear * veri?car elingreso de personal noautori'ado al !rea dondese encuentra losservidores * los e$uiposde comunicaciones

S-itc, outer,3odem

6e recomienda instalar c!maras ovideoc!maras adentro del cuartodonde se encuentra losservidores% así como tambi4n en losdos cuartos de comunicaciones% locual a*udaría monitorear elpersonal $ue ingresa a un !rea tan

sensible% por e/emplo: serecomienda instalar Circuito

cerrado de televisión o CCTV.,stos sistemas inclu*en v isió nnocturn a% operaciones asistidas porordenador * d e t e cció n d emovimie n to % $ue )acilita al sistemaponerse en estado de alerta cuandoalgo se mueve delante de lasc!maras La claridad de lasim!genes puede ser e.celente% sepuede trans)ormar de niveles

oscuros a claros

NOTA; tambi-n es !iable, solo sera cuestión de acomodar la posición las cámaras de!i"ilancia de administración, o mudarla de sitio a uno estrat-"ico para !i"ilar el área de*T' O< '

4' ,.tintores:

6e pudo constatar en la inspección $ue la empresa tiene instalado el

siguiente tipo de e.tintor en los di)erentes lugares: Etintor de Polvo @u)mico

Seco ?P&@&S4&

El Polvo @u)mico Seco ?P&@&S4" >n e.tintor consta de un cilindro met!lico $uecontiene un agente e.tintor $ue% o bien debe mantenerse siempre a presión% o bien

se incorpora la presión en el momento de su utili'ación


6e constató $ue laempresa tiene instaladoEtintores de Polvo@u)mico Seco ?P&@&S4&

1osibilidad causarproblemas para respirar* di)icultar la visibilidaddurante oinmediatamente despu4sde su descarga

6e recomienda al departamento deHigiene * 6eguridad reali'armesas de traba/o con laAdministración General de laempresa% para anali'ar laposibilidad de cambiar los


13/40

11

e.tintores de Polvo @u)mico Seco?P&@&S4 a Etintores de C#2" LaBnieve carbónica% sale del e.tintora una temperatura mu* ba/a 20; IC3 ,s m!s pesado $ue el aire *e.tingue el )uego principalmentepor en)riamiento * so)ocación

,s e?ca' para )uegos producidos

por lí$uidos inamables 2Clase 3%pero su ma*or aplicación la tieneen los )uegos el4ctricos 2Clase ,3por no ser conductor * no de/arresiduos

-o es tó.ico * no produce daosni deterioros

NOTA; no tena conocimiento al respecto, sera cuestión de ele!ar la in#ormación a lacoordinadora de )i"iene y se"uridad' O='

6e pudo evidenciar en la evaluación reali'ada la e.istencia de un e.tintor cercano

al cuarto de los servidores% como tambi4n se observó uno cercano al cuarto de

comunicación $ue se encuentra en el departamento de talento humano

#ambi4n se le solicitó el o)icio del Fltimo mantenimiento $ue se le reali'ó al

e.tintor * la constancia de la Fltima inducción $ue se le reali'o al personal para el

uso de los e.tintores% para lo cual no hubo observaciones:

La in)ormación suministrada consta de un in)orme del ultimo mantenimiento

reali'ado a los e.tintores )ue el día ;9 de Julio ;9< por parte de la empresa

Multiservicio la K B,l 1ial8 * la charla participo 9 personas de la di)erentes

!reas de la empresa la cual se e)ectuó )echa ;9E;KE;9< por el )acilitador Lucas

Galvis


urante la evaluación sepudo constatar la noe.istencia de e.tintorescercanos al cuarto decomunicaciones ubicadoen la sede corporativade la empresa

6urge el riesgoelevado de no podercontrolar conatosincendios con grandesposibilidades de daostanto humano comomaterial

6e recomienda instalar e.tintorde C& cercano al cuarto decomunicación% para así podercontrolar una emergencia deincendio * evitar p4rdidashumanas * materiales

NOTA; )acer la solicitud para ubicar un e/tintor cerca del cuarto de antenas' Ten e r enconsideraci ó n el ti po d e e/tintor r e querido pa r a equipos e l ectróni c os'

.' etectores de (ncendio:

6e pudo constatar en el cuarto de comunicaciones ubicado en la sede corporativa un

detector de incendio


14/40

12


6e pudo evidenciar en laevaluación reali'ada laausencia de detectoresde incendio en elcuarto de los servidorescomo tambi4n al cuartode comunicación ubicadoen el departamento de

talento humano

La imposibilidad detectarincendios% lo cual podríagenerar daoslamentables tantohumano como a su ve'material en este casoServidores% S-itc,outer, 3odem4

6e recomienda instalar detectoresde incendio adentro del cuartodel servidor * e$uipos decomunicación * así poder detectaruna emergencia de incendio% paraluego proceder aplicar medidaspara controlar el )uego% )acilitar laevacuación * actuar sobre el

sistema de e.tinción >n detectorde incendio es la manera m!sr!pida de luchar contra un incendioantes de $ue sea tarde

OTA; tambi-n ele!ar la in#ormación a la coordinadora de >0' O='

5' Control de #emperatura * Humedad:

6e pudo constatar la presencia de un aire acondicionado de tipo spliter ubicado en

el cuarto de los servidores * tambi4n en los cuartos de comunicaciones


6e pudo evidenciar en laevaluación reali'ada laausencia de dispositivosde control de #emperatura* Humedad en el cuarto delos servidores como en loscuartos decomunicaciones

1osibilidad de nodetectar problemas atiempo en los servidores%por e/emplo:recalentamiento por talmotivo pudierana)ectar las operacionesde la empresa

6e recomienda $ue el personal detecnología gestione la ad$uisiciónde dispositivos de control de #emperatura * Humedad

%Termómetro Di'ital4, para así poder tener control diario * luegoregistrarlo en una bit!cora

A continuación se describe otras recomendaciones en este caso -ormas *1rocedimientos para el 5egistro en 7ormato de #emperatura * Humedad:

,l responsable del registro en Bit!cora para el Control de Lectura latemperatura * humedad es el personal de tecnología 2Analista3 el6upervisor veri)ica este control * velar! por$ue se mantengan los nivelesde temperatura óptimos

,l personal de tecnología 2Analista3 deber! tomar registro en it!cora de latemperatura * la humedad al iniciar /ornada

,ste proceso deber! reali'arse diariamente * almacenar cada uno de los

registros para llevar el control * las estadísticas de la temperatura a las $uese encuentran sometidos los e$uipos

6egFn las me/oras pr!cticas se recomienda La temperatura debería ser constanteen un arco de 20 a 22 'rados cent)'rados% * la humedad no debería ser entreA0 un 50B&

NOTA; que se )ace con esta bitácora si se instala este tipo de dispositi!o, para quienesle ser!ira? (sta b itác o ra debe ser res"ua r da d a, y deber a ser ! eri # icada m ens u a l m ente

para dete r m inar posi bl es des!iaciones que p udieran alertar de c a mbios que pudierana#ectar los equipos ' e ser posibl e , se deb e n de # inir los !alores m n i m os y má/ i m os

pe r m itidos de t e m pera t ura y )u m edad, to m a n do en c uenta l as c o ndi c iones est a blecidas por los pr o !eedore s '

>16 e (nstalaciones el4ctricas 6eguras


15/40

13

6e pudo evidenciar en la evaluación reali'ada la presencia de dos e$uipos de >16e.clusivos * conectados a los servidores% igualmente se constató >16 decontingencia #ambi4n se pudo evidenciar $ue las instalaciones el4ctricas del cuartodonde se encuentra los servidores est!n protegidas por tubería

5e)erente al cuarto de comunicación ubicado en la sede corporativa se evidencióun >16 e.clusivo para los e$uipos de comunicaciones S-itc, outer, 3odem


