1. CORPORACIÓN UNIVERSITARIA AMERICANA
VICTOR MANUEL MONTAÑO
(TALLER SEGURIDAD DE LA INFORMACION)
EDGAR JOSUÉ HERRERA URIBE
LUIS ALBERTO LORA ARRIETA
FAC. INGENIERIA DE SISTEMAS
(ESPECIALIZACION EN SEGURIDAD DE LA INFORMACION)
BARRANQUILLA 25 ABRIL 2015

2. TRABAJO A REALIZAR POR LOS EQUIPOS DE ESTUDIANTES DEL CURSO
Una vez leído el Caso Práctico se solicita dar respuesta a los siguientes cuestionamientos:
■ Indicar cualquier problemade seguridadde la informaciónque no se controla específicamente enlaactualidad en
la Unidad Administrativa XX.
1. Tiene varios años tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema
informático propio.
2. Los usuariospuedenrealizarsustramitacionesvíaweb,usandosuCédulade Ciudadaníacomoidentificación,más
una contraseña personal.
3. El mismo sistema de tramitación es usado por un funcionario interno para atender ciudadanos que se declaran
desconocedores de los aspectos tecnológicos y desean ser atendidos en las dependencias de la unidad.
4. Se toma la decisión de dejar por fuera del estudio elementosque pudieran ser relevantes en un análisis más
detallado como son los datos de identificacióny autenticaciónde usuarios de los sistemas, las áreas de trabajo
del personal que los maneja, la sala de equipos (centro de procesamiento de datos) y las personas relacionadas
con el proceso.
5. Explícitamente se excluirá la evaluación de la seguridad de los servicios subsidiarios que se emplean.
6. El análisis es local,circunscrito a la unidad que nos ocupa. Dichos servicios remotosse consideran, a efectosde
este análisis, “opaco”; es decir, que no entraremos a analizar cómo se prestan.
7. El proyecto se anuncia internamente mediante comunicación general a todo el personal de la Unidad y
notificación personal a aquellas personas que se verán directamente afectadas. En estas comunicaciones se
entrega identificación de las personas responsables del Proyecto.
8. El Serviciode Tramitaciónse prestapormediode unaaplicacióninformáticadesarrolladaenel pasadosobre una
base de datos.A estaaplicaciónse accede a travésde usuarioslocalescuyadefiniciónde perfilesde accesotiene
definidos privilegios adecuados.
9. Iniciar una tramitación supone abrir un expediente que se almacena localmente en la oficina. También supone
recabar una serie de datos del archivo central de información, datos que se copian localmente.
10.Al cierre del expediente,losdatosyuninforme de lasactuacionesrealizadasse remitenal archivocentral parasu
custodia, eliminándose la información de los equipos locales.
11.El personal de la Unidad se identificapormediode su Cuentade Usuario,mientrasque losusuariosremotos se
identificanporsuCédulade Ciudadanía.Enambos casosel sistemarequiere unacontraseña para autenticarlos.
12.Porúltimo,hayque destacarel papelque prestalamensajeríaelectrónicaentodoel procesode tramitación;este
esusadocomomediointernode comunicaciónentre elpersonal ycomomecanismode notificaciónalosusuarios
externos.
13. A travésde Intranet, se prestaun serviciocentralizadode archivoyrecuperación de documentos.Los usuarios
acceden por medio de una interfaz web local, la cual se encuentra conectada al servidor remoto a través de
una red privada virtual. Este servicio sólo está disponible para el personal de la unidad y para el empleado
virtual que presta el servicio de tramitación remota.
14.Existe unacapacidadde almacenamientolocalde informaciónenel discodelPC,de esteque nose realizancopias
de seguridad. Adicionalmente, existe un procedimiento de instalación / actualización que borra el disco local y
reinstala el sistema íntegro.

3. 15.Los equipos no disponen de unidades de disco removible de ningún tipo: disquetes, CD, DVD, USB, etc.
16.Se dispone de una red de área local que cubre las dependencias de trabajo y la sala de equipos.
17.La mayoría del personal labora en los edificios de la Unidad, principalmente en zonas interiores.
■ Identificarlos activos y recursos de información de la Unidad y señalar cuáles son los controles de seguridadde la
información, que en consideración a los activos y recursos identificados, deberían ser utilizados.
1. Un sistemainformáticopropio. A este sistemainformáticose le hahabilitadorecientemente unaconexióna
un archivo central que funciona como “memoria.
*Deshabilitar la conexión al archivo central.
2. El mismosistemadetramitaciónesusadoporunfuncionariointernopara atenderciudadanosquese declaran
desconocedores de los aspectos tecnológicos y desean ser atendidos en las dependencias de la unidad.
*El sistema interno no debe ser usado para atender al publico.
3. Toda la tramitaciónincluye una Fase de Solicitud (y entradade datos) y una Fase de Respuesta(yentrega
de datos). El ciudadanorealizasusolicitudyesperaunanotificación pararecogerlarespuesta. La notificación
es por correo, certificado en el caso de tramitación presencial, y electrónico en el caso de tramitación
electrónica.
*Mayor control en el envío y recibo de correos.
4. A través de Intranet, se presta un servicio centralizado de archivo y recuperación de documentos. Los
usuariosaccedenpor mediode una interfazweb local, la cual se encuentraconectada al servidorremotoa
través de una red privada virtual. Este servicio sólo está disponible para el personal de la unidad y para el
empleado virtual que presta el servicio de tramitación remota.
* Los usuarios no tienen que acceder a la intranet de la unidad.
5. La Unidad dispone de varios equipos personales de tipo PC situados dentro de los locales. Estos equipos
disponen de un navegador web, de un cliente de correo electrónico sin almacenamiento local de los
mensajes y un paquete ofimáticoestándar(procesadorde textos y hoja de cálculo).
* Todo debe tener un almacenamiento ya sea local o remoto.
■ Determinar cuál es el personal que deberíaestar involucradoen el desarrollodel Sistemade Gestiónde Seguridad
de la Información, y cuáles serían sus compromisos y responsabilidades.
1. La Dirección de la Unidad, convencida de la necesidad de tomar medidas antes de que ocurra una desgracia,
crea un Comité de Seguimientoformadoporlosresponsablesde losservicios involucrados:Atención aUsuarios,
AsesoríaJurídica, ServiciosInformáticos y Seguridad Física.
* Cada uno representandosurespectivaáreay des vezen cuando hacer una respectivarotaciónde loslideres
para futuras ocasiones
2. El lanzamiento del proyecto incluye una reunión de la Dirección con el Comité de Seguimiento en la que se
exponen los puntos principales del análisis somero realizado por el Promotor que quedó habilitado como
Director del Proyecto AGR; en este participaran dos personas de su equipo junto con un experto contratado
como asesora travésde empresa consultoraexterna.Uno de los miembros del equipo internotendráun perfil
técnico: Ingeniero de Sistemas. A la empresa consultora externa se le exige identificar a las personas que
proveerá y firmar un acuerdo de confidencialidad.
* Todo el personal debe estar debidamente calificado para realizar las respectivas funciones que le sean
asignados.