SlideShare una empresa de Scribd logo

UNIDAD 1 FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS.docx

Descargar como DOCX, PDF
D
DavidRosero28

seguridad informatica

Ingeniería
1 de 12
UNIDAD 1: FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS PRESENTADO POR: LUIS GERARDO ZAMBRANO G. PRESENTADO A: TUTOR: ING. EDUARDO ANTONIO MANTILLA TORRES. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA. ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA GRUPO: 233003A 614 SEPTIEMBRE 2019
INTRODUCCION Por medio del siguiente documento se realiza el levantamiento de evidencias donde se demuestre el cumplimiento o no de norma ISO/IEC 27002 de los diferentes controles estipulados en esta norma. Dentro de las evidencias relacionadas encontraremos fotográficas, documentos, audios de entrevistas, videos con las cuales demostraremos la conformidad o no conformidad del control auditado.
Dominios Objetivos Controles Descripción evidencia pruebas 9.Segurida d física y del entorno 9.1. Áreas Seguras 9.1.1. Perímetro de seguridad física No se encuentra bien definido el lugar donde está alojado los elementos hardware de procesamiento de datos servidor, además se encuentra junto a una sala de reuniones, sin puerta o elementos de seguridad que los delimite. PF01 Dominios Objetivos Controles Descripción evidencia pruebas 5. política de seguridad 5.1 política de seguridad de la información. 5.1.1 Documento de la política de seguridad de la información Si existe documento el documento de política seguridad de la información. PD1 5.1.1 Revisión de la política de seguridad de la información No ha existido revisiones periódicas de la política para, y en la organización ha existido cambios tanto de sus infraestructuras tecnológicas como cargos nuevos. PD1
9.1.2. Controles de acceso físico Solo hay de video seguridad tanto externamente como internamente de la organización. PF02 9.1.3. Seguridad de oficinas, recintos e instalaciones Las puertas de las oficinas no cuentas con sistemas de seguridad física. PF01 9.1.4. Protección contra amenazas externas y ambientales Inciertas zonas no existe medidas de protección contra incendios. PF03 9.1.5. Trabajo de áreas seguras No existe señalización de zona seguras para el centro de datos. PF20 9.1.6. Áreas de carga, entrega y áreas públicas 9.2. Segurida d de los Equipos 9.2.1. Ubicación y protección del equipo Por no existir una puerta en el cuarto de servidor, no hay una restricción para el acceso, para la evidencia se mira que personal de mantenimiento de aire acondicionado ingreso sin ningún PF04
consentimiento . 9.2.2. Suministro eléctrico El elemento de servicio continuo de energía UPS no está en funcionamiento las baterías internas están dañadas. PF05 9.2.3. Seguridad del cableado Existe cable de energía y de red que están sobre el piso, sin ningún elemento que proteja estos cables. PF06 9.2.4. Mantenimient o de equipos Existe documenta que evidencia el mantenimiento de equipo, pero no tiene los ítems necesarios para saber que equipos se le realizo mantenimiento. PD02 9.2.5. Seguridad del equipamiento fuera de las instalaciones Existen equipos de cómputo exclusivos para área comercial, los cuales se trasportan a diferentes regiones, se cuenta con seguridad necesaria y se da responsabilidad a cada usuario, donde se sigue un protocolo estricto de horario , PF21
responsabilidad y custodia de estos elementos. 9.2.6. Seguridad en la reutilización o eliminación de equipos Los quipos de computo obsoletos se almacenan en bodega, pero no se verifica información que tenga estos para ser eliminada o extraer para su posterior uso. PF07 9.2.7. Movimientos de equipos Se evidencio que se estaban trasladando equipos de computo para utilizarlos para un evento recreativo PF08 Dominios Objetivos Controles Descripción evidencia pruebas 11. Control de accesos 11.1. Requisitos de negocio para el control de acceso 11.1.1. Política de control de accesos El administrador de TI no conoce de la política, y no se han definido métodos para definir accesos lógicos a los sistemas de información. Audio entrevista PE1 11.2. Administración de acceso de usuarios 11.2.1 Registro de usuarios Existen equipos con claves de usuarios que han salido de