6e pudo evidenciar en laevaluación reali'ada$ue elcoordinador de #( es elencargado de reali'ar lagestión con el proveedor%igual nos comunicó $uesolamente se llama elproveedor cuando se daael >16

1osibilidad de no reali'aruna adecuada gestión demantenimiento% lo cualpuede impactarnegativamente laoperativa de losservidores% a su ve'p4rdida económica parala empresa

6e recomienda $ue elmantenimiento de los >16 seapreventivo lo cual permite $ue ele$uipo )uncione en condicionesóptimas de operación% a*uda a $ueel e$uipo e.tienda al m!.imo suvida Ftil% elimina los problemas deenergía% permitiendo a la empresaun traba/o continuo * sininterrupciones% a la ve' $ue permite

programar un servicio predictivo$ue optimice el )uncionamiento dele$uipo

#ambi4n se recomienda $ue lapersona encarga de reali'ar l agestión de l monit ore o de elmantenimiento de los >16 no seael personal de #( de la empresa% *a$ue es una actividad a/ena a laoperativa tecno lógic a d e l aempresa

NOTA; es decir que sera el pto' de *n#raestructura la "estión de mantenimiento de losequipos e *T lle!ar la tutela de que se cumpla' 0e m odi # ica la rec o mendación, y a que elm o nitoreo de q ue se c uente con un esqu e m a de m ante ni m ien t o per i ódico y su # iciente, yque se aplique, d ebe s er de T* , lo que corr e sponde a un área de i n # raestructura es elm a nten i m ie nto en s '


6e pudo evidenciar en lainspección la carencia de>16 para los e$uipos decomunicaciones en elcuarto ubicado en eldepartamento de

Talento umano&

La posibilidad de $ueocurra una )alla el4ctricalo cual puede originar lasuspensión de servicio delos e$uipos decomunicación * a su ve'daos a los mismos% portal motivo impactaríanegativamente laoperatividad de laempresa% lo cualgeneraría p4rdidaseconómicas

6e recomienda al personal detecnología la gestión para instalarun >16 para los e$uipos decomunicaciones en el cuartoubicado en el departamento de #alento humano% para así evitar

daos a los e$uipos

NOTA; es necesario un @+0 o podemos usar un re"ulador supresor de picos decorriente? o ideal es un @+0, ya que el equipo no estara sujeto a cadas no controladas,lo cual dara oportunidad de )acer un apa"ado en condiciones adecuadas' e i"ualmanera, la decisión debe ser tomada en #unción de las condiciones de suministro el-ctrico

propias de la $ona, y el impacto que pudiera tener sobre el #uncionamiento de los


16/40

NOTA; necesitó asesora al respecto' 0e podra trabajar un soporte adicional para apoyar

en la normali$ación de la in#raestructura de cableado (sto es un proyecto'

14

equipos'

1ara las instalaciones el4ctricas de los dos cuartos de comunicaciones seevidencio la siguiente observación:


urante la evaluaciónse observó $ue lasinstalaciones el4ctricas no

se encuentran encondiciones adecuadas deseguridad% es decir loscables est!n )uera de lastuberías

,n las instalacionesel4ctricas% e.isten dostipos de riesgo

ma*ores: 0 Las corrientesde cho$ue * lastemperaturas e.cesivas%capaces de provocar$uemaduras% incendiose.plosiones u otrose)ectos peligrosos

6e recomienda al !rea detecnología reali'ar mesas de traba/ocon el departamento de

in)raestructura para poder mitigarestos peligros de alto riesgo% * así evitar daos Humano * material

NOTA; es !iable' O='

K Cableado


6e pudo evidenciar en laevaluación reali'ada lacarencia de identi)icacióndel cableado de red25J=


17/40

1.

p4rdidas económicas

NOTA; (s necesario un lu"ar de depósito para *T' O='

Cuarto s d e C o munic a ci o ne s 26e d e Co r porat iva 3 * 2e pa rtam e nt o d e # a lent o H u mano 3


6e pudo observarmateriales inamablesen el cuarto de servidores

#ambi4n se observóproblemas de humedad *?ltraciones en el cuartode comunicación 26edeCorporativa3

1osibilidad de generarsiniestros $ue a)ecten alos e$uipos decomunicaciones% * $uepuedan impactar laoperatividad de laempresa * generep4rdida económica

6e recomienda reubicar enotro sitio los materiales $ue notienen nada $ue ver con el cuartodonde se encuentra los servidores *e$uipos de comunicaciones

#ambi4n se recomienda al !rea detecnología reali'ar reuniones con eldepartamento de in)raestructurapara proceder a la reparación delas )iltraciones de humedad

NOTA; ele!ar la in#ormación a cada dpto' O='

Evaluac ió n d e l Esp a ci o ()sic o d e l a Plan t a E lctri ca "

Controles )ísicos de acceso:

1ara el acceso se observó una puerta met!lica% lo $ue signi?ca $ue el

control de acceso es manual% * la llave est! ba/o la responsabilidad de dos

personas:

o Johon 1ipo 00 Je)e de (n)raestructura

o Jose Gregorio Chacón 0 Je)e de #aller


6e pudo evidenciar $ueno se cuenta con unabit!cora de registro deacceso al espacio )ísicodonde se encuentra laplanta el4ctrica

1osibilidad de acceso depersonas no autori'adas%lo cual puede ocasionarsabota/e% daosmaliciosos a la plantael4ctrica

a >tili'ar controles deautenticación para el acceso depersonal autori'ado 2tar/eta%nFmero de identi?cación personal01(-0% carnet% biometría% entreotros3

b 5estringir el acceso apersonal no autori'ado a lasmencionadas instalaciones 1or otraparte% las actividades e/ecutadaspor los visitantes deben sersupervisadas o inspeccionadas% así como encontrarse registradas enlas bit!coras de)inidas para tal )in

6ensores de Movimiento:


18/40

15


6e pudo evidenciar en laevaluación reali'ada laausencia de sensores demovimientos al espacio)ísicos donde seencuentra la plantael4ctrica

1osibilidad de ,ntradas7or'adas% Atracos% *sabota/es% sin $ue sepuedan generar alarmas

ebido al alto grado de sensibilidad$ue representa la planta el4ctricapara la empresa% se recomienda alpersonal de (n)raestructura lo antesposible% reali'ar los tr!mitesnecesarios $ue permitan incorporarsensores de movimientos% para así reducir el riesgo de sabota/e * dao

C!maras o +ideoc!maras:


6e pudo evidenciar en laevaluación reali'ada laausencia de C!maras ovideoc!maras al espacio)ísico donde se encuentrala planta el4ctrica

La imposibilidad demonitorear * a su ve'veri?car el ingreso depersonal no autori'ado al!rea donde se encuentrala planta el4ctrica% locual puede ocasionarsabota/e% o daosmaliciosos a la plantael4ctrica

ebido al alto grado de sensibilidad$ue representa la planta el4ctricapara la empresa% se recomienda alpersonal de (n)raestructura lo antesposible% reali'ar los tr!mitesnecesarios $ue permitan incorporarc!mara * videoc!maras% para así reducir el riesgo de sabota/e * dao

,.tintores:

urante la evaluación de pudo evidenciar la presencia de un e.tintor ubicado en las

instalaciones donde se encuentra la planta el4ctrica


6e pudo evidenciar en laeti$ueta o rotulo impresoen el e.tinguidor la )echade Fltimo mantenimiento Junio ;9=% es decir llevaun ao * medio se reali'armantenimiento

6urge la posibilidad $ueal utili'arlo en unmomento de emergencia2(ncendio3% est4 averiado%con lo cual seríaimposible controlarconatos de incendiocon grandesposibilidades de daosHumanos * materiales

