UNIDAD 1 FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS.docx
1. UNIDAD 1: FASE 2 - PRUEBAS PARA CONFORMAR
VULNERABILIDADES Y AMENAZAS
PRESENTADO POR:
LUIS GERARDO ZAMBRANO G.
PRESENTADO A:
TUTOR: ING. EDUARDO ANTONIO MANTILLA TORRES.
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA.
ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA
SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA
GRUPO: 233003A 614
SEPTIEMBRE 2019
2. INTRODUCCION
Por medio del siguiente documento se realiza el levantamiento de evidencias donde se
demuestre el cumplimiento o no de norma ISO/IEC 27002 de los diferentes controles
estipulados en esta norma.
Dentro de las evidencias relacionadas encontraremos fotográficas, documentos, audios
de entrevistas, videos con las cuales demostraremos la conformidad o no conformidad del
control auditado.
3. Dominios Objetivos Controles Descripción
evidencia
pruebas
9.Segurida
d física y
del entorno
9.1. Áreas
Seguras
9.1.1.
Perímetro de
seguridad
física
No se
encuentra bien
definido el lugar
donde está
alojado los
elementos
hardware de
procesamiento
de datos
servidor,
además se
encuentra junto
a una sala de
reuniones, sin
puerta o
elementos de
seguridad que
los delimite.
PF01
Dominios Objetivos Controles Descripción
evidencia
pruebas
5. política de
seguridad
5.1 política
de seguridad
de la
información.
5.1.1 Documento de la
política de seguridad de
la información
Si existe
documento el
documento de
política
seguridad de la
información.
PD1
5.1.1 Revisión de la
política de seguridad de
la información
No ha existido
revisiones
periódicas de la
política para, y
en la
organización ha
existido cambios
tanto de sus
infraestructuras
tecnológicas
como cargos
nuevos.
PD1
4. 9.1.2.
Controles de
acceso físico
Solo hay de
video seguridad
tanto
externamente
como
internamente
de la
organización.
PF02
9.1.3.
Seguridad de
oficinas,
recintos e
instalaciones
Las puertas de
las oficinas no
cuentas con
sistemas de
seguridad
física.
PF01
9.1.4.
Protección
contra
amenazas
externas y
ambientales
Inciertas zonas
no existe
medidas de
protección
contra
incendios.
PF03
9.1.5. Trabajo
de áreas
seguras
No existe
señalización de
zona seguras
para el centro
de datos.
PF20
9.1.6. Áreas
de carga,
entrega y
áreas públicas
9.2.
Segurida
d de los
Equipos
9.2.1.
Ubicación y
protección
del equipo
Por no existir
una puerta en
el cuarto de
servidor, no
hay una
restricción para
el acceso, para
la evidencia se
mira que
personal de
mantenimiento
de aire
acondicionado
ingreso sin
ningún
PF04
5. consentimiento
.
9.2.2.
Suministro
eléctrico
El elemento de
servicio
continuo de
energía UPS no
está en
funcionamiento
las baterías
internas están
dañadas.
PF05
9.2.3.
Seguridad del
cableado
Existe cable de
energía y de
red que están
sobre el piso,
sin ningún
elemento que
proteja estos
cables.
PF06
9.2.4.
Mantenimient
o de equipos
Existe
documenta que
evidencia el
mantenimiento
de equipo, pero
no tiene los
ítems
necesarios para
saber que
equipos se le
realizo
mantenimiento.
PD02
9.2.5.
Seguridad del
equipamiento
fuera de las
instalaciones
Existen equipos
de cómputo
exclusivos para
área comercial,
los cuales se
trasportan a
diferentes
regiones, se
cuenta con
seguridad
necesaria y se
da
responsabilidad
a cada usuario,
donde se sigue
un protocolo
estricto de
horario ,
PF21
6. responsabilidad
y custodia de
estos
elementos.
9.2.6.
Seguridad en
la reutilización
o eliminación
de equipos
Los quipos de
computo
obsoletos se
almacenan en
bodega, pero
no se verifica
información
que tenga estos
para ser
eliminada o
extraer para su
posterior uso.
PF07
9.2.7.
Movimientos
de equipos
Se evidencio
que se
estaban
trasladando
equipos de
computo para
utilizarlos para
un evento
recreativo
PF08
Dominios Objetivos Controles Descripción
evidencia
pruebas
11.
Control
de
accesos
11.1. Requisitos
de negocio para
el control de
acceso
11.1.1. Política
de control de
accesos
El
administrador
de TI no
conoce de la
política, y no
se han definido
métodos para
definir accesos
lógicos a los
sistemas de
información.
Audio entrevista
PE1
11.2.
Administración de
acceso de
usuarios
11.2.1 Registro
de usuarios
Existen
equipos con
claves de
usuarios que
han salido de
7. la empresa,
todos tienen
acceso a estos
equipos.
PF09
11.2.2.
