Upload
bolivar2008
View
215
Download
0
Embed Size (px)
Citation preview
8/18/2019 Borrador consol_V2
1/40
1
San Cristóbal, Diciembre 2015
Informe de Evaluación de Controles de TI de laEmpresaPremier Dasinca
E!uipo Evaluador"
Coordinador: Humberto ChacónAnalistas: Wilder Calderon
Javier Maldonado
8/18/2019 Borrador consol_V2
2/40
2
Maiguel García
8/18/2019 Borrador consol_V2
3/40
3
Introducción:
"Las compaías invierten en tecnología para ser m!s productivas #ecnología $ue no es
rentable% es arte"% indica &mar de la Ho' Gerente de (n)orm!tica * #ecnología de
Carulla +ivero ,sta )rase es contundente para dimensionar la relación directa entre
tecnología * productividad -o es una opción% es una e.igencia para los directivos en
tecnología generar productividad haciendo el me/or uso de las soluciones tecnológicas%
sac!ndoles el ma*or provecho% logrando satis)acer las necesidades de la empresa *
generando valor
Las empresas son ho* in)orm!tico0dependientes% por esto cada ve' son ma*ores los
retos * las responsabilidades del líder tecnológico 1ara lograr las metas el camino a
seguir es hacer una buena gobernabilidad del !rea tecnológica 2#(3% la cual indica cómo
tomar decisiones estrat4gicas sobre la in)raestructura tecnológica e ilustra sobre
cómo apo*ar los ob/etivos del negocio de )orma correcta * en los tiempos precisos
#b$etivo%eneral:
Hacer una evaluación $ue permita a la ,mpresa emprender un plan de traba/o para
lograr la estabili'ación * adecuación de su ambiente de #(% de manera de garanti'ar
al -egocio los servicios necesarios para el cumplimiento de sus metas
Premisas:
1ara la empresa es de vital importancia la seguridad * resguardo de los datos
$ue se generan de su operatividad
1ara la ,mpresa es de gran importancia el generar un ambiente organi'ado *
alineado con me/ores pr!cticas para el !rea de #(
1ara la ,mpresa es importante el recurso Humano e.istente% * desea su
)ortalecimiento * capacitación para acometer los retos planteados
I& Se'uridad ()sica Continuidad de*e'ocio
+C+*CE
8/18/2019 Borrador consol_V2
4/40
4
Gestión de Activos
5elaciones con los 1roveedores
Gestión de la Continuidad del -egocio
6eguridad 7ísica * Ambiental
,n la evaluación desarrollada se evaluó el ambiente de producción del aplicativo
Po-er Street Solutions8 A continuación se destaca la documentación $uesoporta lo establecido en cada ob/etivo de Control% las debilidades encontradas% elriesgo $ue trae dicha debilidad * la recomendación propuesta por parte del grupoevaluador
% e s ti ó n d e + c ti v o s &
9 (nventa r i o d e ,$ui p os :
6e le solicitud al departamento de tecnología el inventario de los Activos de losdi)erentes e$uipos tecnológicos 2in)ormación entregada con )echa de diciembre;9163
1osibilidad de p4rdidasde e$uipos por unad4bil gestión de losinventarios
6e recomienda al personal detecnología incorporar el serial delactivo ?/o a los e$uipos $ue lehacen )alta en el inventario% * así poder tener un me/or control decada uno de ellos
NOTA; considero que nos deben apoyar mejor con la recomendación, con másación al respecto de teora de in!entario de equipos de tecnolo"a, normas oclaturas a ser usado, con la #inalidad de estandari$ar este in!entario de equipos, e
ntado al deber ser %ejemplo; es remendado usar códi"o de barras o no, necesario
in#ormnomenir apu
utili$ar un sistema para no lle!ar esto en #sico&, dudas que sur"en del anterior punto'(n el )a l la$"o s e es e s pec # ico en el p u nto, i ndicándose que l o que # alta es el seri al delequipo , y a que de los tems se tiene in # or m ac i ón que podra ser su # iciente para un inicio'*mplantar en sist e ma d e "estión de *n!ent a rio de acti!os p odra s e r u na se"unda etapa'
.alla/' Implicaciones ecomendaciones
-o se evidencióinventario de e$uipos decomunicación: 2S-itc,outer, 3odem4
1osibilidad de p4rdidasde e$uipos por unad4bil gestión de losinventarios% lo cualgeneraría un impacto
económico negativo parala empresa
6e recomienda al !rea detecnología incorporar en elinventario general todos lose$uipos de comunicación% para así poder tener un me/or control de
todos los activos tecnológicos$ue posee la empresa% lo $ue
8/18/2019 Borrador consol_V2
5/40
NOTA; actualmente solo se maneja polticas para las +As, y los equipos laptopsos, pero como aplicara para los equipos de mouse, ups, teclado' onde sabemosre un des"ate por el uso y manipulación de los mismos, necesitamos accesoria endo que tan tolerantes podemos ser, al momento de una asi"nación' (jemplo %un
asi"nadque su# el sentiteclado num-rico se deteriora por el uso, como tambi-n se puede deterior por mal uso&
.
signi?caría en un momento dadocontar con ese e$uipo para laresolución de un problemadiagnosticado
NOTA; ten"o las mismas apreciaciones del anterior comentario, además que se deberae/plicar cómo se debera ser asumidas las responsabilidades de estos equipos alres"uardo de del epto' 0oporte *T y sobre qu- ries"o la empresa y su personal debera
tambi-n asumir el ries"o' (jemplo %o que sucedió con el ser!idor, por una "otera #allo elequipo, polticas que se debe tener por escrito de quien asume la responsabilidad de tal#alla&'
as respons abilidad e s de todos los acti!os de *n #or m ac i ón que no est-n asi "nadosdirect am ente a e m pleados o a terce r os, es d e l área de T* ' on e ll o e l áre a d e T * d e be ) a ce r t odo l o n e c e s ar i o pa r a r e s "u a r d ar , m a n t e n e r y pr o t e "e r ca d a a c ti !o ' os a c ti !os que se a s i " n e n aun e m p lea do o t e r cer o, d e be s e r e s t a b l ec id a l a r e spons a b ili d a d e n a c ta d e e n t r e "a , e n l a q u e sei nd i qu e n la s re sponsa b ili d a d e s que c o rre spond a n '
1ropied a d d e lo s a c ti v os :
Se pudo evidenciar en el inventario la asi'nación del responsable delactivo tanto personal, como tambi4n el departamento donde se encuentra ubicado
@ >s o ace p tabl e d e l o s a ctivos :
.alla/' Implicaciones ecomendaciones
6e pudo constatar con elpersonal de tecnologíala e.istencia de unacarta de compromiso para
los e$uipos móviles 21A3%pero no se evidencióla documentación de unapolítica de seguridaddonde estable'ca el usoadecuado de todos losactivos tecnológicos 2C1>%Mouse% Lapto% >16% #eclado3
1osibilidad de unagestión no adecuadapara el uso de lose$uipos% la misma
podría originar daos *deterioro% lo cual podríagenerar p4rdidaseconómicas para laempresa
6e recomienda al departamento detecnología reali'ar la creaciónde una política de seguridad parael uso aceptable de los di)erentes
activos tecnológicos $ue utili'a elpersonal operativo de la empresa
1or e/emplo se recomienda lasiguientes políticas: 14 Bosempleados los usuarioseternos !ue utili/an o tienenacceso a los activos de laor'ani/ación deber)an serconscientes de la importanciade los mismos para laor'ani/ación, de su cuidado buen res'uardo&
24& Deber)an responsabili/arse
del uso de los recursos deprocesamiento de lainformación de su adecuadouso6&
'(n este sentido, se d e be tener al"n c r iterio sobre el uso y des "as te natural que p uedatener un ac t i!o, ba jo c ondiciones ra$onab l es ' 0e deberan )acer e !a l uaciones q ue pued a norientar sobre el uso y cuidado que se le da al acti!o' (ste aspecto debe ser tratado conaltos ni!el e s de s u bjeti !idad, dado que no ) ay un control directo sob r e el acti!o '
Inventario de Datos protecciones"
8/18/2019 Borrador consol_V2
6/40
NOTA; de acuerdo a la recomendación no solo es que nos entre"ue la in#ormación,n se debera tener adiestramiento por parte del pro!eedor, de cómo estátam
con#i"urada tanto el diccionario de datos como el modelado' (l dicc i onario de datos y su
5
9 , l dicc ionar io d e d at o s s e en c uent r a est r uc t urado :
.alla/' Implicaciones ecomendaciones
urante la evaluación sepudo constatar $ue elpersonal de tecnología dela empresa no tiene
conocimiento deldiccionario de datos% *a$ue esa in)ormación lamane/a el proveedor deservicio del sistema7Po-er StreetSolutions6&
i?cultad paradeterminar lascaracterísticas lógicas *puntuales de los datos%ante un problema $ue sepueda presentar
6e recomienda $ue el personal detecnología de la empresa% realice lagestión de solicitar al proveedor ladocumentación t4cnica del
diccionario de datos% * así tenerma*or conocimiento de cómo seencuentra estructurado eldiccionario de datos del aplicativo7Po-er Street Solutions6, antecual$uier problema $ue se puedapresentar
2' ,.ist e e l Mo d elad o d e atos :
.alla/' Implicaciones ecomendaciones
urante la evaluación sepudo constatar $ue elpersonal de tecnología dela empresa no tieneconocimiento delmodelado de datos% *a$ue esa in)ormación lamane/a el proveedor deservicio del sistema
7Po-er StreetSolutions6&
1osibilidad de p4rdida detiempo al hacer traba/os$ue re$uieran ubicar lasituación actual de lasestructuras de datos% porlo cual se puede originarretraso para la solución
6e recomienda $ue el personal detecnología de la empresa% realice lagestión de solicitar al proveedor ladocumentación t4cnica modeladode datos% * así tener ma*orconocimiento de cómo se encuentraestructurado el modelado de datos
m o delado, deben ser e ntre"ados por el pr o ! e edor, en el #o r m ato que ellos manejen, y que per m ita identi #icar cl ara e inequ!ocam ente los datos que almac e na el sist e m a y susrelaciones' (sta en t re " a debe ser compl e m e n tada con un entren a m i ento mn i m o, s o bretodo en los concep t os y descripcio n es del a t ri b uto de cada !ariable de in # or m aci ó n'
3' ,st a im p leme n tad o e l c ontro l d e ac c es o a la ase s d e at o s :
.alla/' Implicaciones ecomendaciones
urante la evaluación sepudo constatar $ue elpersonal de tecnología dela empresa no tieneconocimiento del controlde acceso a bases dedatos% es decir notienen in)ormación de los
usuarios $ue est!naccediendo a la ases de
01osibilidad de acceso ain)ormación por parte deusuarios no autori'ados01osibilidad de p4rdidao destrucción dein)ormación
6e recomienda al personal detecnología de la empresa%
reali'ar mesas de traba/o con elproveedor de mantenimiento del
sistema 7Po-er StreetSolutions68 1ara reali'ar una
depuración de los usuarios $ue seencuentra en la bases de datos *
así tener unme/or control de acceso
8/18/2019 Borrador consol_V2
7/40
6
datos
NOTA; es !iable además que se debe tener una documentación de cómo está estructuradolos usuarios a la 7' (l área de T* debe tener el control de la asi"nación y "esti ó n de losusuarios y lo s pri!il e" i os que se po s een sobre las base de da t os' (n este sentido s e debee/i"ir al pro ! eedor la e ntre"a de la "esti ó n de los usu a rios y s u s pr i ! i le"ios' Al te ner es t econtrol, se podrá i den t i# icar el in!entario de usuarios y la de #inici ó n de los per #iles quedeben tener c on resp e c t o a la aplica c ión'
% e s ti ó n d e P r ov e e d or e s &