6e recomienda $ue el personal deldepartamento de Higiene&cupacional gestione algFn controldonde se pueda constatar $ue laempresa $ue reali'a elmantenimiento de los e.tintorese/ecutó el traba/o planteado8 * así aseguren la integridad del personal$ue reside dentro o cerca deestas instalaciones% * de losactivos de in)ormación antecual$uier conato de incendio $uepuede surgir en cual$uiermomento

Detectores de Incendio"


6e pudo evidenciar en laevaluación reali'ada la

La imposibilidad dedetectar un incendio%

6e recomienda instalar detectoresde incendio adentro de las


19/40

16

ausencia de detectoresde incendio en lasinstalaciones )ísicas dondese encuentra la plantael4ctrica

lo cual podría generardaos lamentables tantohumanos como a su ve'materiales en este casola Planta Elctrica&

instalaciones )ísicas de laPlanta Elctrica, * así poderetectar una emergencia deincendio% para luego procederaplicar medidas para controlar el)uego% )acilitar la evacuación *actuar sobre el sistema dee.tinción >n detector deincendio es la manera m!s r!pida

de luchar contra un incendioantes de $ue sea tarde

#bserva c ione s %ene r al e s "


6e le solicitó al /e)e de(n)raestructura soporte delFltimo mantenimiento dela planta el4ctrica% para lacual se nos comunicó $ueno e.istía ningFn respaldopor escrito de los traba/os$ue se reali'aron a laplanta el4ctrica

6e evidenció $ue en laparte in)erior de la plantael4ctrica% la e.istencia deresiduos de gasoil% paralo cual se nos in)ormó 2el

/e)e de in)raestructura3$ue era consecuencia dela carga o suministro degasoil hacia la planta

6e evidenció cinco 2


20/40

distintos puntos de la red con el ?n de obtener los datos necesarios paradeterminar su estado actual

e las observaciones hechas% se desprenden los siguientes halla'gos:

.alla/'o Implicaciónies' ecomendacCable de red

troncal mu* largo2cerca de ;mts3

entre el almac4n * elFltimo sDitch dispuestoen ese cable Lacanali'ación estacompartida con cablesde electricidad

Cone.ión inestable poratenuación del medio detransmisión% ocasionando

p4rdida de pa$uetes portiempo de espera agotado(nter)erencia el4ctrica por elcableado el4ctrico cercano

5econ?gurar latopología de la redhacia una solución

m!s estable 1or lavisual evaluada * elespacio )ísico dispuesto%se puede reali'ar unacone.ión inal!mbricapunto a punto cone$uipos de gama alta%puesto $ue )uncionaríacomo troncal entre lao?cinaadministrativa *almac4n

-o e.istesegmentación en lared

Cual$uier tr!)ico puede serdirigido a toda la red sinningFn control Los clientespueden llegar a los servidoressin restricción alguna6ervicios locali'ados puedencongestionar toda la red

6eparar el dominio decolisiones utili'andoe$uipos activosdentro de la red 2,/:,nrutadores% ?reDallinterno3

6Ditchs en cascada noidenti)icados

1erdida de pa$uetes porcongestión de troncalesinternos Crecimientodesorgani'ado de la

in)raestructura de redegradación del)uncionamiento

&rgani'ar *documentar todos lospuntos de red Con el?n de levantar un plano

detallado de la red)ísica

i)erencias entre lasversiones de ?rmDarede los e$uipos >bi$uiti$ue )ungen de enlaceentre las sedes -o setiene habilitado elprotocolo AirMa. entreellos

isparidad en las )uncionesde seguridad * rendimientode los e$uipos 5endimientodel enlace de?ciente

Actuali'ar el?rmDare de lose$uipos * revisar lascon?guracionesreali'adas% con el ?nde habilitar )unciones$ue contribu*an consu )uncionamiento

Los puntos instalados

no llegan a ca/etines6alen del patch panesdirecto al e$uipocliente

Maltrato en el cable puede

a)ectar directamente elpunto de red hasta el patchpanel Crecimientodesordenado * di?cultad en eldiagnóstico de )allas decual$uier e$uipo

(nstalar los cables

provenientes delpatch panel aca/etines donde seconectan los clientesmediante patch cords%evitando el deteriorodel punto de red

Los puntos de red noest!n identi)icados

Ante una )alla eldiagnóstico no se puedereali'ar ,l crecimiento de lared no puede reali'arse de)orma ordenada% pudendocrear cuellos de botella anteuna e.pansión

(denti)icar lospuntos de red tantoen ca/etines de clientescomo en el patch panel


21/40

Conclusión: Con los halla'gos identi?cados se puede determinar algunassituaciones me/orables en la topología de la red ,n consecuencia% se a)ecta elrendimiento de las comunicaciones tanto internas como e.ternas de la redcorporativa% di?cultando el intercambio de datos entre las distintas sucursales%puesto $ue el rendimiento )ísico no es el óptimo 6e sugiere hacer una revisióne.haustiva de los e$uipos instalados en la red% así como reali'ar un inventario de lospuntos instalados * activos Así mismo procurar la eliminación de los sDitchpe$ueos% para evitar congestión interna% pudiendo a)ectar las comunicaciones * el

rendimiento general de la red

#ambi4n se pudo identi?car una con?guración me/orable en la cone.ión entre la sedecorporativa * la sede de operaciones ,l e$uipo principal de comunicaciones est! en lasede corporativa * todo el tr!)ico generado proviene de la sede de operaciones%pasando por dos enlaces inal!mbricos antes de salir a internet 6e sugiere trasladarlos e$uipos de comunicación principales 2,/: ,n la 6ede de &peraciones% con el ?n deeliminar el tr!?co inal!mbrico hacia la sede corporativa para luego salir a internetHaciendo esto se libera un enlace inal!mbrico $ue puede ser utili'ado parainterconectar el almac4n con la o)icina administrativa

NOTA; para mejorar la red se tiene que ejecutar !arios proyectos con el

imiento del deber ser, es decir que de esta aparte está claro !arios proyectoejorar; 1'8 mudar la antenas de *B*T( a la sede operati!a, 2'8 eliminar la

ón de cable para el área de operaciones y ponerlo de manera inalámbrica, 3'8ar la red y estructurar de nue!o los puntos de red local, 4'8 documentar todo

consent para m

cone/i

certi#iclo concerniente a la red' O= ' (sto es un proyecto'

Control evaluado: Con?guración lógica de la red

(denti)icar la con?guración lógica actual de la red% con el )in de determinar cual$uier

situación no deseada $ue pudiese estar causando problemas de )uncionamiento *seguridad% degradación en el servicio o rendimiento general>na ve' hechas las capturas de datos * las observaciones necesarias% se

describen los halla'gos encontrados:

.alla/'o Implicaciónies' ecomendac,l acceso a internetpor parte de losclientes no est!controlado Cual$uierusuario puede accedera recursos Deb sinrestricción% control o

monitoreo

Consumo e.cesivo de anchodebanda Acceso libre a recursosriesgosos * de ocio de la Deb2,/: 5edes sociales% videos enlínea% p!ginas indebidas%descargas de mFsica3 5iesgode in)ecciones de virus *malDare 7alta de monitoreo* control de las actividades dela red corporativaegradación en lacomunicación * acceso a losservicios remotos intersucursales

Habilitar e$uipos decontrol de ancho debanda 2,/: 7ireDall%1ro.*% control decontenido3% donde sepueda monitorear *regular el uso deinternet por parte delos clientes de la redcorporativa ,vitandoel desperdicio deancho de banda enrecursos Deb $ue no)orman parte delnegocio