la empresa, todos tienen acceso a estos equipos. PF09 11.2.2. Administración de privilegios El administrados de TI bajo entrevista a firma que no se ha definido privilegios de acceso a los diferentes objetos del sistema. Audio entrevista PE2 11.2.3. Administración de contraseñas se observa que existen activos que no cuentas con ninguna contraseña (video) PV01 11.3. Responsabilidades de los usuarios 11.3.1 Uso de contraseñas Se evidencia que no existen contraseñas para acceder al sistema operativo. (video) PV02 11.3.2. Equipos de cómputo de usuario desatendidos Se evidencia que en las horas de receso en las oficinas se encuentra computadores encendidas y con la sección abierta. PF10 11.3.3. Política de escritorios y pantallas limpias En muchos escritorios existen desorden, documentos, papeles, vasos. (Video) PV03
11.4. Control de acceso a redes 11.4.1 Política de uso de los servicios de red 11.4.2 Autenticación de usuarios para conexiones externas Según diagrama topológico de la red Actualmente no tiene implementado un Sistemas Perimetrales de filtrado de paquetes PF13 11.4.4 Administración remota y protección de puertos Se evidencio que en el servidor se tiene abierto el puerto 80 servicio que no cuenta la organización. Servidor web PF11 11.4.5 Segmentación de redes Se visualiza el diagrama de red actualmente está distribuida en vlans de tal amanera que cumple con la segmentación de red. PF14 11.4.6. Control de conexión a las redes Según configuración firewall no se ha establecido reglas para filtrar tráfico proveniente de red publica PF12 11.5. Control de acceso al sistema operativo 11.5.1. Procedimientos seguros de Log- on en el sistema Según entrevista realizada al administrador de TI , comenta que (Audio) PE3
no hay procedimientos para el acceso a los sistemas. 11.5.2. Identificación y autenticación de los usuarios Se pudo evidenciar que varios computadores tenían una cuanta de acceso y lo utilizaban varios empleados de tal manera que no se tiene un identificador propio para cada uno de ellos. PF14 11.5.3. Sistema de administración de contraseñas Según último correo enviado a los usuarios del sistema para cambio de contraseñas se realizó en el año 2013 desde esa fecha no ha existido algún sistema para que el cambio de contraseñas que se defina bajo periodos de tiempos controlados. PF15 11.5.4. Uso de utilidades de sistema Se videncia en diferentes maquinas que los usuarios tienen instalados programas que no hacen parte PF16
de las labores diarias que se manejan en la empresa. 11.5.5. Inactividad de la sesión Se evidencio que varios puestos de trabajo durante un tiempo prolongado el sistema no suspendía la sesión activa. PF17 11.5.6. Limitación del tiempo de conexión Las diferentes terminales no cuentan con algún sistema que restrinja el horario de uso, pero si evidenciamos que se delimita los tiempos de acceso a internet. PF18 11.6. Control de acceso a las aplicaciones y la información 11.6.1. Restricción del acceso a la información Se evidencia que si se ha definido privilegios a los usuarios para ciertos activos de información que se encuentra en la red. PF19 11.7. Ordenadores portátiles y teletrabajo 11.7.1. Ordenadores portátiles y comunicaciones móviles Según entrevista se evidencia que no hay un control sobre dispositivos móviles. (Audio) PE4
11.7.2. Teletrabajo Según entrevista no existe por el momento la opción de trabajar remotamente. (Audio) PE5
BIBLIOGRAFÍA CADME RUIZ, C., & DUQUE POZO, D. (2012). AUDITORIA DE SEGURIDAD INFORMÁTICA ISO 27001 PARA LA EMPRESA DE ALIMENTOS "ITALIMENTOS CIA.LTDA". Obtenido de https://dspace.ups.edu.ec/bitstream/123456789/2644/16/UPS-CT002441.pdf ERAZO CERÓN, A., & IVAN DAVID GUERRERO. (2015). AUDITORIA A LA SEGURIDAD DE LA INFORMACION EN LA EMPRESA EXPRESO JUANANBU DE LA CIUDAD DE PASTO SOPORTADA EN LOS ESTANDARES DE AUDITORIA COBIT ISO/IEC 27000. Obtenido de http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/91286.pdf NOVOA, F. J. (2017). AUDITORÍA A LA SEGURIDAD INFORMÁTICA DE LOS SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN EN LA E.S.E HOSPITAL SAN FRANCISCO DE GACHETÁ. Obtenido de https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/12796/1/107 4416618.pdf