9 ,.isten c i a d e polít ic a d e segurid a d d e l a in)ormac ió n p a r a la s relacio n e sc o n lo s pr o veedore s :
.alla/' Implicaciones ecomendaciones
urante la evaluación sepudo evidenciar $ue laempresa no tieneestablecidas políticas deseguridad lógica * )ísica%$ue est4n documentadasen los contratos con losdi)erentes proveedoresde servicios tecnológicos
8 1osibilidad deincidentes $ue a)ecten
a la disponibilidad% lacon?dencialidad o laintegridad dein)ormación
81osibilidad de a)ectarlas operaciones de laempresa debido ap4rdidas de tiempo enla toma de decisionesen casos de incidentesde alto impacto
01osibilidad de creaciónde per)iles de usuarioscon accesos noadecuados% a los nivelesde con?dencialidad de lain)ormación
6e recomienda al !rea detecnología reali'ar mesas de traba/o
con el personal /urídico de laempresa para tener en cuenta elsiguiente aspecto al momento deelaborar el contrato: 7a empresadebe administraradecuadamente la se'uridadló'ica de los recursos deTecnolo')a de la Información,incluso a!uellos !ue seanadministrados o custodiadospor terceros& En consecuenciadeber9 establecer, formali/ar einformar las pol)ticas
procedimientos !ue permitanidenti:car, autenticar autori/ar el acceso a lossistemas de información,operativos de base de datos6&
NOTA; accesoria al respecto' (ste aspecto debe ser un proyecto a ser desarrolladotomando en cuenta el alcance que se le quiera dar al tema de la se"uridad de lain#ormación' 0e podra asesorar para desarrollar este punto' No se pudo ampliar en la
recomendación, ya que no se conoce el alcance del contrato que e/iste o que se est-ne"ociando'
, n lo s c ontr a to s t ien e n estab lecid o s lo s ac u erdo s d e con )idenc ial idad :
.alla/' Implicaciones ecomendaciones
6e pudo constatar $ue elpersonal de tecnología notiene conocimiento de lae.istencia acuerdoscon?dencialidad
1osibilidad de incidentes$ue a)ecten a ladisponibilidad% lacon?dencialidad o laintegridad de
in)ormación
6e recomienda al !rea detecnología reali'ar mesas de traba/ocon el personal /urídico de laempresa para tener en cuenta elsiguiente aspecto al momento de
elaborar el contrato:
8/18/2019 Borrador consol_V2
8/40
BEl personal temporal ocontratado, as) como losusuarios eternos deben :rmarel acuerdo de confidencialidad la no divul'ación de lainformación, antes de !ue seles otor'ue el acceso a lasinstalaciones de procesamientode la información& Por otra
parte, no deber9n tener accesoa las bases de datos de laempresa, en procura demantener la confidencialidad de
NOTA; accesoria al respecto ' 0e les pue d e s u m ini s tra un ej e mplo de lo que p od
9
conte mplar e ste acuer d o de con#idencialidad' Ane/o 1'ra
@ #iene n inven t ari o d e 1 roveedo r es :
6e pudo evidenciar en la evaluación $ue la empresa lleva un inventario de lasdi)erentes empresas de servicios% donde se encuentra nombre del proveedor%nombre del personal de contacto% tel4)onos% servicio $ue o)rece% por e/emplo se
nombra las siguientes empresas: Cantv% Movistar% igitel% 6apis 6ervicios% Morcaetc
E ; + < + C I = * D E + C# * T I *% E * C I+D E T I &
6e le solicitó al personal de tecnología documentación re)erente a lossiguientes aspectos:
9 Contingencia en caso de desastre #iene establecido * documentado ,scalamiento de la Contingencia:@ 6e encuentra establecido los ,scenarios Considerados para una contingencia:
-atural% Humano% #4cnico= ,structura &rgani'acional
.alla/' Implicaciones ecomendaciones
8/18/2019 Borrador consol_V2
9/40
:
6e pudo constatar $ue laempresa no tieneestablecida ladocumentación para laimplementación de planesde contingencia en casode ocurrir cual$uier eventonatural% humano o t4cnico
8 5iesgo de interrupcióndel servicio% $ue puedeimpactar negativamentea la organi'ación * sucapacidad de generaciónde valor
0 1osibilidad de no ubicara los responsables de
e/ecutar el plan decontingencia * con estoel no restablecimiento delas operaciones críticas
0 (mposibilidad de accesoa los recursosin)orm!ticos% sean estospor cambiosinvoluntarios ointencionales% tales comocambios de claves
6e recomienda a la alta gerencia dela empresa asegurar la e.istenciade un plan de contingenciastecnológicas aprobado% )ormali'ado%actuali'ado% implementado *probado ,l plan debe incluircomo mínimo los siguientesaspectos:
a &b/etivo * alcance del plan
de?nido
b Metodología empleada para sudiseo
c (denti?cación de procesoscríticos
d Clasi)icación de los sistemas%aplicaciones% so)tDare * e$uipos2críticos% vitales% sensitivos% etc3
8/18/2019 Borrador consol_V2
10/40
de acceso% eliminacióno borrado )ísicoElógico dein)ormación clave%proceso de in)ormaciónno deseado
e (denti)icación del personalcontacto por !rea * descripciónde sus responsabilidades
#' 5ecursos humanos% ?nancieros *tecnológicos mínimos * necesariospara la recuperación de laoperatividad el negocio
OTA; unos de los planes importante con prioridad para la empresa, es el res"uardo dela in#ormación 7, en al"n sitio se"uro #uera de las instalaciones de la empresa' (l sit i odebe ser de #inido por la e m pre sa en # unción de disponi bil i dad de equ ipos yc o m unicac i ones que pe r m itan m o! e r el respaldo a una instala c ión ubicada en unalocalidad d i stinta y dis t ante del cen t ro don d e s e "enera la in # o r m ac ió n'
S e ' ur i d a d ( )s ic a + m b i en t a l &
,valuac ió n d e l cua r t o dond e s e enc u entr a lo s 6ervi do re s 2 6ed e & pe r ativa3
,valuac ió n d e l cua r t o d e Comu n icac ió n 26 e d e Corpor at iva3
,valuac ió n d e l cua r t o d e Comu n icac ió n 2 e pa r tament o d e # a lent o Hu m ano3
9 Controles )ísicos de acceso:
,l control de acceso constitu*e uno de los servicios de seguridad $ue esindispensable% en !reas $ue represente riesgo para la empresa% en eldepartamento de #ecnología% se evaluaron los controles de acceso en los di)erentescuartos antes mencionados obteniendo el siguiente resultado:
1ara el acceso a las tres !reas se observó una puerta de madera% lo $ue signi?ca$ue el control de acceso es manual
La misma se constató las siguientes observaciones:
.alla/' Implicaciones ecomendaciones
0 6e pudo evidenciar $ueno se tiene una bit!cora deregistro de acceso alcuarto de servidores *comunicaciones
0-o e.iste documentaciónde las normas *
procedimientosre)erentes a la seguridad)ísica% especí)icamente alcuarto de servidores *comunicaciones
0 6e Constató $ue elresguardo del cuarto decomunicación ubicado enel departamento detalento humano no est!ba/o la responsabilidad delpersonal de tecnología
1osibilidad de accesode personas noautori'adas% lo cualpuede ocasionarsabota/e% daosmaliciosos a losdi)erentes e$uipostecnológicos
2Servidores% S-itc,outer, 3odem4% portal motivo impactaríanegativamente laoperatividad de laempresa
Los centros de procesamiento dedatos% tanto principales como loscuarto de comunicaciones% debenser resguardados por adecuadoscontroles de acceso% para lo cual sedeben considerar los siguientesaspectos:
a >tili'ar controles deautenticación para el acceso depersonal autori'ado 2tar/eta%nFmero de identi?cación personal01(-0% carnet% biometría% entreotros3
b 5estringir el acceso apersonal no autori'ado a lasmencionadas instalaciones 1or otraparte% las actividades e/ecutadaspor los visitantes deben sersupervisadas o inspeccionadas% así
como encontrarse registradas enlas bit!coras de)inidas para tal )in
8/18/2019 Borrador consol_V2
11/40
c 5evisar * actuali'arperiódicamente los derechos deacceso a las !reas protegidas orestringidas
A continuación se describe otras recomendaciones $ue se deben tener en cuenta
estipuladas en las me/oras pr!cticas como por e/emplo: IS#2>000% re)erentes alcontrol de acceso al cuarto de servidores * a los dos cuartos de comunicaciones dondese encuentra los siguientes dispositivos: S-itc, outer, 3odem&
ebería n con s idera r s e la s sig u ient e s rec o me n dacion es :
a) la )echa * hora de entrada * salida de visitantes deberían restringirse% * todos losvisitantes deberían ser supervisados% a menos $ue su acceso se ha*a aprobadopreviamente8 el acceso debería concederse sólo para propósitos especi)icados *autori'ados% proporcion!ndoles instrucciones sobre los re$uisitos de seguridaddel !rea * los procedimientos de emergencia La identidad de los visitantesdebería ser autenticada por un medio adecuado8
b) el acceso a las !reas donde se procesa * se almacena la in)ormación sensibledebería ser restringido sólo a las personas autori'adas mediante laimplementación de controles de autenticación% por e/emplo% mediante laimplementación de un mecanismo de autenticación de dos )actores% tales comotar/etas de acceso o tar/etas con nFmero de identi?cación personal
c) todos los empleados% contratistas * partes e.ternas deberían ser obligados autili'ar algFn tipo de identi?cación visible * deberían noti)icar inmediatamente alpersonal de seguridad si encuentran a visitantes no acompaados * a cual$uierpersona $ue no lleve la identi)icación visible
d) debería concederse el acceso restringido del personal de soporte de terceraspartes a las !reas seguras o a las instalaciones sensibles de procesamiento de lain)ormación sólo cuando sea re$uerido8 este acceso debería ser autori'ado *supervisado
NOTA; misma situación debera aplicarse para los pr-stamos de los equipos de *T, bajola bitácora de quien lo presta' ebe que dar re"istrado cu alquier m o ! i m ien t o de unacti!o de in #ormación, indicán d ose, co mo mn i m o, quien e n tre"a y quien recibe , l anaturale$a d e l m o! i mi e nto, la # ec)a y la nu e !a ubicación d el acti! o '
2' 6ensores de Movimiento:
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada laausencia de sensores demovimientos al cuarto delos servidores% comotambi4n a los doscuartos decomunicaciones
1osibilidad de ,ntradas7or'adas% Atracos% *situaciones de secuestro%sin $ue se puedangenerar alarmas
1osibilidad de accesode personas noautori'adas% sabota/e%daos maliciosas a losdi)erentes e$uipostecnológicos2Servidores% S-itc,
outer, 3odem4% portal motivo impactaría
ebido al alto grado de sensibilidad$ue representa las !reas detecnología ?cuarto de losservidores cuartos decomunicaciones4 para la empresa%se recomienda al personal detecnología lo antes posible% reali'arlos tr!mites necesarios $uepermitan incorporar sensores demovimientos% para así reducir elriesgo de robo * sabota/e
8/18/2019 Borrador consol_V2
12/40
1
negativamente laoperatividadempresa
de la
NOTA; es !iable, se debera ejecutar un proyecto para tal #in, ya que esto acarrea costos'a empresa debe de t e r m i nar si con base a su esqu e m a de m an e jo de ries"o, y e l i m pactode un incid e nte so b re e stos acti! o s, justi#ica o no la in!er s ión '
3' C!maras o +ideoc!maras:
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada laausencia de C!maras o+ideoc!maras al cuartode los servidores comotambi4n a los doscuartos de