Administración
de privilegios
El
administrados
de TI bajo
entrevista a
firma que no
se ha definido
privilegios de
acceso a los
diferentes
objetos del
sistema.
Audio entrevista
PE2
11.2.3.
Administración
de contraseñas
se observa que
existen activos
que no
cuentas con
ninguna
contraseña
(video)
PV01
11.3.
Responsabilidades
de los usuarios
11.3.1 Uso de
contraseñas
Se evidencia
que no existen
contraseñas
para acceder
al sistema
operativo.
(video)
PV02
11.3.2. Equipos
de cómputo de
usuario
desatendidos
Se evidencia
que en las
horas de
receso en las
oficinas se
encuentra
computadores
encendidas y
con la sección
abierta.
PF10
11.3.3. Política
de escritorios y
pantallas limpias
En muchos
escritorios
existen
desorden,
documentos,
papeles,
vasos.
(Video)
PV03
8. 11.4. Control de
acceso a redes
11.4.1 Política
de uso de los
servicios de red
11.4.2
Autenticación de
usuarios para
conexiones
externas
Según
diagrama
topológico de
la red
Actualmente no
tiene
implementado
un Sistemas
Perimetrales de
filtrado de
paquetes
PF13
11.4.4
Administración
remota y
protección de
puertos
Se evidencio
que en el
servidor se
tiene abierto el
puerto 80
servicio que no
cuenta la
organización.
Servidor web
PF11
11.4.5
Segmentación
de redes
Se visualiza el
diagrama de
red
actualmente
está
distribuida en
vlans de tal
amanera que
cumple con la
segmentación
de red.
PF14
11.4.6. Control
de conexión a
las redes
Según
configuración
firewall no se
ha establecido
reglas para
filtrar tráfico
proveniente de
red publica
PF12
11.5. Control de
acceso al sistema
operativo
11.5.1.
Procedimientos
seguros de Log-
on en el sistema
Según
entrevista
realizada al
administrador
de TI ,
comenta que
(Audio)
PE3
9. no hay
procedimientos
para el acceso
a los sistemas.
11.5.2.
Identificación y
autenticación de
los usuarios
Se pudo
evidenciar que
varios
computadores
tenían una
cuanta de
acceso y lo
utilizaban
varios
empleados de
tal manera que
no se tiene un
identificador
propio para
cada uno de
ellos.
PF14
11.5.3. Sistema
de
administración
de contraseñas
Según último
correo enviado
a los usuarios
del sistema
para cambio de
contraseñas se
realizó en el
año 2013 desde
esa fecha no ha
existido algún
sistema para
que el cambio
de contraseñas
que se defina
bajo periodos
de tiempos
controlados.
PF15
11.5.4. Uso de
utilidades de
sistema
Se videncia en
diferentes
maquinas que
los usuarios
tienen
instalados
programas que
no hacen parte
PF16
10. de las labores
diarias que se
manejan en la
empresa.
11.5.5.
Inactividad de la
sesión
Se evidencio
que varios
puestos de
trabajo durante
un tiempo
prolongado el
sistema no
suspendía la
sesión activa.
PF17
11.5.6.
Limitación del
tiempo de
conexión
Las diferentes
terminales no
cuentan con
algún sistema
que restrinja el
horario de uso,
pero si
evidenciamos
que se delimita
los tiempos de
acceso a
internet.
PF18
11.6. Control de
acceso a las
aplicaciones y la
información
11.6.1.
Restricción del
acceso a la
información
Se evidencia
que si se ha
definido
privilegios a los
usuarios para
ciertos activos
de información
que se
encuentra en la
red.
PF19
11.7.
Ordenadores
portátiles y
teletrabajo
11.7.1.
Ordenadores
portátiles y
comunicaciones
móviles
Según
entrevista se
evidencia que
no hay un
control sobre
dispositivos
móviles.
(Audio)
PE4
12. BIBLIOGRAFÍA
CADME RUIZ, C., & DUQUE POZO, D. (2012). AUDITORIA DE SEGURIDAD
INFORMÁTICA ISO 27001 PARA LA EMPRESA DE ALIMENTOS "ITALIMENTOS
CIA.LTDA". Obtenido de
https://dspace.ups.edu.ec/bitstream/123456789/2644/16/UPS-CT002441.pdf
ERAZO CERÓN, A., & IVAN DAVID GUERRERO. (2015). AUDITORIA A LA
SEGURIDAD DE LA INFORMACION EN LA EMPRESA EXPRESO JUANANBU
DE LA CIUDAD DE PASTO SOPORTADA EN LOS ESTANDARES DE AUDITORIA
COBIT ISO/IEC 27000. Obtenido de
http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/91286.pdf
NOVOA, F. J. (2017). AUDITORÍA A LA SEGURIDAD INFORMÁTICA DE LOS
SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN EN LA E.S.E HOSPITAL
SAN FRANCISCO DE GACHETÁ. Obtenido de
https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/12796/1/107
4416618.pdf