Recomendados

UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
Jack Daniel Cáceres Meza
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
Jack Daniel Cáceres Meza
 
Alexandra caguana auditoriainformática_ii_bimestre
Alexandra caguana auditoriainformática_ii_bimestreAlexandra caguana auditoriainformática_ii_bimestre
Alexandra caguana auditoriainformática_ii_bimestre
UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
auditoria
auditoria auditoria
auditoria
xxgiancarloxx
 
Sistema de vigilancia automatizado
Sistema de vigilancia automatizadoSistema de vigilancia automatizado
Sistema de vigilancia automatizado
Daniel Muccela
 
15-Auditoria
15-Auditoria15-Auditoria
15-Auditoria
Luis Fernando Aguas Bucheli
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
Alexys Rodriguez
 
Auditoria paola jina
Auditoria paola jinaAuditoria paola jina
Auditoria paola jina
daniteuta05
 

Recomendados

UPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de informaciónUPC - Soporte: Proceso Seguridad de información
UPC - Soporte: Proceso Seguridad de información
Jack Daniel Cáceres Meza
 
UPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreoUPC - Soporte Norma Control y monitoreo
UPC - Soporte Norma Control y monitoreo
Jack Daniel Cáceres Meza
 
Alexandra caguana auditoriainformática_ii_bimestre
Alexandra caguana auditoriainformática_ii_bimestreAlexandra caguana auditoriainformática_ii_bimestre
Alexandra caguana auditoriainformática_ii_bimestre
UNIVERSIDAD TECNICA PARTICULAR DE LOJA
 
auditoria
auditoria auditoria
auditoria
xxgiancarloxx
 
Sistema de vigilancia automatizado
Sistema de vigilancia automatizadoSistema de vigilancia automatizado
Sistema de vigilancia automatizado
Daniel Muccela
 
15-Auditoria
15-Auditoria15-Auditoria
15-Auditoria
Luis Fernando Aguas Bucheli
 
Iso27002 revisar
Iso27002 revisarIso27002 revisar
Iso27002 revisar
Alexys Rodriguez
 
Auditoria paola jina
Auditoria paola jinaAuditoria paola jina
Auditoria paola jina
daniteuta05
 
Auditoria paola jina
Auditoria paola jinaAuditoria paola jina
Auditoria paola jina
Oscar Eduardo Sanchez Duran
 
2.2 Conceptos básicos del libro naranja.pptx
2.2 Conceptos básicos del libro naranja.pptx2.2 Conceptos básicos del libro naranja.pptx
2.2 Conceptos básicos del libro naranja.pptx
MelinaPAREDESACOSTA
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
Eduardo Gonzalez
 
Auditoria
AuditoriaAuditoria
Auditoria
Cin Benitez
 
Acceso remoto
Acceso remotoAcceso remoto
Acceso remoto
JoseVargas467930
 
Actividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptx
Actividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptxActividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptx
Actividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptx
AlvaroHernandez646038
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
grangurusv
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
Cecy1917
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Jack Daniel Cáceres Meza
 
Presentación
PresentaciónPresentación
Presentación
zxc
 
MANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdf
MANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdfMANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdf
MANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdf
ismaryevimaruzcategu
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
Milver Illaconza Ccaulla
 
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docxEjemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
DexieCabrera
 
Plan de Mantenimiento
Plan de MantenimientoPlan de Mantenimiento
Plan de Mantenimiento
bryam moriano
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoria
Antonio Mtz
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
Jack Daniel Cáceres Meza
 
ANALISIS DE LA EMPRESA TELEVISICA-exposicion.ppt
ANALISIS DE LA EMPRESA TELEVISICA-exposicion.pptANALISIS DE LA EMPRESA TELEVISICA-exposicion.ppt
ANALISIS DE LA EMPRESA TELEVISICA-exposicion.ppt
AsuncionGarciaRumiso1
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
Alexis Molina
 
INTRODUCCIÓN.docx
INTRODUCCIÓN.docxINTRODUCCIÓN.docx
INTRODUCCIÓN.docx
romer29
 
Sistema de gestión documental saludant
Sistema de gestión documental saludantSistema de gestión documental saludant
Sistema de gestión documental saludant
PRINCESALYDA
 
ESTRATEGIA comercial de productos en mineria.pptx
ESTRATEGIA comercial de productos en mineria.pptxESTRATEGIA comercial de productos en mineria.pptx
ESTRATEGIA comercial de productos en mineria.pptx
Pablo E. Coaguila Gutiérrez
 