comunicaciones
La imposibilidad demonitorear * veri?car elingreso de personal noautori'ado al !rea dondese encuentra losservidores * los e$uiposde comunicaciones
S-itc, outer,3odem
6e recomienda instalar c!maras ovideoc!maras adentro del cuartodonde se encuentra losservidores% así como tambi4n en losdos cuartos de comunicaciones% locual a*udaría monitorear elpersonal $ue ingresa a un !rea tan
sensible% por e/emplo: serecomienda instalar Circuito
cerrado de televisión o CCTV.,stos sistemas inclu*en v isió nnocturn a% operaciones asistidas porordenador * d e t e cció n d emovimie n to % $ue )acilita al sistemaponerse en estado de alerta cuandoalgo se mueve delante de lasc!maras La claridad de lasim!genes puede ser e.celente% sepuede trans)ormar de niveles
oscuros a claros
NOTA; tambi-n es !iable, solo sera cuestión de acomodar la posición las cámaras de!i"ilancia de administración, o mudarla de sitio a uno estrat-"ico para !i"ilar el área de*T' O< '
4' ,.tintores:
6e pudo constatar en la inspección $ue la empresa tiene instalado el
siguiente tipo de e.tintor en los di)erentes lugares: Etintor de Polvo @u)mico
Seco ?P&@&S4&
El Polvo @u)mico Seco ?P&@&S4" >n e.tintor consta de un cilindro met!lico $uecontiene un agente e.tintor $ue% o bien debe mantenerse siempre a presión% o bien
se incorpora la presión en el momento de su utili'ación
.alla/' Implicaciones ecomendaciones
6e constató $ue laempresa tiene instaladoEtintores de Polvo@u)mico Seco ?P&@&S4&
1osibilidad causarproblemas para respirar* di)icultar la visibilidaddurante oinmediatamente despu4sde su descarga
6e recomienda al departamento deHigiene * 6eguridad reali'armesas de traba/o con laAdministración General de laempresa% para anali'ar laposibilidad de cambiar los
8/18/2019 Borrador consol_V2
13/40
11
e.tintores de Polvo @u)mico Seco?P&@&S4 a Etintores de C#2" LaBnieve carbónica% sale del e.tintora una temperatura mu* ba/a 20; IC3 ,s m!s pesado $ue el aire *e.tingue el )uego principalmentepor en)riamiento * so)ocación
,s e?ca' para )uegos producidos
por lí$uidos inamables 2Clase 3%pero su ma*or aplicación la tieneen los )uegos el4ctricos 2Clase ,3por no ser conductor * no de/arresiduos
-o es tó.ico * no produce daosni deterioros
NOTA; no tena conocimiento al respecto, sera cuestión de ele!ar la in#ormación a lacoordinadora de )i"iene y se"uridad' O='
6e pudo evidenciar en la evaluación reali'ada la e.istencia de un e.tintor cercano
al cuarto de los servidores% como tambi4n se observó uno cercano al cuarto de
comunicación $ue se encuentra en el departamento de talento humano
#ambi4n se le solicitó el o)icio del Fltimo mantenimiento $ue se le reali'ó al
e.tintor * la constancia de la Fltima inducción $ue se le reali'o al personal para el
uso de los e.tintores% para lo cual no hubo observaciones:
La in)ormación suministrada consta de un in)orme del ultimo mantenimiento
reali'ado a los e.tintores )ue el día ;9 de Julio ;9< por parte de la empresa
Multiservicio la K B,l 1ial8 * la charla participo 9 personas de la di)erentes
!reas de la empresa la cual se e)ectuó )echa ;9E;KE;9< por el )acilitador Lucas
Galvis
.alla/' Implicaciones ecomendaciones
urante la evaluación sepudo constatar la noe.istencia de e.tintorescercanos al cuarto decomunicaciones ubicadoen la sede corporativade la empresa
6urge el riesgoelevado de no podercontrolar conatosincendios con grandesposibilidades de daostanto humano comomaterial
6e recomienda instalar e.tintorde C& cercano al cuarto decomunicación% para así podercontrolar una emergencia deincendio * evitar p4rdidashumanas * materiales
NOTA; )acer la solicitud para ubicar un e/tintor cerca del cuarto de antenas' Ten e r enconsideraci ó n el ti po d e e/tintor r e querido pa r a equipos e l ectróni c os'
.' etectores de (ncendio:
6e pudo constatar en el cuarto de comunicaciones ubicado en la sede corporativa un
detector de incendio
8/18/2019 Borrador consol_V2
14/40
12
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada laausencia de detectoresde incendio en elcuarto de los servidorescomo tambi4n al cuartode comunicación ubicadoen el departamento de
talento humano
La imposibilidad detectarincendios% lo cual podríagenerar daoslamentables tantohumano como a su ve'material en este casoServidores% S-itc,outer, 3odem4
6e recomienda instalar detectoresde incendio adentro del cuartodel servidor * e$uipos decomunicación * así poder detectaruna emergencia de incendio% paraluego proceder aplicar medidaspara controlar el )uego% )acilitar laevacuación * actuar sobre el
sistema de e.tinción >n detectorde incendio es la manera m!sr!pida de luchar contra un incendioantes de $ue sea tarde
OTA; tambi-n ele!ar la in#ormación a la coordinadora de >0' O='
5' Control de #emperatura * Humedad:
6e pudo constatar la presencia de un aire acondicionado de tipo spliter ubicado en
el cuarto de los servidores * tambi4n en los cuartos de comunicaciones
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada laausencia de dispositivosde control de #emperatura* Humedad en el cuarto delos servidores como en loscuartos decomunicaciones
1osibilidad de nodetectar problemas atiempo en los servidores%por e/emplo:recalentamiento por talmotivo pudierana)ectar las operacionesde la empresa
6e recomienda $ue el personal detecnología gestione la ad$uisiciónde dispositivos de control de #emperatura * Humedad
%Termómetro Di'ital4, para así poder tener control diario * luegoregistrarlo en una bit!cora
A continuación se describe otras recomendaciones en este caso -ormas *1rocedimientos para el 5egistro en 7ormato de #emperatura * Humedad:
,l responsable del registro en Bit!cora para el Control de Lectura latemperatura * humedad es el personal de tecnología 2Analista3 el6upervisor veri)ica este control * velar! por$ue se mantengan los nivelesde temperatura óptimos
,l personal de tecnología 2Analista3 deber! tomar registro en it!cora de latemperatura * la humedad al iniciar /ornada
,ste proceso deber! reali'arse diariamente * almacenar cada uno de los
registros para llevar el control * las estadísticas de la temperatura a las $uese encuentran sometidos los e$uipos
6egFn las me/oras pr!cticas se recomienda La temperatura debería ser constanteen un arco de 20 a 22 'rados cent)'rados% * la humedad no debería ser entreA0 un 50B&
NOTA; que se )ace con esta bitácora si se instala este tipo de dispositi!o, para quienesle ser!ira? (sta b itác o ra debe ser res"ua r da d a, y deber a ser ! eri # icada m ens u a l m ente
para dete r m inar posi bl es des!iaciones que p udieran alertar de c a mbios que pudierana#ectar los equipos ' e ser posibl e , se deb e n de # inir los !alores m n i m os y má/ i m os
pe r m itidos de t e m pera t ura y )u m edad, to m a n do en c uenta l as c o ndi c iones est a blecidas por los pr o !eedore s '
>16 e (nstalaciones el4ctricas 6eguras
8/18/2019 Borrador consol_V2
15/40
13
6e pudo evidenciar en la evaluación reali'ada la presencia de dos e$uipos de >16e.clusivos * conectados a los servidores% igualmente se constató >16 decontingencia #ambi4n se pudo evidenciar $ue las instalaciones el4ctricas del cuartodonde se encuentra los servidores est!n protegidas por tubería
5e)erente al cuarto de comunicación ubicado en la sede corporativa se evidencióun >16 e.clusivo para los e$uipos de comunicaciones S-itc, outer, 3odem
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada$ue elcoordinador de #( es elencargado de reali'ar lagestión con el proveedor%igual nos comunicó $uesolamente se llama elproveedor cuando se daael >16
1osibilidad de no reali'aruna adecuada gestión demantenimiento% lo cualpuede impactarnegativamente laoperativa de losservidores% a su ve'p4rdida económica parala empresa
6e recomienda $ue elmantenimiento de los >16 seapreventivo lo cual permite $ue ele$uipo )uncione en condicionesóptimas de operación% a*uda a $ueel e$uipo e.tienda al m!.imo suvida Ftil% elimina los problemas deenergía% permitiendo a la empresaun traba/o continuo * sininterrupciones% a la ve' $ue permite
programar un servicio predictivo$ue optimice el )uncionamiento dele$uipo
#ambi4n se recomienda $ue lapersona encarga de reali'ar l agestión de l monit ore o de elmantenimiento de los >16 no seael personal de #( de la empresa% *a$ue es una actividad a/ena a laoperativa tecno lógic a d e l aempresa
NOTA; es decir que sera el pto' de *n#raestructura la "estión de mantenimiento de losequipos e *T lle!ar la tutela de que se cumpla' 0e m odi # ica la rec o mendación, y a que elm o nitoreo de q ue se c uente con un esqu e m a de m ante ni m ien t o per i ódico y su # iciente, yque se aplique, d ebe s er de T* , lo que corr e sponde a un área de i n # raestructura es elm a nten i m ie nto en s '
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en lainspección la carencia de>16 para los e$uipos decomunicaciones en elcuarto ubicado en eldepartamento de
Talento umano&
La posibilidad de $ueocurra una )alla el4ctricalo cual puede originar lasuspensión de servicio delos e$uipos decomunicación * a su ve'daos a los mismos% portal motivo impactaríanegativamente laoperatividad de laempresa% lo cualgeneraría p4rdidaseconómicas
6e recomienda al personal detecnología la gestión para instalarun >16 para los e$uipos decomunicaciones en el cuartoubicado en el departamento de #alento humano% para así evitar
daos a los e$uipos
NOTA; es necesario un @+0 o podemos usar un re"ulador supresor de picos decorriente? o ideal es un @+0, ya que el equipo no estara sujeto a cadas no controladas,lo cual dara oportunidad de )acer un apa"ado en condiciones adecuadas' e i"ualmanera, la decisión debe ser tomada en #unción de las condiciones de suministro el-ctrico
propias de la $ona, y el impacto que pudiera tener sobre el #uncionamiento de los
8/18/2019 Borrador consol_V2
16/40
NOTA; necesitó asesora al respecto' 0e podra trabajar un soporte adicional para apoyar
en la normali$ación de la in#raestructura de cableado (sto es un proyecto'
14
equipos'
1ara las instalaciones el4ctricas de los dos cuartos de comunicaciones seevidencio la siguiente observación:
.alla/' Implicaciones ecomendaciones
urante la evaluaciónse observó $ue lasinstalaciones el4ctricas no
se encuentran encondiciones adecuadas deseguridad% es decir loscables est!n )uera de lastuberías
,n las instalacionesel4ctricas% e.isten dostipos de riesgo
ma*ores: 0 Las corrientesde cho$ue * lastemperaturas e.cesivas%capaces de provocar$uemaduras% incendiose.plosiones u otrose)ectos peligrosos
6e recomienda al !rea detecnología reali'ar mesas de traba/ocon el departamento de
in)raestructura para poder mitigarestos peligros de alto riesgo% * así evitar daos Humano * material
NOTA; es !iable' O='
K Cableado
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada lacarencia de identi)icacióndel cableado de red25J=
8/18/2019 Borrador consol_V2
17/40
1.