Los clientes soncon?gurados por unHC1

-o ha* una identi)icaciónprecisa de la ubicación )ísicadel e$uipo Ante un incidenteno es )!cil determinar donde

se encuentra para tomarlas

Crear un mecanismodeasignación dedirecciones

gestionado por lacoordinación de


22/40


23/40

21

6in embargo dos de estas licencias se encuentran inactivas% el personal detecnología argumentó $ue era motivado a $ue los servidores se encontraban enmantenimiento8 por otra parte% se mani)estó $ue para el resto de e$uipos de laempresa se ha implementado el so)tDare de antivirus avast versión gratuita

A continuación se re)erencian los siguientes halla'gos del punto:

.alla/'os Implicación ies'os

ecomendación

,n la organi'ación no sereali'an actividades paraconcienti'ar al personalsobre procedimientos *responsabilidades deprevención de so)tDaremalicioso

1osibilidad deinterrupciones deservicios a)ectando laoperatividad de laorgani'ación8 alteración%robo o p4rdida dein)ormación% accesos noautori'ados

6e recomienda de)inirpolíticas * normas $uede?nan procedimientos* responsabilidadessobre la prevención delso)tDare malicioso porparte de los empleados%de la misma maneragenerar * plani)icaractividades $uepermitan concienti'ar al

personal sobre dichaspolíticas% normas *procedimientos

,n las estaciones detraba/o * servidores dedesarrollo se implementó laversión gratuita de Avastantivirus% la cual carece deciertas características deprotección incluidas solo enversiones pagas% por lo

$ue un atacante puedeaprovecharse de estasvulnerabilidades

1osibilidad de accesosno autori'ados%divulgación dein)ormación sensible% op4rdida de in)ormación

6e recomiendaimplementar solución deantivirus corporativo% conlicenciamiento para todoslos e$uipos presentes enla red de la organi'ación

,l servicio ad$uirido conel so)tDare de antivirus1anda contempla lagestión centrali'ada atrav4s de una inter)a' Debinterna * e.terna% peropara el caso de la versiónAvast Gratuito no% por lo$ue su administraciónse debe reali'ar en cadam!$uina hu4sped% lo cualno garanti'a $ue est4naplicadas todas lasactuali'aciones en cadae$uipo * alertas notratadas adecuadamente

1osibilidad deinterrupciones deservicios8 alteración%robo o p4rdida dein)ormación% accesos noautori'ados

(mplementar solución deantivirus $ue permita lagestión centrali'ada%permitiendo garanti'arla aplicación correcta deparches deactuali'ación * gestiónadecuada de alertas deseguridad generados porlos mismos

Las actuali'aciones sereali'an desde cada

Aumento de consumode ancho de banda

6e recomiendaimplementar repositorio


24/40

e$uipo hacia internet% losmismos podrían estarconect!ndose a la mismahora para descargarse lamisma actuali'ación del?chero de ?rmas% es no seconsidera e?ciente

a)ectando los tiemposde respuesta deservicios de red *generando lentitud enlas comunicaciones

o servidor de distribución%$ue consiste en une$uipo $ue se conectaa interne actualice el o los?cheros * luego lodistribu*a al resto dentrode la red local

Conclusión"

La empresa cuenta con niveles de seguridad protección de so)tDare malicioso% sinembargo% en base a los halla'gos mani)estados% se re$uiere $ue dicha gestión seame/orada% en este sentido a continuación se re)erencian una serie derecomendaciones basada en las me/ores pr!cticas para una adecuada gestión deso)tDare de antivirus:

0 A nivel corporativo se considera obligatorio $ue los 1C $ue con)orman la redempresarial e incluso los e$uipos Móviles est4n protegidos con una soluciónAntivirus licenciada ,sto es necesario para disminuir el riesgo de perderin)ormación% dinero * tiempo por un problema de in)ección

0 La gestión de antivirus debe ser tratada como una )unción importante dentro del!rea de #(% se debe asignar responsable% delegar )unciones * capacitar alpersonal de #( para $ue el mismo responda por la administración del Antivirus

0 (mplementar soluciones de antivirus con consola de administracióncentrali'ada% garanti'ando la disponibilidad de acceso a la misma * utili'armecanismos de autenti?cación robustos para su acceso ,s importanterevisar periódicamente la consola con el ?n de identi?car si todos los e$uipos hansido actuali'ados * $ue amena'as se han detectado

0 Generar reportes $ue permitan reali'ar an!lisis en el tiempo% por e/emplocuales son las detecciones $ue se han reali'ado en la red% esto puede a*udar aidenti?car cu!les pueden ser los puntos con ma*or vulnerabilidad en la compaía

0 6e debe contemplar charlas de concienti'ación * capacitación al personalgeneral sobre el so)tDare malicioso indicando procedimientos * responsabilidadesde prevención% por e/emplo sobre el uso de los medios e.traíbles pendrive

0 1ara la implementación de la solución se recomienda contemplar los controlescontenidos en la guía de buenas pr!cticas (6& ;;:;9@ Q 9 1rotección ante6o)tDare malicioso

NOTA; proyectar una implementación de anti!irus de "estión amplia, sin embar"o escuestión de e!aluar cotos y bene#icios' As es, se debe e!aluar el im p acto que podr atener un e! e nto de e ste tipo y to mar la dec i sión que corres p onda' +royecto '

%estionar la se'uridad de los puestos de usuario final&

,n la empresa no se tienen establecidas normas * políticas de seguridad de lain)ormación $ue regulen el uso de los e$uipos% servidores% port!tiles% so)tDare% red *otros dispositivos así como las operaciones de #(



25/40


ecomendación

-o se encuentrande?nidas líneas basesde con)iguración deseguridad para lossistemas operativos%se observó $ue la

empresa cuenta consoporte e.terno $ue seencarga de reali'artareas de )ormateo einstalación desistemas sin controles oguía deimplementación% estopuede provocar pore/emplo $ue e.istanusuariosadministradores sincontrasea o concontraseas d4biles%puertos abiertos%so)tDare instalado sinautori'ación $uepueden traducirse envulnerabilidades

1osibilidad de lapresencia de so)tDaremalicioso en los e$uiposde la red% Accesos noautori'ados%alteración robo o

p4rdida de in)ormaciónsensible

6e recomienda disear* documentar normas$ue regulen lacon?guración de losservidores * estacionesde traba/o% basado en

buenas pr!cticas $uecontribu*an a aumentarlos niveles de seguridadde la in)ormación pore/emplo:

Cambiar nombre deusuario administradorde sistema operativo,stablecer niveles decomple/idad para lascontraseas de losusuarios

eshabilitar usuarioinvitado(mplementar políticasde caducidad decontraseas con el ?nde disminuir el riesgoante situaciones comoel robo de contraseaGaranti'ar instalaciónde antivirus *actuali'ación (nhabilitarcarpetas compartidaspor de)ectoe?nir so)tDarepermitido por laorgani'ación por !reas odepartamentos

-o se cuenta conpolíticas de blo$ueo dedispositivos o mediose.traíbles

1osibilidad de robo dein)ormación%instalación de so)tDareno autori'ado% in)ecciónpor so)tDare malicioso

6e recomienda disear *documentar políticas deblo$ueo de dispositivos omedios e.traíbles $ue noa)ecten la operatividadde la organi'ación *a

$ue puede haber casos osituaciones donde sere$uiera su uso% por lo$ue se recomiendaestablecer controles $ueregulen su utili'ación *mitiguen las amena'as


26/40

-o se han de?nidoprocedimientos declasi?cación de lain)ormación segFn suimportancia * sensibilidadpara la organi'ación% lo$ue puede implicar en$ue e.ista in)ormación

almacenada enservidores * estacionesde traba/o sin adecuadosmecanismos deprotección% por e/emplocontabilidad% cuentasbancarias% in)ormación declientes% proveedores%)acturación%inventarios% personalinternos

1osibilidad de robo%alteración% divulgación noautori'ada o perdida dein)ormación sensible parala organi'ación