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
ORLNDO1
 

Más contenido relacionado

Similar a UNIDAD 1 FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS.docx

Presentación
PresentaciónPresentación
Presentación
zxc
 
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docxEjemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
DexieCabrera
 

Similar a UNIDAD 1 FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS.docx (20)

Auditoria paola jina
Auditoria paola jinaAuditoria paola jina
Auditoria paola jina
 
2.2 Conceptos básicos del libro naranja.pptx
2.2 Conceptos básicos del libro naranja.pptx2.2 Conceptos básicos del libro naranja.pptx
2.2 Conceptos básicos del libro naranja.pptx
 
Caso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas InformaticosCaso practico Auditoria de Sistemas Informaticos
Caso practico Auditoria de Sistemas Informaticos
 
Auditoria
AuditoriaAuditoria
Auditoria
 
Acceso remoto
Acceso remotoAcceso remoto
Acceso remoto
 
Actividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptx
Actividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptxActividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptx
Actividad 3 Problemáticas que pueden obligar a realizar mantenimientos (1).pptx
 
Auditoria1
Auditoria1Auditoria1
Auditoria1
 
AUDITORIA
AUDITORIAAUDITORIA
AUDITORIA
 
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
Curso: Introducción a la seguridad informática: 08 Gestionar la seguridad inf...
 
Presentación
PresentaciónPresentación
Presentación
 
MANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdf
MANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdfMANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdf
MANUAL MANTENIMIENTO PREVENTIVO ISMARY.pdf
 
Auditoria de sistemas
Auditoria de sistemasAuditoria de sistemas
Auditoria de sistemas
 
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docxEjemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
Ejemplo de hallazgo de auditoria por ejecución de procedimiento_ (1).docx
 
Plan de Mantenimiento
Plan de MantenimientoPlan de Mantenimiento
Plan de Mantenimiento
 
Ejemplo de-auditoria
Ejemplo de-auditoriaEjemplo de-auditoria
Ejemplo de-auditoria
 
UPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equiposUPC - Soporte: Norma Instalación y configuración de equipos
UPC - Soporte: Norma Instalación y configuración de equipos
 
ANALISIS DE LA EMPRESA TELEVISICA-exposicion.ppt
ANALISIS DE LA EMPRESA TELEVISICA-exposicion.pptANALISIS DE LA EMPRESA TELEVISICA-exposicion.ppt
ANALISIS DE LA EMPRESA TELEVISICA-exposicion.ppt
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
INTRODUCCIÓN.docx
INTRODUCCIÓN.docxINTRODUCCIÓN.docx
INTRODUCCIÓN.docx
 
Sistema de gestión documental saludant
Sistema de gestión documental saludantSistema de gestión documental saludant
Sistema de gestión documental saludant
 

Último

TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
ORLNDO1
 
2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf
2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf
2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf
Adolfo Acero Aguilar
 
Circuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdfCircuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdf
JosueUlin1
 

Último (20)

ESTRATEGIA comercial de productos en mineria.pptx
ESTRATEGIA comercial de productos en mineria.pptxESTRATEGIA comercial de productos en mineria.pptx
ESTRATEGIA comercial de productos en mineria.pptx
 
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
TRABAJO SEGURO - Comportamientos que Salvan Vidas y Protocolos para Peligros...
 
2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf
2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf
2021-MAYO-CAP-RL_SEGURIDAD-PARA-DELEGADOS_08.05.21-ENVIADO.pdf
 
Guía de SGSST para MYPES según Ley 28793
Guía de SGSST para MYPES según Ley 28793Guía de SGSST para MYPES según Ley 28793
Guía de SGSST para MYPES según Ley 28793
 
REGLA DE PROBABILIDADES Y REGLA DE BAYES.pptx
REGLA DE PROBABILIDADES Y REGLA DE BAYES.pptxREGLA DE PROBABILIDADES Y REGLA DE BAYES.pptx
REGLA DE PROBABILIDADES Y REGLA DE BAYES.pptx
 
TERRENO DE FUNDACION - CURSO DE PAVIMENTOS
TERRENO DE FUNDACION - CURSO DE PAVIMENTOSTERRENO DE FUNDACION - CURSO DE PAVIMENTOS
TERRENO DE FUNDACION - CURSO DE PAVIMENTOS
 