p4rdidas económicas
NOTA; (s necesario un lu"ar de depósito para *T' O='
Cuarto s d e C o munic a ci o ne s 26e d e Co r porat iva 3 * 2e pa rtam e nt o d e # a lent o H u mano 3
.alla/' Implicaciones ecomendaciones
6e pudo observarmateriales inamablesen el cuarto de servidores
#ambi4n se observóproblemas de humedad *?ltraciones en el cuartode comunicación 26edeCorporativa3
1osibilidad de generarsiniestros $ue a)ecten alos e$uipos decomunicaciones% * $uepuedan impactar laoperatividad de laempresa * generep4rdida económica
6e recomienda reubicar enotro sitio los materiales $ue notienen nada $ue ver con el cuartodonde se encuentra los servidores *e$uipos de comunicaciones
#ambi4n se recomienda al !rea detecnología reali'ar reuniones con eldepartamento de in)raestructurapara proceder a la reparación delas )iltraciones de humedad
NOTA; ele!ar la in#ormación a cada dpto' O='
Evaluac ió n d e l Esp a ci o ()sic o d e l a Plan t a E lctri ca "
Controles )ísicos de acceso:
1ara el acceso se observó una puerta met!lica% lo $ue signi?ca $ue el
control de acceso es manual% * la llave est! ba/o la responsabilidad de dos
personas:
o Johon 1ipo 00 Je)e de (n)raestructura
o Jose Gregorio Chacón 0 Je)e de #aller
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar $ueno se cuenta con unabit!cora de registro deacceso al espacio )ísicodonde se encuentra laplanta el4ctrica
1osibilidad de acceso depersonas no autori'adas%lo cual puede ocasionarsabota/e% daosmaliciosos a la plantael4ctrica
a >tili'ar controles deautenticación para el acceso depersonal autori'ado 2tar/eta%nFmero de identi?cación personal01(-0% carnet% biometría% entreotros3
b 5estringir el acceso apersonal no autori'ado a lasmencionadas instalaciones 1or otraparte% las actividades e/ecutadaspor los visitantes deben sersupervisadas o inspeccionadas% así como encontrarse registradas enlas bit!coras de)inidas para tal )in
6ensores de Movimiento:
8/18/2019 Borrador consol_V2
18/40
15
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada laausencia de sensores demovimientos al espacio)ísicos donde seencuentra la plantael4ctrica
1osibilidad de ,ntradas7or'adas% Atracos% *sabota/es% sin $ue sepuedan generar alarmas
ebido al alto grado de sensibilidad$ue representa la planta el4ctricapara la empresa% se recomienda alpersonal de (n)raestructura lo antesposible% reali'ar los tr!mitesnecesarios $ue permitan incorporarsensores de movimientos% para así reducir el riesgo de sabota/e * dao
C!maras o +ideoc!maras:
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada laausencia de C!maras ovideoc!maras al espacio)ísico donde se encuentrala planta el4ctrica
La imposibilidad demonitorear * a su ve'veri?car el ingreso depersonal no autori'ado al!rea donde se encuentrala planta el4ctrica% locual puede ocasionarsabota/e% o daosmaliciosos a la plantael4ctrica
ebido al alto grado de sensibilidad$ue representa la planta el4ctricapara la empresa% se recomienda alpersonal de (n)raestructura lo antesposible% reali'ar los tr!mitesnecesarios $ue permitan incorporarc!mara * videoc!maras% para así reducir el riesgo de sabota/e * dao
,.tintores:
urante la evaluación de pudo evidenciar la presencia de un e.tintor ubicado en las
instalaciones donde se encuentra la planta el4ctrica
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laeti$ueta o rotulo impresoen el e.tinguidor la )echade Fltimo mantenimiento Junio ;9=% es decir llevaun ao * medio se reali'armantenimiento
6urge la posibilidad $ueal utili'arlo en unmomento de emergencia2(ncendio3% est4 averiado%con lo cual seríaimposible controlarconatos de incendiocon grandesposibilidades de daosHumanos * materiales
6e recomienda $ue el personal deldepartamento de Higiene&cupacional gestione algFn controldonde se pueda constatar $ue laempresa $ue reali'a elmantenimiento de los e.tintorese/ecutó el traba/o planteado8 * así aseguren la integridad del personal$ue reside dentro o cerca deestas instalaciones% * de losactivos de in)ormación antecual$uier conato de incendio $uepuede surgir en cual$uiermomento
Detectores de Incendio"
.alla/' Implicaciones ecomendaciones
6e pudo evidenciar en laevaluación reali'ada la
La imposibilidad dedetectar un incendio%
6e recomienda instalar detectoresde incendio adentro de las
8/18/2019 Borrador consol_V2
19/40
16
ausencia de detectoresde incendio en lasinstalaciones )ísicas dondese encuentra la plantael4ctrica
lo cual podría generardaos lamentables tantohumanos como a su ve'materiales en este casola Planta Elctrica&
instalaciones )ísicas de laPlanta Elctrica, * así poderetectar una emergencia deincendio% para luego procederaplicar medidas para controlar el)uego% )acilitar la evacuación *actuar sobre el sistema dee.tinción >n detector deincendio es la manera m!s r!pida
de luchar contra un incendioantes de $ue sea tarde
#bserva c ione s %ene r al e s "
.alla/' Implicaciones ecomendaciones
6e le solicitó al /e)e de(n)raestructura soporte delFltimo mantenimiento dela planta el4ctrica% para lacual se nos comunicó $ueno e.istía ningFn respaldopor escrito de los traba/os$ue se reali'aron a laplanta el4ctrica
6e evidenció $ue en laparte in)erior de la plantael4ctrica% la e.istencia deresiduos de gasoil% paralo cual se nos in)ormó 2el
/e)e de in)raestructura3$ue era consecuencia dela carga o suministro degasoil hacia la planta
6e evidenció cinco 2
8/18/2019 Borrador consol_V2
20/40
distintos puntos de la red con el ?n de obtener los datos necesarios paradeterminar su estado actual
e las observaciones hechas% se desprenden los siguientes halla'gos:
.alla/'o Implicaciónies' ecomendacCable de red
troncal mu* largo2cerca de ;mts3
entre el almac4n * elFltimo sDitch dispuestoen ese cable Lacanali'ación estacompartida con cablesde electricidad
Cone.ión inestable poratenuación del medio detransmisión% ocasionando
p4rdida de pa$uetes portiempo de espera agotado(nter)erencia el4ctrica por elcableado el4ctrico cercano
5econ?gurar latopología de la redhacia una solución
m!s estable 1or lavisual evaluada * elespacio )ísico dispuesto%se puede reali'ar unacone.ión inal!mbricapunto a punto cone$uipos de gama alta%puesto $ue )uncionaríacomo troncal entre lao?cinaadministrativa *almac4n
-o e.istesegmentación en lared
Cual$uier tr!)ico puede serdirigido a toda la red sinningFn control Los clientespueden llegar a los servidoressin restricción alguna6ervicios locali'ados puedencongestionar toda la red
6eparar el dominio decolisiones utili'andoe$uipos activosdentro de la red 2,/:,nrutadores% ?reDallinterno3
6Ditchs en cascada noidenti)icados
1erdida de pa$uetes porcongestión de troncalesinternos Crecimientodesorgani'ado de la
in)raestructura de redegradación del)uncionamiento
&rgani'ar *documentar todos lospuntos de red Con el?n de levantar un plano
detallado de la red)ísica
i)erencias entre lasversiones de ?rmDarede los e$uipos >bi$uiti$ue )ungen de enlaceentre las sedes -o setiene habilitado elprotocolo AirMa. entreellos
isparidad en las )uncionesde seguridad * rendimientode los e$uipos 5endimientodel enlace de?ciente
Actuali'ar el?rmDare de lose$uipos * revisar lascon?guracionesreali'adas% con el ?nde habilitar )unciones$ue contribu*an consu )uncionamiento
Los puntos instalados
no llegan a ca/etines6alen del patch panesdirecto al e$uipocliente
Maltrato en el cable puede
a)ectar directamente elpunto de red hasta el patchpanel Crecimientodesordenado * di?cultad en eldiagnóstico de )allas decual$uier e$uipo
(nstalar los cables
provenientes delpatch panel aca/etines donde seconectan los clientesmediante patch cords%evitando el deteriorodel punto de red
Los puntos de red noest!n identi)icados
Ante una )alla eldiagnóstico no se puedereali'ar ,l crecimiento de lared no puede reali'arse de)orma ordenada% pudendocrear cuellos de botella anteuna e.pansión
(denti)icar lospuntos de red tantoen ca/etines de clientescomo en el patch panel
8/18/2019 Borrador consol_V2
21/40
Conclusión: Con los halla'gos identi?cados se puede determinar algunassituaciones me/orables en la topología de la red ,n consecuencia% se a)ecta elrendimiento de las comunicaciones tanto internas como e.ternas de la redcorporativa% di?cultando el intercambio de datos entre las distintas sucursales%puesto $ue el rendimiento )ísico no es el óptimo 6e sugiere hacer una revisióne.haustiva de los e$uipos instalados en la red% así como reali'ar un inventario de lospuntos instalados * activos Así mismo procurar la eliminación de los sDitchpe$ueos% para evitar congestión interna% pudiendo a)ectar las comunicaciones * el
rendimiento general de la red
#ambi4n se pudo identi?car una con?guración me/orable en la cone.ión entre la sedecorporativa * la sede de operaciones ,l e$uipo principal de comunicaciones est! en lasede corporativa * todo el tr!)ico generado proviene de la sede de operaciones%pasando por dos enlaces inal!mbricos antes de salir a internet 6e sugiere trasladarlos e$uipos de comunicación principales 2,/: ,n la 6ede de &peraciones% con el ?n deeliminar el tr!?co inal!mbrico hacia la sede corporativa para luego salir a internetHaciendo esto se libera un enlace inal!mbrico $ue puede ser utili'ado parainterconectar el almac4n con la o)icina administrativa
NOTA; para mejorar la red se tiene que ejecutar !arios proyectos con el
imiento del deber ser, es decir que de esta aparte está claro !arios proyectoejorar; 1'8 mudar la antenas de *B*T( a la sede operati!a, 2'8 eliminar la
ón de cable para el área de operaciones y ponerlo de manera inalámbrica, 3'8ar la red y estructurar de nue!o los puntos de red local, 4'8 documentar todo
consent para m
cone/i