La in)ormación $uepuede ser usada por

delincuencia organi'adapara eventos comorobos% e.torciones%secuestros entre otros

6e recomienda a laorgani'ación reali'ar unan!lisis $ue permitaidenti)icar * documentarlos activos dein)ormación% de la mismamanera establecercriterios $ue permitan

asignar niveles declasi?cación basado en laintegridad%con?dencialidad *disponibilidad de lamisma * establecermecanismos deprotección segFn elnivel otorgado% como pore/emplo controles deacceso% encriptación dela in)ormación% entreotros

-o e.istenprocedimientos dedesincorporación dedispositivos * mediosde almacenamiento de)orma segura

1ueden e.istirdispositivos o mediosde almacenamientodesincorporado delambiente productivo dela empresa% conin)ormación sensible $uepuede ser recuperada *usada con ?nesnegativos para la

organi'ación

6e recomiendaestablecer * documentarprocedimientos dedesincorporación dedispositivos * mediosde almacenamientocomo por e/emplo parael caso de discos duro%garanti'ar la destrucción)ísica antes de

desecharlos

Conclusión"

Garanti'ar $ue los puestos de usuario ?nal 2es decir% port!til% e$uipo sobremesa%servidor * otros dispositivos * so)tDare móviles * de red3 est!n aseguradosadecuadamente% debe ser una tarea ineludible por la organi'ación * el !rea de #(% essumamente importante establecer controles $ue permitan resguardar * proteger lain)ormación $ue se procesa * se almacena en la organi'ación% buscando mantener lacon)idencialidad% la disponibilidad e integridad de la misma

NOTA; es necesario la asesora sobre estas polticas y procesos sobre el clientecompaCado de cómo debera ser un estándar para el manejo o con#i"uración#inal, a

de un usuario por parte *T' 0e podra contratar un soporte adicional para ayudar a

de#inir las tareas re ueridas' +royecto'

%estionar la identidad del usuario el acceso ló'ico&

urante la visita se pudo evidenciar $ue en la empresa no se reali'an ni se tienendocumentados procedimientos para la gestión de identidad * acceso de usuario a lossistemas operativos de la organi'ación * servicios de red

,n cuanto al sistema corporativo BPo-er Street Enterprise6, cuenta conde?nición de per)iles de usuarios% para el acceso por !reas de negocio


27/40



ecomendación

,l acceso a lossistemas operativos *servicios de 5ed enlas estaciones detraba/o no seencuentranrestringidos

1osibilidad deaccesos noautori'ados%divulgación dein)ormación sensible%sabota/e interno

6e recomiendarestringir el acceso alsistema operativo *servicios de redmediante laimplementación decuentas de usuarioscon derechos deacceso de acuerdo alos re$uerimientos desus )unciones

,l acceso de los

servicios de red sereali'a a trav4s delusuario de inicio desesión por de)ecto $uetiene con?gurado cadam!$uina% por e/emplovarias m!$uinas seautenti)ican con elusuarioAdministrador

(mposibilidad de

detectar accesos noautori'ados%i?cultades demonitoreo * rastreode accesos lógicos

6e recomienda asignar

( de identi)icaciónde usuario para cadapersona con acceso acomputadoras *servicios de red enla organi'ación% estos( deben ser utili'adospara la creación decuentas de usuariosindividuales

Ante la ausencia de

gestión de acceso deusuarios% no secontemplanprocedimientos decreación% modi?cación *eliminación de cuentasde usuario

1osibilidad de la

e.istencia de usuarioscon derechosadministrativos $ue nocumplen una )unciónespecí)ica * pueden serusados por atacantesClaves de accesod4bilesClaves de acceso deusuario administradorescompartidas por muchosusuarios

6e recomienda disear *

documentarlosprocedimientos $uepermitan reali'ar lastareas de gestión decuentas de usuario loscuales deben contemplarsituaciones como lasolicitud de creación deun nuevo usuario%inactivación oactivación de cuentasde usuario% por e/emploante las salida depersonal porvacaciones8 *eliminación de cuentasde usuarios cuando pore/emplo un traba/adorse retira de laorgani'ación

-o se tiene un adecuadocontrol sobre las cuentascon privilegios de

administrador% elpersonal general

1osibilidad de cambiosde con?guración noautori'ados% sabota/e%

interrupciones deservicios% instalación

6e recomienda de?nir *documentar losprocedimientos% normas

* políticas $ue regulen eluso de usuario con


28/40

utili'a cuentas locales enlas estaciones detraba/o con privilegios deadministración

de so)tDare noautori'ado% accesos noautori'ados

privilegios% estos debenser utili'adosFnicamente por elpersonal de #(% paragestiones demantenimiento * soportedebidamente autori'ado

Conclusión">no de los elementos primordiales en la organi'ación es la Gestión de acceso lógico

a los sistemas * recursos de red% como se pudo evidenciar actualmente la empresa nocuenta con una gestión adecuada de cuentas de acceso de usuario e identi)icación%por lo se considera )undamental * necesario de?nir * documentar procedimientos paradicha administración8 es importan aclarar $ue reali'ar esta gestión de )orma locales decir en cada e$uipo puede resultar comple/a * re$uerir grandes inversionesde tiempo * recursos humanos *a $ue cada cambio% sea creación% modi?cación oeliminación% entre otras cosas% debería e/ecutarse por parte del personal de ti en cadam!$uina $ue lo re$uiera de la organi'ación% en este sentido se propone * recomienda$ue dicha gestión se realice de manera centrali'ada

6e pude observar $ue en la empresa se utili'a ma*oritariamente la plata)ormaWindoDs por lo $ue una buena opción sería utili'ar Active irector* como herramientade gestión centrali'ada% ,s decir% en lugar de tener usuarios locales * permisosen cada computadora% todo es administrado en un dominio Fnico desde un servidor

Active irector*% es un servicio establecido en uno o varios servidores endonde se crean ob/etos tales como usuarios% e$uipos o grupos% con el ob/etivo deadministrar los inicios de sesión en los e$uipos conectados a la red% así comotambi4n la administración de políticas en toda la red% permite a los administradoresestablecer políticas a nivel de empresa% desplegar programas en muchos ordenadores* aplicar actuali'aciones críticas a una organi'ación entera >n Active irector*almacena in)ormación de una organi'ación en una base de datos central%organi'ada * accesible 1ueden encontrarse desde directorios con cientos de ob/etos

para una red pe$uea hasta directorios con millones de ob/etos

A continuación se re)erencian algunas venta/as de la administración centrali'ada:

+orro de tiempos" esta es la principal venta/a al administrar servicios de)orma centrali'ada 1or e/emplo% si el !rea de (# debiera con?gurar ciertos

permisos en ciertos usuarios en un es$uema descentrali'ado% deberían acudir

e$uipo por e$uipo aplicando los cambios ,n una red e.tensa 2R9;; e$uiposS

R


29/40

3aor capacidad de an9lisis" si se desea conocer cierta in)ormaciónsobre un servicio es posible obtenerla directamente desde el servidor%

optimi'ando la capacidad de an!lisis

#r'ani/ar los e!uipos en 'rupos" (ndependientemente de su ubicación)ísica% es posible organi'ar los e$uipos en grupos% por e/emplo% segFn el

departamento del $ue son parte% * así poder aplicar con)iguraciones

especí)icas segFn los par!metros $ue se desee

NOTA; para )acer la instalación de un acti!e irectory se necesita al menos

ble dos %2& ser!idores que trabajen en espejo? +ara ir pensando en esta

si un equipo se daCa, es #undamental que todo pueda trabajar en un se"undodisponi

opciónequipo' on la in # raes t ructura de equip o s que poseen es posible q ue no se requie r a

la c o m pra de n ue!os ser!idores, si se apli c a !irtuali$ac i ón sobre los que y a s e

tienen' o m o contin" e ncia, si se d e be te n er un ser!i d or de respa ld o, que pudie r a

ser direccio n ado en c a s o de # alla del princi p al' +royecto '