TABLA DE ROSCAS invetiga las rescas . milimetricas , en pulgada
TABLA DE ROSCAS invetiga las rescas . milimetricas , en pulgadaTABLA DE ROSCAS invetiga las rescas . milimetricas , en pulgada
TABLA DE ROSCAS invetiga las rescas . milimetricas , en pulgada
 
Anexos del Decreto Supremo N° 049-2002-MTC.pdf
Anexos del Decreto Supremo N° 049-2002-MTC.pdfAnexos del Decreto Supremo N° 049-2002-MTC.pdf
Anexos del Decreto Supremo N° 049-2002-MTC.pdf
 
guia-diseno-instalaciones-electricas.pdf
guia-diseno-instalaciones-electricas.pdfguia-diseno-instalaciones-electricas.pdf
guia-diseno-instalaciones-electricas.pdf
 
PROCESO CONSTRUCTIVO DE UNA CALZADURA EN OBRA
PROCESO CONSTRUCTIVO DE UNA CALZADURA EN OBRAPROCESO CONSTRUCTIVO DE UNA CALZADURA EN OBRA
PROCESO CONSTRUCTIVO DE UNA CALZADURA EN OBRA
 
Carbohidratos utilizados en la industria alimentaria.pdf
Carbohidratos utilizados en la industria alimentaria.pdfCarbohidratos utilizados en la industria alimentaria.pdf
Carbohidratos utilizados en la industria alimentaria.pdf
 
Ciclo de Refrigeracion aplicado a ToniCorp.pptx
Ciclo de Refrigeracion aplicado a ToniCorp.pptxCiclo de Refrigeracion aplicado a ToniCorp.pptx
Ciclo de Refrigeracion aplicado a ToniCorp.pptx
 
Trabajo de cristalografia. año 2024 mes de mayo
Trabajo de cristalografia. año 2024 mes de mayoTrabajo de cristalografia. año 2024 mes de mayo
Trabajo de cristalografia. año 2024 mes de mayo
 
Circuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdfCircuitos_basicos_de_neumatica miquel carulla .pdf
Circuitos_basicos_de_neumatica miquel carulla .pdf
 
DIFERENCIA DE COMPRESION Y TENSION EN UN CUERPO
DIFERENCIA DE COMPRESION Y TENSION EN UN CUERPODIFERENCIA DE COMPRESION Y TENSION EN UN CUERPO
DIFERENCIA DE COMPRESION Y TENSION EN UN CUERPO
 
CLASES DE ARRANQUE DE UN MOTOR ELECTRICO.pptx
CLASES DE ARRANQUE DE UN MOTOR ELECTRICO.pptxCLASES DE ARRANQUE DE UN MOTOR ELECTRICO.pptx
CLASES DE ARRANQUE DE UN MOTOR ELECTRICO.pptx
 
368165951-Procedimiento-de-Gruas-e-Izaje.doc
368165951-Procedimiento-de-Gruas-e-Izaje.doc368165951-Procedimiento-de-Gruas-e-Izaje.doc
368165951-Procedimiento-de-Gruas-e-Izaje.doc
 
Escenario económico - Desarrollo sustentable
Escenario económico - Desarrollo sustentableEscenario económico - Desarrollo sustentable
Escenario económico - Desarrollo sustentable
 
INVESTIGACION DE ACCIDENTE EN REFINERIA.pptx
INVESTIGACION DE ACCIDENTE EN REFINERIA.pptxINVESTIGACION DE ACCIDENTE EN REFINERIA.pptx
INVESTIGACION DE ACCIDENTE EN REFINERIA.pptx
 
Embriologia-2 en ganado bovino lechero .ppt
Embriologia-2 en ganado bovino lechero .pptEmbriologia-2 en ganado bovino lechero .ppt
Embriologia-2 en ganado bovino lechero .ppt
 