certi#iclo concerniente a la red' O= ' (sto es un proyecto'
Control evaluado: Con?guración lógica de la red
(denti)icar la con?guración lógica actual de la red% con el )in de determinar cual$uier
situación no deseada $ue pudiese estar causando problemas de )uncionamiento *seguridad% degradación en el servicio o rendimiento general>na ve' hechas las capturas de datos * las observaciones necesarias% se
describen los halla'gos encontrados:
.alla/'o Implicaciónies' ecomendac,l acceso a internetpor parte de losclientes no est!controlado Cual$uierusuario puede accedera recursos Deb sinrestricción% control o
monitoreo
Consumo e.cesivo de anchodebanda Acceso libre a recursosriesgosos * de ocio de la Deb2,/: 5edes sociales% videos enlínea% p!ginas indebidas%descargas de mFsica3 5iesgode in)ecciones de virus *malDare 7alta de monitoreo* control de las actividades dela red corporativaegradación en lacomunicación * acceso a losservicios remotos intersucursales
Habilitar e$uipos decontrol de ancho debanda 2,/: 7ireDall%1ro.*% control decontenido3% donde sepueda monitorear *regular el uso deinternet por parte delos clientes de la redcorporativa ,vitandoel desperdicio deancho de banda enrecursos Deb $ue no)orman parte delnegocio
Los clientes soncon?gurados por unHC1
-o ha* una identi)icaciónprecisa de la ubicación )ísicadel e$uipo Ante un incidenteno es )!cil determinar donde
se encuentra para tomarlas
Crear un mecanismodeasignación dedirecciones
gestionado por lacoordinación de
8/18/2019 Borrador consol_V2
22/40
8/18/2019 Borrador consol_V2
23/40
21
6in embargo dos de estas licencias se encuentran inactivas% el personal detecnología argumentó $ue era motivado a $ue los servidores se encontraban enmantenimiento8 por otra parte% se mani)estó $ue para el resto de e$uipos de laempresa se ha implementado el so)tDare de antivirus avast versión gratuita
A continuación se re)erencian los siguientes halla'gos del punto:
.alla/'os Implicación ies'os
ecomendación
,n la organi'ación no sereali'an actividades paraconcienti'ar al personalsobre procedimientos *responsabilidades deprevención de so)tDaremalicioso
1osibilidad deinterrupciones deservicios a)ectando laoperatividad de laorgani'ación8 alteración%robo o p4rdida dein)ormación% accesos noautori'ados
6e recomienda de)inirpolíticas * normas $uede?nan procedimientos* responsabilidadessobre la prevención delso)tDare malicioso porparte de los empleados%de la misma maneragenerar * plani)icaractividades $uepermitan concienti'ar al
personal sobre dichaspolíticas% normas *procedimientos
,n las estaciones detraba/o * servidores dedesarrollo se implementó laversión gratuita de Avastantivirus% la cual carece deciertas características deprotección incluidas solo enversiones pagas% por lo
$ue un atacante puedeaprovecharse de estasvulnerabilidades
1osibilidad de accesosno autori'ados%divulgación dein)ormación sensible% op4rdida de in)ormación
6e recomiendaimplementar solución deantivirus corporativo% conlicenciamiento para todoslos e$uipos presentes enla red de la organi'ación
,l servicio ad$uirido conel so)tDare de antivirus1anda contempla lagestión centrali'ada atrav4s de una inter)a' Debinterna * e.terna% peropara el caso de la versiónAvast Gratuito no% por lo$ue su administraciónse debe reali'ar en cadam!$uina hu4sped% lo cualno garanti'a $ue est4naplicadas todas lasactuali'aciones en cadae$uipo * alertas notratadas adecuadamente
1osibilidad deinterrupciones deservicios8 alteración%robo o p4rdida dein)ormación% accesos noautori'ados
(mplementar solución deantivirus $ue permita lagestión centrali'ada%permitiendo garanti'arla aplicación correcta deparches deactuali'ación * gestiónadecuada de alertas deseguridad generados porlos mismos
Las actuali'aciones sereali'an desde cada
Aumento de consumode ancho de banda
6e recomiendaimplementar repositorio
8/18/2019 Borrador consol_V2
24/40
e$uipo hacia internet% losmismos podrían estarconect!ndose a la mismahora para descargarse lamisma actuali'ación del?chero de ?rmas% es no seconsidera e?ciente
a)ectando los tiemposde respuesta deservicios de red *generando lentitud enlas comunicaciones
o servidor de distribución%$ue consiste en une$uipo $ue se conectaa interne actualice el o los?cheros * luego lodistribu*a al resto dentrode la red local
Conclusión"
La empresa cuenta con niveles de seguridad protección de so)tDare malicioso% sinembargo% en base a los halla'gos mani)estados% se re$uiere $ue dicha gestión seame/orada% en este sentido a continuación se re)erencian una serie derecomendaciones basada en las me/ores pr!cticas para una adecuada gestión deso)tDare de antivirus:
0 A nivel corporativo se considera obligatorio $ue los 1C $ue con)orman la redempresarial e incluso los e$uipos Móviles est4n protegidos con una soluciónAntivirus licenciada ,sto es necesario para disminuir el riesgo de perderin)ormación% dinero * tiempo por un problema de in)ección
0 La gestión de antivirus debe ser tratada como una )unción importante dentro del!rea de #(% se debe asignar responsable% delegar )unciones * capacitar alpersonal de #( para $ue el mismo responda por la administración del Antivirus
0 (mplementar soluciones de antivirus con consola de administracióncentrali'ada% garanti'ando la disponibilidad de acceso a la misma * utili'armecanismos de autenti?cación robustos para su acceso ,s importanterevisar periódicamente la consola con el ?n de identi?car si todos los e$uipos hansido actuali'ados * $ue amena'as se han detectado
0 Generar reportes $ue permitan reali'ar an!lisis en el tiempo% por e/emplocuales son las detecciones $ue se han reali'ado en la red% esto puede a*udar aidenti?car cu!les pueden ser los puntos con ma*or vulnerabilidad en la compaía
0 6e debe contemplar charlas de concienti'ación * capacitación al personalgeneral sobre el so)tDare malicioso indicando procedimientos * responsabilidadesde prevención% por e/emplo sobre el uso de los medios e.traíbles pendrive
0 1ara la implementación de la solución se recomienda contemplar los controlescontenidos en la guía de buenas pr!cticas (6& ;;:;9@ Q 9 1rotección ante6o)tDare malicioso
NOTA; proyectar una implementación de anti!irus de "estión amplia, sin embar"o escuestión de e!aluar cotos y bene#icios' As es, se debe e!aluar el im p acto que podr atener un e! e nto de e ste tipo y to mar la dec i sión que corres p onda' +royecto '
%estionar la se'uridad de los puestos de usuario final&
,n la empresa no se tienen establecidas normas * políticas de seguridad de lain)ormación $ue regulen el uso de los e$uipos% servidores% port!tiles% so)tDare% red *otros dispositivos así como las operaciones de #(
A continuación se re)erencian los siguientes halla'gos del punto:
8/18/2019 Borrador consol_V2
25/40
.alla/'os Implicación ies'os
ecomendación
-o se encuentrande?nidas líneas basesde con)iguración deseguridad para lossistemas operativos%se observó $ue la
empresa cuenta consoporte e.terno $ue seencarga de reali'artareas de )ormateo einstalación desistemas sin controles oguía deimplementación% estopuede provocar pore/emplo $ue e.istanusuariosadministradores sincontrasea o concontraseas d4biles%puertos abiertos%so)tDare instalado sinautori'ación $uepueden traducirse envulnerabilidades
1osibilidad de lapresencia de so)tDaremalicioso en los e$uiposde la red% Accesos noautori'ados%alteración robo o
p4rdida de in)ormaciónsensible
6e recomienda disear* documentar normas$ue regulen lacon?guración de losservidores * estacionesde traba/o% basado en
buenas pr!cticas $uecontribu*an a aumentarlos niveles de seguridadde la in)ormación pore/emplo:
Cambiar nombre deusuario administradorde sistema operativo,stablecer niveles decomple/idad para lascontraseas de losusuarios
eshabilitar usuarioinvitado(mplementar políticasde caducidad decontraseas con el ?nde disminuir el riesgoante situaciones comoel robo de contraseaGaranti'ar instalaciónde antivirus *actuali'ación (nhabilitarcarpetas compartidaspor de)ectoe?nir so)tDarepermitido por laorgani'ación por !reas odepartamentos
-o se cuenta conpolíticas de blo$ueo dedispositivos o mediose.traíbles
1osibilidad de robo dein)ormación%instalación de so)tDareno autori'ado% in)ecciónpor so)tDare malicioso
6e recomienda disear *documentar políticas deblo$ueo de dispositivos omedios e.traíbles $ue noa)ecten la operatividadde la organi'ación *a
$ue puede haber casos osituaciones donde sere$uiera su uso% por lo$ue se recomiendaestablecer controles $ueregulen su utili'ación *mitiguen las amena'as
8/18/2019 Borrador consol_V2
26/40
-o se han de?nidoprocedimientos declasi?cación de lain)ormación segFn suimportancia * sensibilidadpara la organi'ación% lo$ue puede implicar en$ue e.ista in)ormación
almacenada enservidores * estacionesde traba/o sin adecuadosmecanismos deprotección% por e/emplocontabilidad% cuentasbancarias% in)ormación declientes% proveedores%)acturación%inventarios% personalinternos
1osibilidad de robo%alteración% divulgación noautori'ada o perdida dein)ormación sensible parala organi'ación
La in)ormación $uepuede ser usada por
delincuencia organi'adapara eventos comorobos% e.torciones%secuestros entre otros
6e recomienda a laorgani'ación reali'ar unan!lisis $ue permitaidenti)icar * documentarlos activos dein)ormación% de la mismamanera establecercriterios $ue permitan
asignar niveles declasi?cación basado en laintegridad%con?dencialidad *disponibilidad de lamisma * establecermecanismos deprotección segFn elnivel otorgado% como pore/emplo controles deacceso% encriptación dela in)ormación% entreotros
-o e.istenprocedimientos dedesincorporación dedispositivos * mediosde almacenamiento de)orma segura