Supervisar la infraestructura para detectar eventosrelacionados con la se'uridad&

,n la empresa no se tienen establecidos procedimientos de monitorio de eventosrelacionados con la seguridad de la in)ormación $ue permitan detectarsituaciones como accesos no autori'ados #ampoco se observaron herramientas $uecontribu*an a la e/ecución de dichas tareas



ecomendación

-o se tienenestablecidosprocedimientos demonitorio de eventosrelacionados con laseguridad de lain)ormación

1osibilidad de eventos$ue pueden provocarinterrupciones deservicios% espiona/e%p4rdida de dineros $ueno son detectadosoportunamente * enconciencia no aplicarcorrectivos

6e recomienda disear *documentarprocedimientos $uepermitan monitorearactividad re)erente aaccesos v!lidos%accesos )allidos%cambios no autori'adosde con?guración%denegación deservicios% uso indebido

de los recursostecnológicos%incumplimiento depolíticas internas de laorgani'ación% entreotros

-o se revisan ni segestionan los eventosde sistemaperiódicamente

1osibilidad de eventosde seguridad nodetectados%vulnerabilidades $ue nose mitigan o eliminan

6e recomienda disear *documentarprocedimientos derevisión * evaluación deeventos de seguridad desistemas los cuales

deben contemplarelementos comoidenti)icación de


30/40

)uentes de in)ormaciónpor e/emplo Logs desistemas8almacenamiento deregistro de eventos%rotación del registro deeventos% resguardo comoevidencia digital% an!lisis%generación de alertas%

entre otros 1ara el casode los servidores *estaciones de traba/oWindoDs antes de aplicarevaluación se debentomar decisionesre)erentes a lasdirectivas de evaluacióndel sistema% las cualesespeci?ca las categoríasde eventos relacionadoscon la seguridad $uedesea auditar

La empresa no cuentacon herramientas demonitoreo de eventos deseguridad

i?cultad para elan!lisis% dado losgrandes volFmenes dein)ormaciónActividades demonitoreo pocoe?cientes

6e recomienda identi)icarherramientas $ue sirvande apo*o a las labores demonitoreo de seguridad$ue sean adaptables a laar$uitecturatecnológica de laorgani'ación% esimportante conocer $uee.isten herramientaspagas * herramientasbasadas en so)tDare libre$ue pueden ser unabuena opción

Conclusión"

6e considera sumamente importante $ue la empresa cuente con mecanismos $uepermitan reali'ar supervisión sobre la in)raestructura tecnológica para detectareventos relacionados con la seguridad% de la misma manera implementarherramientas $ue permitan la detección oportuna mediante la generación dealertas autom!ticas

A Continuación se aclaran puntos re)erentes a directivas de evaluación de sistemaoperativo WindoDs * se re)erencias herramientas para el monitoreo de eventos deseguridad:

Directiva DeEvaluación

>na directiva de evaluación especi?ca las categorías de eventos relacionados con laseguridad $ue desea auditar Cuando esta versión de WindoDs se instala porprimera ve'% todas las categorías de evaluación est!n deshabilitadas Al habilitar


31/40

varias categorías de eventos de evaluación% puede implementar una


32/40

directiva de evaluación apropiada para las necesidades de seguridad de suorgani'ación

Las categorías de eventos $ue puede elegir para auditar son:

o Auditar eventos de inicio de sesión de cuenta

o Auditar la administración de cuentas

o Auditar el acceso del servicio de directorio

o Auditar eventos de inicio de sesión

o Auditar el acceso a ob/etos

o Auditar el cambio de directivas

o Auditar el uso de privilegios

o Auditar el seguimiento de procesos

o Auditar eventos del sistema

1ara implementar se puede seguir los pasos presentes en las p!ginas o?ciales deMicroso)t segFn sea la versión del sistema operativo e/emplo:

https:EEtechnetmicroso)tcomEes0esElibrar*Edd=;K=;2vTDs9;3asp.U

,s importante aclarar $ue en el caso de implementaciones con Activeirector*% est!s directivas ser!n aplicadas desde el servidor central% no ser! necesarioreali'ar esta actividad en cada e$uipo

.erramientas de 3onitoreo"

,.isten una variedad de herramientas $ue pueden ser utili'adas para reali'arsupervisión sobre la estructura tecnológica% tanto licenciadas como gratuitas% acontinuación se re)erencian algunas:

0 61L>-N 2Licenciada% paga3: Herramienta de monitori'ación * an!lisis de datos

masivos procedentes de redes% aplicaciones% e$uipos% etc% $ue permite detectar *solucionar problemas e incidentes de seguridad con rapide'

0 #rustDave 6(,M 2Licenciada% paga3: ,s un appliance de hardDare $ue recoge *

anali'a toda la in)ormación sobre los eventos de seguridad iseado para ser

gestionado por el propio cliente% es )!cil de implantar * usar% con prestaciones

avan'adas $ue )acilita el an!lisis de datos

0 #rustDave 6(,M 2Licenciada% paga3: permite registrar los eventos de

seguridad en cumplimiento con las normativas * est!ndares de seguridad% de una

manera e.ible e inteligente ,.isten varios modelos de hardDare% lo $ue

permite dimensionar la solución segFn su presupuesto * sus necesidades t4cnicas

0 ,ventLog Anal*'er 2Licenciada% paga3: permite centrali'ar los logs 2visor de

sucesos3 de sus servidores% aplicaciones * dispositivos de red% otorgando

visibilidad al histórico de sucesos a trav4s de una sencilla e intuitiva consola Deb

0 56V6L&G 2Gratuita3: 5s*slog es un programa de logging de mensa/es $ue

implementa el protocolo b!sico de s*slog * lo e.tiende agregando ?ltros% con

una con)iguración e.ible #iene la capacidad de reenviar vía >1 o #C1 los

mensa/es del log a otra m!$uina


33/40

3

0 &66,C 2Gratuita3: 6istema de detección de intrusos 2(63 &pen 6ource $ue

reali'a an!lisis de log% comprobación de integridad de ?cheros% monitori'ación de

políticas% detección de rootits * respuesta con alerta activa en tiempo real

isponible para la ma*oría de sistemas operativos% incluidos Linu.% Mac&6% 6olaris%

H10>% A( * WindoDs

0 6-&5#: 6nort es una solución de detección * prevención de intrusiones en red

2(6E(163 open source desarrollada por 6ource)ire * $ue combina los

bene?cios de la inspección en )irmas% protocolos * anomalías 6nort es una de lastecnologías (6E(16 m!s ampliamente distribuidas a nivel mundial

NOTA; estas soluciones se deben de poner en práctica, pero es necesario unacapacitación del buen uso y como sacarle pro!ec)o a este tipo de soluciones' +or supuesto, pe r o pr i m ero debe ser e!aluado el a lcance de cada una de ellas, para !er cuál es la que m e jor s e adeca a la e m p r esa' +ienso que este tipo d e )err a m ie n tas,

pueden ser trabaja das en un #uturo, lue"o d e que se lo"re un ni ! el de m adure$adecuado pa r a la in # ra e structura de T*' +royecto a Duturo '

;eri:cación de Servidores de Producción"

urante las visitas reali'adas se reali'aron an!lisis a los servidores $ue soportan el

ambiente productivo tecnológico de la organi'ación% los cuales estaban re)erencia enla documentación recibida producto de los re$uerimientos de evaluación:

6ervidores:

Servidor


34/40

6,5+(&5;@ arinasWindoDs6erver;;@5

6ervidor de la aplicación1oDer 6treet% sedearinas

6,5+(&5;= arinasWindoDs6erver;;@

6ervidor de laaplicación Web% sedearinas

el an!lisis de los 6ervidores se desprenden los siguientes halla'gos:


ecomendación

Los servidores6,5+(&59;%6,5+(&5;@%6,5+(&5;=% tienen

instalados el sistemaoperativo WindoDs6erver versión ;;@% elcual de/o de recibirsoporte t4cnico desdeel 9= de /ulio de ;9


35/40

control * monitoreodel acceso a losservidores a trav4s dedicho servicio

a (nternet+ulnerabilidades en lasaplicaciones o protocolosutili'ados

actuali'aciones de6eguridad

+eri?car laencriptación de 9K0bitentre clientes * servidoresActivar la autenti)icación anivel de red 2-LA3%disponible a partir de laversión de WindoDs vista *

WindoDs >tili'ar tFnel +1- hacia lared como paso previo aluso de cone.ión deescritorio remotouso de ?reDalls tantoen el perímetro como en el6& para ?ltrar laspeticiones entranteslimitando la conectividadde estos servidores,stablecer grupos deusuarios * comple/idad

de contraseas% entreotros

,n el 6ervidor9;% seencuentra la base dedatos de producción de1oDer 6treet% $uetiene por nombre 156;9

* para el momento dela evaluación registrabaun tamao de =9gb% sepudo evidenciar $uela misma contienein)ormación desde elao ;99% el personal de #( argumento $ue no sereali'an tareas demantenimiento *a $uedicha ase de datos esadministrada por elproveedor de la

herramienta

1osibilidad de Lentituden el tiempo derespuesta de laaplicación,rrores de aplicación

Alto consumo derecursos deprocesamiento1erdida de in)ormacióni?culta en lageneración de losrespaldo

6e recomienda estableceruna mesa de traba/o conel proveedor con el ?n dereali'ar tareas demantenimiento de la base

de datos% de la mismamanera de?nir *documentarprocedimientos $uepermitan reali'ar estastareas periódicamente(gual mente serecomienda replicardichos procedimientos alas bases de datospresente en las otrassucursales6e recomienda crear

política $ue de)ina cu!l esel tiempo de antigXedadde data $ue se re$uieremantener activa en labase de datos% con el )inde evitar $ue e.istain)ormación innecesariapara las operacionesrutinarias * $ueincrementan el tiempo derespuesta ante consultas%así como los tamaos deespacio en disco

32


36/40

33

6e evidencio el uso dela herramienta deso)tDare libre BCobianacup% para lagestión de respaldosde la base de datos%la cual se e/ecuta unave' al día reali'andoun respaldo masivo de

la misma a discose.ternos ubicados enlas mismasinstalaciones8igualmente se observó$ue de maneramanual se vanborrando los respaldosm!s antiguos

Ante un evento naturalcomo por e/emplo unincendio la empresa nocontar! con respaldoe.terno $ue le permitaimplementarprocedimientos derecuperación *continuidad de

negocio

6e recomienda establecerprocedimientos para tenerrespaldos de la bases dedatos debidamenteresguardas en ubicaciones)ísicas e.ternas a la sededonde se encuentra elservidor

6e reali'ó consulta alpersonal de #( sobresi contemplaban elarreglo de disco 5A(9 2Mirroring3% $uepermite mantener unacopia en línea de losambientes productivosante una eventualidad%* $ue disminu*e elriesgo de p4rdida dein)ormación ante lasvulnerabilidadespresente en los

procedimientos derespaldo,l personal argumento$ue el servidor $ue seestaba preparando conla versión nueva si locontemplaba% pero elservidor9; $ueactualmente estabaprestando el servicioproductivo no% cabedestacar $ue elambiente productivo )ue

instalado en elservidor9; mientras sereali'aban tareas deactuali'ación * pruebasde la nueva versión

1osibilidad de p4rdidade in)ormación anteuna eventualidad%correspondiente a loslapsos de tiempo entrelas $ue se e/ecutacada copia de bacup

6e recomienda $ue lastareas de pruebas no se

realicen directamente enlos e$uipos de producción%ante un cambio deversiones o actuali'aciónse recomienda plani)icardicho cambio% una ve' seha*an reali'ado laspruebas en e$uipos oambientes destinadospara dicha )unción * setenga certe'a de sue)ectividad% de la mismamanera considerarprocedimientos de rollbaco reversión $ue devuelve ala base de datos o sistemaa algFn estado previo

#bservaciones %enerales

o Las recomendaciones propuestas en algunos casos re$uieren reali'aran!lisis * redisear las )unciones $ue est!n cumpliendo los servidores dentrode la organi'ación% de la misma manera se ve como una necesidad


37/40

34

la incorporación de nuevos servicios $ue contribu*an a implementar controlesen)ocados a la seguridad de la in)ormación * calidad de servicio lo cual puedeimplicar en inversiones de e$uipos

o urante las actividades de evaluación a los servidores se e/ecutó la tareadel levantamiento detallado de in)ormación hardDare presente en cada unode estos% validando sus capacidades * cu*os reportes se ane.an al presentedocumento8 se puede establecer $ue e.isten servidores $ue pueden estarsiendo subutili'ados dada su capacidades% por e/emplo el servidor 65+0C;9* el servidor 6,5+(&5;@

o

Ante la necesidad de implementar nuevos servicios como por e/emploActive irector*% la empresa puede tener la opción de virtuali'ar losservidores con ma*or capacidad antes mencionados * distribuir de me/ormanera sus recursos% La vitali'ación es una tecnología $ue est!compuesta por una capa de so)tDare $ue permite utili'ar al mismo tiempodi)erentes sistemas operativos o m!$uinas virtuales en una mismacomputadora )ísica central

I;& Evaluación de Capacidades motivación del ecurso.umano"

el traba/o desarrollado con el apo*o del 5ecurso Humano $ue posee la ,mpresa en su!rea de #(% se pudo evidenciar $ue ha* capacidades * motivación su)icientes paraencarar los retos $ue se plantean como resultado de la ,valuación

Algo $ue si es importante comentar% es $ue los resultados de la evaluacióninde)ectiblemente traer!n una carga de traba/o adicional al personal% producto de lasadecuaciones * me/oras $ue se tendr!n $ue implantar% con lo cual% se debe replantearla organi'ación * responsabilidades establecidas ,n este sentido% se debe dar especialatención a la )unción de gerenciar o coordinar las actividades de #(% $ue re$uieren unma*or tiempo para los aspectos de supervisión * de?nición de estrategias% de/andoen manos de otros recursos aspectos de soporte * operación a/o estacircunstancia% es mu* probable $ue el !rea re$uiera de incorporar por lo menos unrecurso para poder apo*ar en dichas )unciones de soporte * operación

NOTA; en lneas "enerales, an #alta una buena de#inición por parte del auditores de

deberá estar con#ormado un departamento de tecnolo"a, a ni!el de la

ación que se le!antó en la !isitas, además no !eo en al"n lu"ar que indique

pacitaciones o entrenamiento necesarias amerita el personal de *T y una buena

ión de las #unciones, bajo responsabilidades del departamento bien de#inidas,

o %no se tocó la parte de sistema de cámaras de se"uridad, sistema de alarma, e

"estión de redes tele#ónicas&, si estas están bien con#ormadas como esta, que

ades debera tener en cuenta para el manejo de los !ideos de se"uridad,

#ueras de la tecnolo"a pero que es parte de este departamento, que no se

como

in#orm

que ca

de#inicejempl

incluso

capacid

puntosdejara a un lado, de lo que son las buenas prácticas'

Aspectos re# eridos e n s u co mentari oE

,struct u r a or g ani'a c i o na l de l ! re a d e #( : - o s e di o u n a re c omen d ació n a lrespect o % pu e s c o n s ideramo s $ue l a priorida d er a e s t a b ili'a r e l )uncion a mien t o *o per a tivida d d e l o s se r vi c io s d e # ( e igu a l m anera % s i no s remit imo s a l a sme/ore s p r !cti c a s 2po r e/emp lo (#( L 3 % sería n re$ueri d a s )unc iona lidade s $u eimpli c arían % po r s e p ar a ció n d e respons a bili d ades % e s t ablece r u n a nóm in a $ u eenten de mo s ho * dí a n o e s l a priorid a d 1o r e llo % sol o no s r e mitim o s arecomen da r la in c lus ió n d e u n recurs o $u e pueda as u mi r )unci o ne s de l dí a a día %

* $u e permi t a $u e l a person a d e m a*o r niv e l % e.i s tent e % pue d a a sumi r la s t area s$ue impli c a n dich a e s tabi li'aci ó n


38/40

3.