UNIDAD 1 FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS.docx

  • 1. UNIDAD 1: FASE 2 - PRUEBAS PARA CONFORMAR VULNERABILIDADES Y AMENAZAS PRESENTADO POR: LUIS GERARDO ZAMBRANO G. PRESENTADO A: TUTOR: ING. EDUARDO ANTONIO MANTILLA TORRES. UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA. ESPECIALIZACIÓN EN SEGURIDAD INFORMÁTICA SISTEMA DE GESTIÓN DE SEGURIDAD INFORMÁTICA GRUPO: 233003A 614 SEPTIEMBRE 2019
  • 2. INTRODUCCION Por medio del siguiente documento se realiza el levantamiento de evidencias donde se demuestre el cumplimiento o no de norma ISO/IEC 27002 de los diferentes controles estipulados en esta norma. Dentro de las evidencias relacionadas encontraremos fotográficas, documentos, audios de entrevistas, videos con las cuales demostraremos la conformidad o no conformidad del control auditado.
  • 3. Dominios Objetivos Controles Descripción evidencia pruebas 9.Segurida d física y del entorno 9.1. Áreas Seguras 9.1.1. Perímetro de seguridad física No se encuentra bien definido el lugar donde está alojado los elementos hardware de procesamiento de datos servidor, además se encuentra junto a una sala de reuniones, sin puerta o elementos de seguridad que los delimite. PF01 Dominios Objetivos Controles Descripción evidencia pruebas 5. política de seguridad 5.1 política de seguridad de la información. 5.1.1 Documento de la política de seguridad de la información Si existe documento el documento de política seguridad de la información. PD1 5.1.1 Revisión de la política de seguridad de la información No ha existido revisiones periódicas de la política para, y en la organización ha existido cambios tanto de sus infraestructuras tecnológicas como cargos nuevos. PD1
  • 4. 9.1.2. Controles de acceso físico Solo hay de video seguridad tanto externamente como internamente de la organización. PF02 9.1.3. Seguridad de oficinas, recintos e instalaciones Las puertas de las oficinas no cuentas con sistemas de seguridad física. PF01 9.1.4. Protección contra amenazas externas y ambientales Inciertas zonas no existe medidas de protección contra incendios. PF03 9.1.5. Trabajo de áreas seguras No existe señalización de zona seguras para el centro de datos. PF20 9.1.6. Áreas de carga, entrega y áreas públicas 9.2. Segurida d de los Equipos 9.2.1. Ubicación y protección del equipo Por no existir una puerta en el cuarto de servidor, no hay una restricción para el acceso, para la evidencia se mira que personal de mantenimiento de aire acondicionado ingreso sin ningún PF04
  • 5. consentimiento . 9.2.2. Suministro eléctrico El elemento de servicio continuo de energía UPS no está en funcionamiento las baterías internas están dañadas. PF05 9.2.3. Seguridad del cableado Existe cable de energía y de red que están sobre el piso, sin ningún elemento que proteja estos cables. PF06 9.2.4. Mantenimient o de equipos Existe documenta que evidencia el mantenimiento de equipo, pero no tiene los ítems necesarios para saber que equipos se le realizo mantenimiento. PD02 9.2.5. Seguridad del equipamiento fuera de las instalaciones Existen equipos de cómputo exclusivos para área comercial, los cuales se trasportan a diferentes regiones, se cuenta con seguridad necesaria y se da responsabilidad a cada usuario, donde se sigue un protocolo estricto de horario , PF21
  • 6. responsabilidad y custodia de estos elementos. 9.2.6. Seguridad en la reutilización o eliminación de equipos Los quipos de computo obsoletos se almacenan en bodega, pero no se verifica información que tenga estos para ser eliminada o extraer para su posterior uso. PF07 9.2.7. Movimientos de equipos Se evidencio que se estaban trasladando equipos de computo para utilizarlos para un evento recreativo PF08 Dominios Objetivos Controles Descripción evidencia pruebas 11. Control de accesos 11.1. Requisitos de negocio para el control de acceso 11.1.1. Política de control de accesos El administrador de TI no conoce de la política, y no se han definido métodos para definir accesos lógicos a los sistemas de información. Audio entrevista PE1 11.2. Administración de acceso de usuarios 11.2.1 Registro de usuarios Existen equipos con claves de usuarios que han salido de