1ueden e.istirdispositivos o mediosde almacenamientodesincorporado delambiente productivo dela empresa% conin)ormación sensible $uepuede ser recuperada *usada con ?nesnegativos para la
organi'ación
6e recomiendaestablecer * documentarprocedimientos dedesincorporación dedispositivos * mediosde almacenamientocomo por e/emplo parael caso de discos duro%garanti'ar la destrucción)ísica antes de
desecharlos
Conclusión"
Garanti'ar $ue los puestos de usuario ?nal 2es decir% port!til% e$uipo sobremesa%servidor * otros dispositivos * so)tDare móviles * de red3 est!n aseguradosadecuadamente% debe ser una tarea ineludible por la organi'ación * el !rea de #(% essumamente importante establecer controles $ue permitan resguardar * proteger lain)ormación $ue se procesa * se almacena en la organi'ación% buscando mantener lacon)idencialidad% la disponibilidad e integridad de la misma
NOTA; es necesario la asesora sobre estas polticas y procesos sobre el clientecompaCado de cómo debera ser un estándar para el manejo o con#i"uración#inal, a
de un usuario por parte *T' 0e podra contratar un soporte adicional para ayudar a
de#inir las tareas re ueridas' +royecto'
%estionar la identidad del usuario el acceso ló'ico&
urante la visita se pudo evidenciar $ue en la empresa no se reali'an ni se tienendocumentados procedimientos para la gestión de identidad * acceso de usuario a lossistemas operativos de la organi'ación * servicios de red
,n cuanto al sistema corporativo BPo-er Street Enterprise6, cuenta conde?nición de per)iles de usuarios% para el acceso por !reas de negocio
8/18/2019 Borrador consol_V2
27/40
A continuación se re)erencian los siguientes halla'gos del punto:
.alla/'os Implicación ies'os
ecomendación
,l acceso a lossistemas operativos *servicios de 5ed enlas estaciones detraba/o no seencuentranrestringidos
1osibilidad deaccesos noautori'ados%divulgación dein)ormación sensible%sabota/e interno
6e recomiendarestringir el acceso alsistema operativo *servicios de redmediante laimplementación decuentas de usuarioscon derechos deacceso de acuerdo alos re$uerimientos desus )unciones
,l acceso de los
servicios de red sereali'a a trav4s delusuario de inicio desesión por de)ecto $uetiene con?gurado cadam!$uina% por e/emplovarias m!$uinas seautenti)ican con elusuarioAdministrador
(mposibilidad de
detectar accesos noautori'ados%i?cultades demonitoreo * rastreode accesos lógicos
6e recomienda asignar
( de identi)icaciónde usuario para cadapersona con acceso acomputadoras *servicios de red enla organi'ación% estos( deben ser utili'adospara la creación decuentas de usuariosindividuales
Ante la ausencia de
gestión de acceso deusuarios% no secontemplanprocedimientos decreación% modi?cación *eliminación de cuentasde usuario
1osibilidad de la
e.istencia de usuarioscon derechosadministrativos $ue nocumplen una )unciónespecí)ica * pueden serusados por atacantesClaves de accesod4bilesClaves de acceso deusuario administradorescompartidas por muchosusuarios
6e recomienda disear *
documentarlosprocedimientos $uepermitan reali'ar lastareas de gestión decuentas de usuario loscuales deben contemplarsituaciones como lasolicitud de creación deun nuevo usuario%inactivación oactivación de cuentasde usuario% por e/emploante las salida depersonal porvacaciones8 *eliminación de cuentasde usuarios cuando pore/emplo un traba/adorse retira de laorgani'ación
-o se tiene un adecuadocontrol sobre las cuentascon privilegios de
administrador% elpersonal general
1osibilidad de cambiosde con?guración noautori'ados% sabota/e%
interrupciones deservicios% instalación
6e recomienda de?nir *documentar losprocedimientos% normas
* políticas $ue regulen eluso de usuario con
8/18/2019 Borrador consol_V2
28/40
utili'a cuentas locales enlas estaciones detraba/o con privilegios deadministración
de so)tDare noautori'ado% accesos noautori'ados
privilegios% estos debenser utili'adosFnicamente por elpersonal de #(% paragestiones demantenimiento * soportedebidamente autori'ado
Conclusión">no de los elementos primordiales en la organi'ación es la Gestión de acceso lógico
a los sistemas * recursos de red% como se pudo evidenciar actualmente la empresa nocuenta con una gestión adecuada de cuentas de acceso de usuario e identi)icación%por lo se considera )undamental * necesario de?nir * documentar procedimientos paradicha administración8 es importan aclarar $ue reali'ar esta gestión de )orma locales decir en cada e$uipo puede resultar comple/a * re$uerir grandes inversionesde tiempo * recursos humanos *a $ue cada cambio% sea creación% modi?cación oeliminación% entre otras cosas% debería e/ecutarse por parte del personal de ti en cadam!$uina $ue lo re$uiera de la organi'ación% en este sentido se propone * recomienda$ue dicha gestión se realice de manera centrali'ada
6e pude observar $ue en la empresa se utili'a ma*oritariamente la plata)ormaWindoDs por lo $ue una buena opción sería utili'ar Active irector* como herramientade gestión centrali'ada% ,s decir% en lugar de tener usuarios locales * permisosen cada computadora% todo es administrado en un dominio Fnico desde un servidor
Active irector*% es un servicio establecido en uno o varios servidores endonde se crean ob/etos tales como usuarios% e$uipos o grupos% con el ob/etivo deadministrar los inicios de sesión en los e$uipos conectados a la red% así comotambi4n la administración de políticas en toda la red% permite a los administradoresestablecer políticas a nivel de empresa% desplegar programas en muchos ordenadores* aplicar actuali'aciones críticas a una organi'ación entera >n Active irector*almacena in)ormación de una organi'ación en una base de datos central%organi'ada * accesible 1ueden encontrarse desde directorios con cientos de ob/etos
para una red pe$uea hasta directorios con millones de ob/etos
A continuación se re)erencian algunas venta/as de la administración centrali'ada:
+orro de tiempos" esta es la principal venta/a al administrar servicios de)orma centrali'ada 1or e/emplo% si el !rea de (# debiera con?gurar ciertos
permisos en ciertos usuarios en un es$uema descentrali'ado% deberían acudir
e$uipo por e$uipo aplicando los cambios ,n una red e.tensa 2R9;; e$uiposS
R
8/18/2019 Borrador consol_V2
29/40
3aor capacidad de an9lisis" si se desea conocer cierta in)ormaciónsobre un servicio es posible obtenerla directamente desde el servidor%
optimi'ando la capacidad de an!lisis
#r'ani/ar los e!uipos en 'rupos" (ndependientemente de su ubicación)ísica% es posible organi'ar los e$uipos en grupos% por e/emplo% segFn el
departamento del $ue son parte% * así poder aplicar con)iguraciones
especí)icas segFn los par!metros $ue se desee
NOTA; para )acer la instalación de un acti!e irectory se necesita al menos
ble dos %2& ser!idores que trabajen en espejo? +ara ir pensando en esta
si un equipo se daCa, es #undamental que todo pueda trabajar en un se"undodisponi
opciónequipo' on la in # raes t ructura de equip o s que poseen es posible q ue no se requie r a
la c o m pra de n ue!os ser!idores, si se apli c a !irtuali$ac i ón sobre los que y a s e
tienen' o m o contin" e ncia, si se d e be te n er un ser!i d or de respa ld o, que pudie r a
ser direccio n ado en c a s o de # alla del princi p al' +royecto '
Supervisar la infraestructura para detectar eventosrelacionados con la se'uridad&
,n la empresa no se tienen establecidos procedimientos de monitorio de eventosrelacionados con la seguridad de la in)ormación $ue permitan detectarsituaciones como accesos no autori'ados #ampoco se observaron herramientas $uecontribu*an a la e/ecución de dichas tareas
A continuación se re)erencian los siguientes halla'gos del punto:
.alla/'os Implicación ies'os
ecomendación
-o se tienenestablecidosprocedimientos demonitorio de eventosrelacionados con laseguridad de lain)ormación
1osibilidad de eventos$ue pueden provocarinterrupciones deservicios% espiona/e%p4rdida de dineros $ueno son detectadosoportunamente * enconciencia no aplicarcorrectivos
6e recomienda disear *documentarprocedimientos $uepermitan monitorearactividad re)erente aaccesos v!lidos%accesos )allidos%cambios no autori'adosde con?guración%denegación deservicios% uso indebido
de los recursostecnológicos%incumplimiento depolíticas internas de laorgani'ación% entreotros
-o se revisan ni segestionan los eventosde sistemaperiódicamente
1osibilidad de eventosde seguridad nodetectados%vulnerabilidades $ue nose mitigan o eliminan
6e recomienda disear *documentarprocedimientos derevisión * evaluación deeventos de seguridad desistemas los cuales
deben contemplarelementos comoidenti)icación de
8/18/2019 Borrador consol_V2
30/40
)uentes de in)ormaciónpor e/emplo Logs desistemas8almacenamiento deregistro de eventos%rotación del registro deeventos% resguardo comoevidencia digital% an!lisis%generación de alertas%
entre otros 1ara el casode los servidores *estaciones de traba/oWindoDs antes de aplicarevaluación se debentomar decisionesre)erentes a lasdirectivas de evaluacióndel sistema% las cualesespeci?ca las categoríasde eventos relacionadoscon la seguridad $uedesea auditar
La empresa no cuentacon herramientas demonitoreo de eventos deseguridad
i?cultad para elan!lisis% dado losgrandes volFmenes dein)ormaciónActividades demonitoreo pocoe?cientes
6e recomienda identi)icarherramientas $ue sirvande apo*o a las labores demonitoreo de seguridad$ue sean adaptables a laar$uitecturatecnológica de laorgani'ación% esimportante conocer $uee.isten herramientaspagas * herramientasbasadas en so)tDare libre$ue pueden ser unabuena opción
Conclusión"