Capacit a ció n * e n tren a miento : ,vid e ntem e nt e $u e lo s rec u rso s e.is t entes % * e n)unció n d e la s t area s plan t eadas % d eb er! n indic a r e n $u 4 aspecto s re$uier e ne n trena m ie n to % d e man e r a d e $ u e s e est r u c tur e u n plan d e entrena m ient o osopo rt e co n pe rsona l e s peciali ' ad o $u e tra n s?er a e l conocim ient o * apo r t e a la ss o luci o nes

C!mara s d e 6 e gurid a d * 6istema s d e Al a r m a : , l tem a d e la s c !mara s d esegurid a d * 6 istema s d e alarm a % nor m almen t e n o e s r e s ponsa bilid a d de l !re a d e

#( A l resp e cto % e l !re a d e # ( d eb e hace r lo s r e$ ueri m iento s a l persona l$u e m a ne/ e e sto s tem a s % * g a rant i'a r $u e s e cubr a n lo s aspect o s d e seg u rida dmín imo s recomen d ados 6 i l a e mpresa d e ci d e $ue es t o s tem a s debe n s e rma n e/ados po r #( % pue s s e de b e u bica r e nt ren a mient o d e person a l especia li'ad opar a cu b ri r est a s )u n cione s

5ede s #e le)ón icas : , l tem a d e la s re de s tele )ónic as % i g ualment e % normalm e nt en o e s res ponsabil ida d de l !re a d e #( 6 i l a empres a d e cid e $u e est e tem a d e be nse r m ane/ad o p o r #( % pue s s e deb e u bi c a r entr en amient o d e persona lesp e ciali ' ad o par a c u bri r esta s )u n ciones

#tras #bservaciones del e!uipo evaluador"

0 ,l grupo evaluador puede a*udar en la orientación preliminar para gestionar los

re$uerimientos sobre los 6istemas de videograbación% alarmas% * tele)onía ,s

importante indicar $ue la especiali'ación de estos temas% normalmente puede

re$uerir de apo*o e.terno

0 5e)erente a la gestión de inventarios se considera un tema sumamente importante

$ue debe ser tratado como un pro*ecto% se entiende $ue este proceso amerita

inversiones de tiempo * recursos considerables% por lo $ue se recomienda

plantear el mismo de manera tal no a)ecte la e/ecución de otros pro*ectos *

actividades cotidianas% para el logro de este ob/etivo se recomienda:

e?nir nomenclatura o codi?cación adecuada para el registro de

elementos tecnológicos% por e/emplo se puede utili'ar como base la

codi?cación contemplada en Ma$uerit $ue es una metodología de an!lisis *

gestión de riesgos elaborada por el Conse/o 6uperior de Administración

,lectrónica

e?nir herramienta para el registro del inventario% se recomienda contemplar

el uso de soluciones so)tDare libre

e?nir procedimiento para el levantamiento * registro de inventario $ue

contemple las posibles situaciones $ue pueden surgir durante su

e/ecución por e/emplo e$uipos caducados * deteriorados

0 ,n cuanto a la Gestión de 1oDer 6treet% durante el in)orme se recomienda al !rea de #(de tener ma*or control sobre las actividades $ue reali'a el proveedor% en este sentido

se re$uiere ocumentación t4cnica% adiestramiento% procedimientos de gestión de

cambios $ue separen ambientes de desarrollo * producción% re$uerimientos del

proveedor para dar soporte entre otros 1W6# C&-#5A#&

0 La gestión de los ambientes donde se encuentran los dispositivos tecnológicos son

responsabilidad de la !rea de #( a nivel de garanti'ar $ue e.istan elementos de

seguridad )ísica contemplados en las me/ores pr!cticas e indicados en este in)orme% la

implementación * mantenimiento de los mismos deben ser responsabilidad de las

!reas o departamentos especialistas en dichas )unciones por e/emplo el tema de los

e.tintores * >16% planta el4ctrica de respaldo ante )allas de energía


39/40

35

0 6e considera )undamental para la me/oras de los procesos cotidianos * adecuación

para la implementación de pro*ectos )uturos% la solución a las observaciones

reali'adas sobre el ambiente de red tanto a nivel )ísico como a nivel lógico% para este

punto es necesario la propuesta de un pro*ecto de me/ora del ambiente de red $ue

contemple las actividades a reali'ar considerando las posibles dependencias entre

estas * otros elementos como por e/emplo los tiempos de interrupción de servicios

0 ,n cuanto a la de?niciones de políticas * normas de seguridad de la in)ormacióndepender! mucho de la estructura organi'ativa tecnológica $ue se de?na en la

organi'ación% sin embargo este puede iniciar con elementos base e irse actuali'ando

en el tiempo% se puede tomar como re)erencia los siguientes documentos:

http:EE D DDs g pgov ar EsitioE1 6 (YMo d elo0v 9 Y ; ;


40/40

Ane.o 9: Acuerdo de Con?dencialidad

A@(FO ( OND*(N*A*A

Vo% YCarlos Humberto Chacón 5ivasY% ma*or de edad% de nacionalidad Y+ene'olanoY%domiciliado en YAv Las 1ilas 5es Jiraharas (( casa @=% 6an CristóbalY% ,stado #!chiraY%

de pro)esión Y(ngeniero de 6istemasY% titular de la c4dula de identidad -o +0

Y=P@PKPY% en mi car!cter de Consultor de #( * de 5iesgo% contratado de YGrupo

1remier% C AY% en e/ercicio del cargo de YAsesorY% declaro: ,.presa * )ormalmente me

comprometo a mantener con?dencial toda la in)ormación% datos% tecnología%

investigación * conocimientos% transmitidos a mi persona por el YGrupo 1remier% C

AY% * $ue el YGrupo 1remier% C AY ha designado como in)ormación reservada o

con)idencial o $ue% por la naturale'a de las circunstancias alrededor de la

divulgación% debiera tratarse de buena )e como in)ormación reservada o

con)idencial e la misma manera% me comprometo a $ue cual$uier in)ormación

con?dencial $ue reciba ser! protegida con el mismo nivel de cuidado con $ue

prote/o mi propia in)ormación con?dencial * $ue no har4 uso de dicha in)ormación%

e.cepto a$uel uso $ue est4 de acuerdo con el propósito a $ue est4n re)eridas mis

actividades laborales

,n virtud de lo antes e.puesto% e.presamente acepto $ue en caso de

in)racción del deber de con?dencialidad $ue asumo% responder4 al YGrupo

1remier C AY civil * patrimonialmente por cuales$uiera daos * per/uicios $ue le

ocasione eclaro% así mismo% $ue tengo per)ecto conocimiento de $ue la utili'ación

indebida $ue haga de la in)ormación de la cual tenga conocimiento puede constituir

un hecho delictivo

La obligación $ue contraigo mediante el presente documento% deber! ser

cumplida por mí durante el desempeo de mis )unciones en el YGrupo 1remierY en

ra'ón de la relación contractual e.istente% * adicionalmente por un período de cinco

2

Documents

Borrador consol_V2