  • 7. la empresa, todos tienen acceso a estos equipos. PF09 11.2.2. Administración de privilegios El administrados de TI bajo entrevista a firma que no se ha definido privilegios de acceso a los diferentes objetos del sistema. Audio entrevista PE2 11.2.3. Administración de contraseñas se observa que existen activos que no cuentas con ninguna contraseña (video) PV01 11.3. Responsabilidades de los usuarios 11.3.1 Uso de contraseñas Se evidencia que no existen contraseñas para acceder al sistema operativo. (video) PV02 11.3.2. Equipos de cómputo de usuario desatendidos Se evidencia que en las horas de receso en las oficinas se encuentra computadores encendidas y con la sección abierta. PF10 11.3.3. Política de escritorios y pantallas limpias En muchos escritorios existen desorden, documentos, papeles, vasos. (Video) PV03
  • 8. 11.4. Control de acceso a redes 11.4.1 Política de uso de los servicios de red 11.4.2 Autenticación de usuarios para conexiones externas Según diagrama topológico de la red Actualmente no tiene implementado un Sistemas Perimetrales de filtrado de paquetes PF13 11.4.4 Administración remota y protección de puertos Se evidencio que en el servidor se tiene abierto el puerto 80 servicio que no cuenta la organización. Servidor web PF11 11.4.5 Segmentación de redes Se visualiza el diagrama de red actualmente está distribuida en vlans de tal amanera que cumple con la segmentación de red. PF14 11.4.6. Control de conexión a las redes Según configuración firewall no se ha establecido reglas para filtrar tráfico proveniente de red publica PF12 11.5. Control de acceso al sistema operativo 11.5.1. Procedimientos seguros de Log- on en el sistema Según entrevista realizada al administrador de TI , comenta que (Audio) PE3
  • 9. no hay procedimientos para el acceso a los sistemas. 11.5.2. Identificación y autenticación de los usuarios Se pudo evidenciar que varios computadores tenían una cuanta de acceso y lo utilizaban varios empleados de tal manera que no se tiene un identificador propio para cada uno de ellos. PF14 11.5.3. Sistema de administración de contraseñas Según último correo enviado a los usuarios del sistema para cambio de contraseñas se realizó en el año 2013 desde esa fecha no ha existido algún sistema para que el cambio de contraseñas que se defina bajo periodos de tiempos controlados. PF15 11.5.4. Uso de utilidades de sistema Se videncia en diferentes maquinas que los usuarios tienen instalados programas que no hacen parte PF16
  • 10. de las labores diarias que se manejan en la empresa. 11.5.5. Inactividad de la sesión Se evidencio que varios puestos de trabajo durante un tiempo prolongado el sistema no suspendía la sesión activa. PF17 11.5.6. Limitación del tiempo de conexión Las diferentes terminales no cuentan con algún sistema que restrinja el horario de uso, pero si evidenciamos que se delimita los tiempos de acceso a internet. PF18 11.6. Control de acceso a las aplicaciones y la información 11.6.1. Restricción del acceso a la información Se evidencia que si se ha definido privilegios a los usuarios para ciertos activos de información que se encuentra en la red. PF19 11.7. Ordenadores portátiles y teletrabajo 11.7.1. Ordenadores portátiles y comunicaciones móviles Según entrevista se evidencia que no hay un control sobre dispositivos móviles. (Audio) PE4
  • 11. 11.7.2. Teletrabajo Según entrevista no existe por el momento la opción de trabajar remotamente. (Audio) PE5
  • 12. BIBLIOGRAFÍA CADME RUIZ, C., & DUQUE POZO, D. (2012). AUDITORIA DE SEGURIDAD INFORMÁTICA ISO 27001 PARA LA EMPRESA DE ALIMENTOS "ITALIMENTOS CIA.LTDA". Obtenido de https://dspace.ups.edu.ec/bitstream/123456789/2644/16/UPS-CT002441.pdf ERAZO CERÓN, A., & IVAN DAVID GUERRERO. (2015). AUDITORIA A LA SEGURIDAD DE LA INFORMACION EN LA EMPRESA EXPRESO JUANANBU DE LA CIUDAD DE PASTO SOPORTADA EN LOS ESTANDARES DE AUDITORIA COBIT ISO/IEC 27000. Obtenido de http://biblioteca.udenar.edu.co:8085/atenea/biblioteca/91286.pdf NOVOA, F. J. (2017). AUDITORÍA A LA SEGURIDAD INFORMÁTICA DE LOS SERVICIOS DE TECNOLOGÍAS DE LA INFORMACIÓN EN LA E.S.E HOSPITAL SAN FRANCISCO DE GACHETÁ. Obtenido de https://stadium.unad.edu.co/preview/UNAD.php?url=/bitstream/10596/12796/1/107 4416618.pdf