6e considera sumamente importante $ue la empresa cuente con mecanismos $uepermitan reali'ar supervisión sobre la in)raestructura tecnológica para detectareventos relacionados con la seguridad% de la misma manera implementarherramientas $ue permitan la detección oportuna mediante la generación dealertas autom!ticas
A Continuación se aclaran puntos re)erentes a directivas de evaluación de sistemaoperativo WindoDs * se re)erencias herramientas para el monitoreo de eventos deseguridad:
Directiva DeEvaluación
>na directiva de evaluación especi?ca las categorías de eventos relacionados con laseguridad $ue desea auditar Cuando esta versión de WindoDs se instala porprimera ve'% todas las categorías de evaluación est!n deshabilitadas Al habilitar
8/18/2019 Borrador consol_V2
31/40
varias categorías de eventos de evaluación% puede implementar una
8/18/2019 Borrador consol_V2
32/40
directiva de evaluación apropiada para las necesidades de seguridad de suorgani'ación
Las categorías de eventos $ue puede elegir para auditar son:
o Auditar eventos de inicio de sesión de cuenta
o Auditar la administración de cuentas
o Auditar el acceso del servicio de directorio
o Auditar eventos de inicio de sesión
o Auditar el acceso a ob/etos
o Auditar el cambio de directivas
o Auditar el uso de privilegios
o Auditar el seguimiento de procesos
o Auditar eventos del sistema
1ara implementar se puede seguir los pasos presentes en las p!ginas o?ciales deMicroso)t segFn sea la versión del sistema operativo e/emplo:
https:EEtechnetmicroso)tcomEes0esElibrar*Edd=;K=;2vTDs9;3asp.U
,s importante aclarar $ue en el caso de implementaciones con Activeirector*% est!s directivas ser!n aplicadas desde el servidor central% no ser! necesarioreali'ar esta actividad en cada e$uipo
.erramientas de 3onitoreo"
,.isten una variedad de herramientas $ue pueden ser utili'adas para reali'arsupervisión sobre la estructura tecnológica% tanto licenciadas como gratuitas% acontinuación se re)erencian algunas:
0 61L>-N 2Licenciada% paga3: Herramienta de monitori'ación * an!lisis de datos
masivos procedentes de redes% aplicaciones% e$uipos% etc% $ue permite detectar *solucionar problemas e incidentes de seguridad con rapide'
0 #rustDave 6(,M 2Licenciada% paga3: ,s un appliance de hardDare $ue recoge *
anali'a toda la in)ormación sobre los eventos de seguridad iseado para ser
gestionado por el propio cliente% es )!cil de implantar * usar% con prestaciones
avan'adas $ue )acilita el an!lisis de datos
0 #rustDave 6(,M 2Licenciada% paga3: permite registrar los eventos de
seguridad en cumplimiento con las normativas * est!ndares de seguridad% de una
manera e.ible e inteligente ,.isten varios modelos de hardDare% lo $ue
permite dimensionar la solución segFn su presupuesto * sus necesidades t4cnicas
0 ,ventLog Anal*'er 2Licenciada% paga3: permite centrali'ar los logs 2visor de
sucesos3 de sus servidores% aplicaciones * dispositivos de red% otorgando
visibilidad al histórico de sucesos a trav4s de una sencilla e intuitiva consola Deb
0 56V6L&G 2Gratuita3: 5s*slog es un programa de logging de mensa/es $ue
implementa el protocolo b!sico de s*slog * lo e.tiende agregando ?ltros% con
una con)iguración e.ible #iene la capacidad de reenviar vía >1 o #C1 los
mensa/es del log a otra m!$uina
8/18/2019 Borrador consol_V2
33/40
3
0 &66,C 2Gratuita3: 6istema de detección de intrusos 2(63 &pen 6ource $ue
reali'a an!lisis de log% comprobación de integridad de ?cheros% monitori'ación de
políticas% detección de rootits * respuesta con alerta activa en tiempo real
isponible para la ma*oría de sistemas operativos% incluidos Linu.% Mac&6% 6olaris%
H10>% A( * WindoDs
0 6-&5#: 6nort es una solución de detección * prevención de intrusiones en red
2(6E(163 open source desarrollada por 6ource)ire * $ue combina los
bene?cios de la inspección en )irmas% protocolos * anomalías 6nort es una de lastecnologías (6E(16 m!s ampliamente distribuidas a nivel mundial
NOTA; estas soluciones se deben de poner en práctica, pero es necesario unacapacitación del buen uso y como sacarle pro!ec)o a este tipo de soluciones' +or supuesto, pe r o pr i m ero debe ser e!aluado el a lcance de cada una de ellas, para !er cuál es la que m e jor s e adeca a la e m p r esa' +ienso que este tipo d e )err a m ie n tas,
pueden ser trabaja das en un #uturo, lue"o d e que se lo"re un ni ! el de m adure$adecuado pa r a la in # ra e structura de T*' +royecto a Duturo '
;eri:cación de Servidores de Producción"
urante las visitas reali'adas se reali'aron an!lisis a los servidores $ue soportan el
ambiente productivo tecnológico de la organi'ación% los cuales estaban re)erencia enla documentación recibida producto de los re$uerimientos de evaluación:
6ervidores:
Servidor
8/18/2019 Borrador consol_V2
34/40
6,5+(&5;@ arinasWindoDs6erver;;@5
6ervidor de la aplicación1oDer 6treet% sedearinas
6,5+(&5;= arinasWindoDs6erver;;@
6ervidor de laaplicación Web% sedearinas
el an!lisis de los 6ervidores se desprenden los siguientes halla'gos:
.alla/'os Implicación ies'os
ecomendación
Los servidores6,5+(&59;%6,5+(&5;@%6,5+(&5;=% tienen
instalados el sistemaoperativo WindoDs6erver versión ;;@% elcual de/o de recibirsoporte t4cnico desdeel 9= de /ulio de ;9
8/18/2019 Borrador consol_V2
35/40
control * monitoreodel acceso a losservidores a trav4s dedicho servicio
a (nternet+ulnerabilidades en lasaplicaciones o protocolosutili'ados
actuali'aciones de6eguridad
+eri?car laencriptación de 9K0bitentre clientes * servidoresActivar la autenti)icación anivel de red 2-LA3%disponible a partir de laversión de WindoDs vista *
WindoDs >tili'ar tFnel +1- hacia lared como paso previo aluso de cone.ión deescritorio remotouso de ?reDalls tantoen el perímetro como en el6& para ?ltrar laspeticiones entranteslimitando la conectividadde estos servidores,stablecer grupos deusuarios * comple/idad
de contraseas% entreotros
,n el 6ervidor9;% seencuentra la base dedatos de producción de1oDer 6treet% $uetiene por nombre 156;9
* para el momento dela evaluación registrabaun tamao de =9gb% sepudo evidenciar $uela misma contienein)ormación desde elao ;99% el personal de #( argumento $ue no sereali'an tareas demantenimiento *a $uedicha ase de datos esadministrada por elproveedor de la
herramienta
1osibilidad de Lentituden el tiempo derespuesta de laaplicación,rrores de aplicación
Alto consumo derecursos deprocesamiento1erdida de in)ormacióni?culta en lageneración de losrespaldo
6e recomienda estableceruna mesa de traba/o conel proveedor con el ?n dereali'ar tareas demantenimiento de la base
de datos% de la mismamanera de?nir *documentarprocedimientos $uepermitan reali'ar estastareas periódicamente(gual mente serecomienda replicardichos procedimientos alas bases de datospresente en las otrassucursales6e recomienda crear
política $ue de)ina cu!l esel tiempo de antigXedadde data $ue se re$uieremantener activa en labase de datos% con el )inde evitar $ue e.istain)ormación innecesariapara las operacionesrutinarias * $ueincrementan el tiempo derespuesta ante consultas%así como los tamaos deespacio en disco
32
8/18/2019 Borrador consol_V2
36/40
33
6e evidencio el uso dela herramienta deso)tDare libre BCobianacup% para lagestión de respaldosde la base de datos%la cual se e/ecuta unave' al día reali'andoun respaldo masivo de
la misma a discose.ternos ubicados enlas mismasinstalaciones8igualmente se observó$ue de maneramanual se vanborrando los respaldosm!s antiguos
Ante un evento naturalcomo por e/emplo unincendio la empresa nocontar! con respaldoe.terno $ue le permitaimplementarprocedimientos derecuperación *continuidad de
negocio
6e recomienda establecerprocedimientos para tenerrespaldos de la bases dedatos debidamenteresguardas en ubicaciones)ísicas e.ternas a la sededonde se encuentra elservidor
6e reali'ó consulta alpersonal de #( sobresi contemplaban elarreglo de disco 5A(9 2Mirroring3% $uepermite mantener unacopia en línea de losambientes productivosante una eventualidad%* $ue disminu*e elriesgo de p4rdida dein)ormación ante lasvulnerabilidadespresente en los
procedimientos derespaldo,l personal argumento$ue el servidor $ue seestaba preparando conla versión nueva si locontemplaba% pero elservidor9; $ueactualmente estabaprestando el servicioproductivo no% cabedestacar $ue elambiente productivo )ue
instalado en elservidor9; mientras sereali'aban tareas deactuali'ación * pruebasde la nueva versión
1osibilidad de p4rdidade in)ormación anteuna eventualidad%correspondiente a loslapsos de tiempo entrelas $ue se e/ecutacada copia de bacup
6e recomienda $ue lastareas de pruebas no se
realicen directamente enlos e$uipos de producción%ante un cambio deversiones o actuali'aciónse recomienda plani)icardicho cambio% una ve' seha*an reali'ado laspruebas en e$uipos oambientes destinadospara dicha )unción * setenga certe'a de sue)ectividad% de la mismamanera considerarprocedimientos de rollbaco reversión $ue devuelve ala base de datos o sistemaa algFn estado previo
#bservaciones %enerales
o Las recomendaciones propuestas en algunos casos re$uieren reali'aran!lisis * redisear las )unciones $ue est!n cumpliendo los servidores dentrode la organi'ación% de la misma manera se ve como una necesidad
8/18/2019 Borrador consol_V2
37/40
34
la incorporación de nuevos servicios $ue contribu*an a implementar controlesen)ocados a la seguridad de la in)ormación * calidad de servicio lo cual puedeimplicar en inversiones de e$uipos
o urante las actividades de evaluación a los servidores se e/ecutó la tareadel levantamiento detallado de in)ormación hardDare presente en cada unode estos% validando sus capacidades * cu*os reportes se ane.an al presentedocumento8 se puede establecer $ue e.isten servidores $ue pueden estarsiendo subutili'ados dada su capacidades% por e/emplo el servidor 65+0C;9* el servidor 6,5+(&5;@
o
Ante la necesidad de implementar nuevos servicios como por e/emploActive irector*% la empresa puede tener la opción de virtuali'ar losservidores con ma*or capacidad antes mencionados * distribuir de me/ormanera sus recursos% La vitali'ación es una tecnología $ue est!compuesta por una capa de so)tDare $ue permite utili'ar al mismo tiempodi)erentes sistemas operativos o m!$uinas virtuales en una mismacomputadora )ísica central
I;& Evaluación de Capacidades motivación del ecurso.umano"
el traba/o desarrollado con el apo*o del 5ecurso Humano $ue posee la ,mpresa en su!rea de #(% se pudo evidenciar $ue ha* capacidades * motivación su)icientes paraencarar los retos $ue se plantean como resultado de la ,valuación
Algo $ue si es importante comentar% es $ue los resultados de la evaluacióninde)ectiblemente traer!n una carga de traba/o adicional al personal% producto de lasadecuaciones * me/oras $ue se tendr!n $ue implantar% con lo cual% se debe replantearla organi'ación * responsabilidades establecidas ,n este sentido% se debe dar especialatención a la )unción de gerenciar o coordinar las actividades de #(% $ue re$uieren unma*or tiempo para los aspectos de supervisión * de?nición de estrategias% de/andoen manos de otros recursos aspectos de soporte * operación a/o estacircunstancia% es mu* probable $ue el !rea re$uiera de incorporar por lo menos unrecurso para poder apo*ar en dichas )unciones de soporte * operación
NOTA; en lneas "enerales, an #alta una buena de#inición por parte del auditores de
deberá estar con#ormado un departamento de tecnolo"a, a ni!el de la
ación que se le!antó en la !isitas, además no !eo en al"n lu"ar que indique
pacitaciones o entrenamiento necesarias amerita el personal de *T y una buena
ión de las #unciones, bajo responsabilidades del departamento bien de#inidas,
o %no se tocó la parte de sistema de cámaras de se"uridad, sistema de alarma, e
"estión de redes tele#ónicas&, si estas están bien con#ormadas como esta, que
ades debera tener en cuenta para el manejo de los !ideos de se"uridad,
#ueras de la tecnolo"a pero que es parte de este departamento, que no se
como
in#orm
que ca
de#inicejempl
incluso
capacid
puntosdejara a un lado, de lo que son las buenas prácticas'
Aspectos re# eridos e n s u co mentari oE
,struct u r a or g ani'a c i o na l de l ! re a d e #( : - o s e di o u n a re c omen d ació n a lrespect o % pu e s c o n s ideramo s $ue l a priorida d er a e s t a b ili'a r e l )uncion a mien t o *o per a tivida d d e l o s se r vi c io s d e # ( e igu a l m anera % s i no s remit imo s a l a sme/ore s p r !cti c a s 2po r e/emp lo (#( L 3 % sería n re$ueri d a s )unc iona lidade s $u eimpli c arían % po r s e p ar a ció n d e respons a bili d ades % e s t ablece r u n a nóm in a $ u eenten de mo s ho * dí a n o e s l a priorid a d 1o r e llo % sol o no s r e mitim o s arecomen da r la in c lus ió n d e u n recurs o $u e pueda as u mi r )unci o ne s de l dí a a día %
* $u e permi t a $u e l a person a d e m a*o r niv e l % e.i s tent e % pue d a a sumi r la s t area s$ue impli c a n dich a e s tabi li'aci ó n
8/18/2019 Borrador consol_V2
38/40
3.
Capacit a ció n * e n tren a miento : ,vid e ntem e nt e $u e lo s rec u rso s e.is t entes % * e n)unció n d e la s t area s plan t eadas % d eb er! n indic a r e n $u 4 aspecto s re$uier e ne n trena m ie n to % d e man e r a d e $ u e s e est r u c tur e u n plan d e entrena m ient o osopo rt e co n pe rsona l e s peciali ' ad o $u e tra n s?er a e l conocim ient o * apo r t e a la ss o luci o nes
C!mara s d e 6 e gurid a d * 6istema s d e Al a r m a : , l tem a d e la s c !mara s d esegurid a d * 6 istema s d e alarm a % nor m almen t e n o e s r e s ponsa bilid a d de l !re a d e
#( A l resp e cto % e l !re a d e # ( d eb e hace r lo s r e$ ueri m iento s a l persona l$u e m a ne/ e e sto s tem a s % * g a rant i'a r $u e s e cubr a n lo s aspect o s d e seg u rida dmín imo s recomen d ados 6 i l a e mpresa d e ci d e $ue es t o s tem a s debe n s e rma n e/ados po r #( % pue s s e de b e u bica r e nt ren a mient o d e person a l especia li'ad opar a cu b ri r est a s )u n cione s
5ede s #e le)ón icas : , l tem a d e la s re de s tele )ónic as % i g ualment e % normalm e nt en o e s res ponsabil ida d de l !re a d e #( 6 i l a empres a d e cid e $u e est e tem a d e be nse r m ane/ad o p o r #( % pue s s e deb e u bi c a r entr en amient o d e persona lesp e ciali ' ad o par a c u bri r esta s )u n ciones
#tras #bservaciones del e!uipo evaluador"
0 ,l grupo evaluador puede a*udar en la orientación preliminar para gestionar los
re$uerimientos sobre los 6istemas de videograbación% alarmas% * tele)onía ,s
importante indicar $ue la especiali'ación de estos temas% normalmente puede
re$uerir de apo*o e.terno
0 5e)erente a la gestión de inventarios se considera un tema sumamente importante
$ue debe ser tratado como un pro*ecto% se entiende $ue este proceso amerita
inversiones de tiempo * recursos considerables% por lo $ue se recomienda
plantear el mismo de manera tal no a)ecte la e/ecución de otros pro*ectos *
actividades cotidianas% para el logro de este ob/etivo se recomienda:
e?nir nomenclatura o codi?cación adecuada para el registro de
elementos tecnológicos% por e/emplo se puede utili'ar como base la
codi?cación contemplada en Ma$uerit $ue es una metodología de an!lisis *
gestión de riesgos elaborada por el Conse/o 6uperior de Administración
,lectrónica
e?nir herramienta para el registro del inventario% se recomienda contemplar
el uso de soluciones so)tDare libre
e?nir procedimiento para el levantamiento * registro de inventario $ue
contemple las posibles situaciones $ue pueden surgir durante su
e/ecución por e/emplo e$uipos caducados * deteriorados
0 ,n cuanto a la Gestión de 1oDer 6treet% durante el in)orme se recomienda al !rea de #(de tener ma*or control sobre las actividades $ue reali'a el proveedor% en este sentido
se re$uiere ocumentación t4cnica% adiestramiento% procedimientos de gestión de
cambios $ue separen ambientes de desarrollo * producción% re$uerimientos del
proveedor para dar soporte entre otros 1W6# C&-#5A#&
0 La gestión de los ambientes donde se encuentran los dispositivos tecnológicos son
responsabilidad de la !rea de #( a nivel de garanti'ar $ue e.istan elementos de
seguridad )ísica contemplados en las me/ores pr!cticas e indicados en este in)orme% la
implementación * mantenimiento de los mismos deben ser responsabilidad de las
!reas o departamentos especialistas en dichas )unciones por e/emplo el tema de los
e.tintores * >16% planta el4ctrica de respaldo ante )allas de energía
8/18/2019 Borrador consol_V2
39/40
35
0 6e considera )undamental para la me/oras de los procesos cotidianos * adecuación
para la implementación de pro*ectos )uturos% la solución a las observaciones
reali'adas sobre el ambiente de red tanto a nivel )ísico como a nivel lógico% para este
punto es necesario la propuesta de un pro*ecto de me/ora del ambiente de red $ue
contemple las actividades a reali'ar considerando las posibles dependencias entre
estas * otros elementos como por e/emplo los tiempos de interrupción de servicios
0 ,n cuanto a la de?niciones de políticas * normas de seguridad de la in)ormacióndepender! mucho de la estructura organi'ativa tecnológica $ue se de?na en la
organi'ación% sin embargo este puede iniciar con elementos base e irse actuali'ando
en el tiempo% se puede tomar como re)erencia los siguientes documentos:
http:EE D DDs g pgov ar EsitioE1 6 (YMo d elo0v 9 Y ; ;
8/18/2019 Borrador consol_V2
40/40
Ane.o 9: Acuerdo de Con?dencialidad
A@(FO ( OND*(N*A*A
Vo% YCarlos Humberto Chacón 5ivasY% ma*or de edad% de nacionalidad Y+ene'olanoY%domiciliado en YAv Las 1ilas 5es Jiraharas (( casa @=% 6an CristóbalY% ,stado #!chiraY%
de pro)esión Y(ngeniero de 6istemasY% titular de la c4dula de identidad -o +0
Y=P@PKPY% en mi car!cter de Consultor de #( * de 5iesgo% contratado de YGrupo
1remier% C AY% en e/ercicio del cargo de YAsesorY% declaro: ,.presa * )ormalmente me
comprometo a mantener con?dencial toda la in)ormación% datos% tecnología%
investigación * conocimientos% transmitidos a mi persona por el YGrupo 1remier% C
AY% * $ue el YGrupo 1remier% C AY ha designado como in)ormación reservada o
con)idencial o $ue% por la naturale'a de las circunstancias alrededor de la
divulgación% debiera tratarse de buena )e como in)ormación reservada o
con)idencial e la misma manera% me comprometo a $ue cual$uier in)ormación
con?dencial $ue reciba ser! protegida con el mismo nivel de cuidado con $ue
prote/o mi propia in)ormación con?dencial * $ue no har4 uso de dicha in)ormación%
e.cepto a$uel uso $ue est4 de acuerdo con el propósito a $ue est4n re)eridas mis
actividades laborales
,n virtud de lo antes e.puesto% e.presamente acepto $ue en caso de
in)racción del deber de con?dencialidad $ue asumo% responder4 al YGrupo
1remier C AY civil * patrimonialmente por cuales$uiera daos * per/uicios $ue le
ocasione eclaro% así mismo% $ue tengo per)ecto conocimiento de $ue la utili'ación
indebida $ue haga de la in)ormación de la cual tenga conocimiento puede constituir
un hecho delictivo
La obligación $ue contraigo mediante el presente documento% deber! ser
cumplida por mí durante el desempeo de mis )unciones en el YGrupo 1remierY en
ra'ón de la relación contractual e.istente% * adicionalmente por un período de cinco
2