Aporte Individual Fase 4

UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD FASE 4 EJECUCION JOSE TORREGROZA RODRIGUEZ TUTOR FRANCISCO NICOLAS SOLARTE UNI

Views 207 Downloads 2 File size 79KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Fase 4 Aporte Individual
Fase 4 Aporte Individual

76 3 724KB Read more

Aporte Individual Fase 4
Aporte Individual Fase 4

62 0 676KB Read more

Aporte Individual Fase 4
Aporte Individual Fase 4

21 2 545KB Read more

Aporte Individual Fase 3
Aporte Individual Fase 3

36 0 147KB Read more

Fase 2 Aporte Individual
Fase 2 Aporte Individual

45 2 498KB Read more

Aporte individual fase 1
Aporte individual fase 1

118 2 145KB Read more

Aporte Individual Fase 5
Aporte Individual Fase 5

21 0 207KB Read more

Fase 2 Aporte Individual
Fase 2 Aporte Individual

62 0 509KB Read more

APORTE INDIVIDUAL DIAGNOSTICO EMPRESARIAL FASE 4.docx
APORTE INDIVIDUAL DIAGNOSTICO EMPRESARIAL FASE 4.docx

17 0 293KB Read more

Fase 4- Matriz de Analisis-Aporte Individual
Fase 4- Matriz de Analisis-Aporte Individual

103 2 40KB Read more

Citation preview

UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD FASE 4 EJECUCION

JOSE TORREGROZA RODRIGUEZ

TUTOR FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA 2018 BOGOTÁ

Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios Probabilidad N°

Descripción B

R1

R2

Impacto

M

No se capacita al personal en temas relacionados con

área de sistemas

L

X

la seguridad informática Falta de capacitación y sensibilización del personal del

A

M C X

X

X

No existe un control sobre los insumos y recursos informáticos que la universidad compra, lo cual R3

permite que estos sean utilizados para tareas diferentes

X

X

a las previstas, haciendo que éstos se acaben de una manera más rápida Los usuarios no usan R4

Redes seguras y cifradas

(VLAN, VNP, IPSEC) para conectarse a la red de la

X

X

universidad Uso indebido del correo electrónico para el envío de R5

información a personal externo o para el registro en

X

X

foros y redes sociales. Algunos de los usuarios conectan dispositivos R6

personales no seguros a la red de la universidad lo que puede generar huecos de seguridad dando cabida a la entrada de piratas cibernéticos

X

X

Alto

R1, R5

R4

R3

R2

R6

Leve

Moderado

Catastrófico

61-100%

PROBABILIDAD

Medio 31-60% Bajo 0-30%

IMPACTO



Descripción Riesgo

Tratamiento Riesgo

No se capacita al usuario en temas relacionados con la R1

seguridad informática

Transferir

Falta de capacitación y sensibilización del personal del área R2

de sistemas

Controlarlo

No existe un control sobre los insumos y recursos informáticos que la universidad compra, lo cual permite que R3

estos sean utilizados para tareas diferentes a las previstas,

Aceptarlo

haciendo que éstos se acaben de una manera más rápida Los usuarios no usan Redes seguras y cifradas (VLAN, VNP, R4

IPSEC) para conectarse a la red de la universidad

Controlarlo

Uso indebido del correo electrónico para el envío de R5

información a personal externo o para el registro en foros y Controlarlo redes sociales. Algunos de los usuarios conectan dispositivos personales no

R6

seguros a la red de la universidad lo que puede generar huecos Controlarlo de seguridad dando cabida a la entrada de piratas cibernéticos

1

Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios

REF HALLAZGO 1 HHDN_01

PÁGINA

PROCESO

Educar y Entrenar a los Usuarios

AUDITADO

1

DE

SOPORTE DOMINIO

1

Jose Torregroza

RESPONSABLE MATERIAL

DE

COBIT

ENTREGAR SOPORTE

Y

DAR

PROCESO

DS7: Educar y Entrenar a los Usuarios

DESCRIPCIÓN:  Se encuentra que la universidad no cuenta con un plan de capacitaciones enfocadas en ayudarle a sus usuarios y demás usuarios a reconocer los comportamientos seguros e inseguros cuando hacen uso de las herramientas informáticas tanto de la universidad como externas.  Se detecta que los usuarios no usan Redes seguras y cifradas (VLAN, VNP, IPSEC) para acceder desde redes diferentes a la interna, a repositorios que contienen información privada de la universidad y sus clientes.

REF_PT: Entrevista: E1 (Anexo 1)

CONSECUENCIAS:  La falta de capacitación de los usuarios con acceso a la red y el sistema en temas relacionados con los comportamientos seguros e inseguros respecto al uso de las herramientas TIC, puede ocasionar serios problemas de seguridad para la universidad, ya que se corre el riesgo de que los usuarios sean víctimas de un sinnúmero de amenazas externas a las que diariamente están expuestos, que buscan la obtención ilegal de información confidencial, tanto de las personas como de las universidad s para las que laboran.  Al no garantizarse la seguridad en las conexiones de los usuarios a través del uso de Redes seguras y cifradas (VLAN, VNP, IPSEC), se abre una puerta a personas malintencionadas para que tengan acceso a información de la universidad y sus clientes, poniendo en alto riesgo el desarrollo de las actividades de la compañía.

RIESGO: Probabilidad de ocurrencia: 100% Impacto según relevancia del proceso: Alto.

RECOMENDACIONES:  Implementar un programa de capacitación para los usuarios de la universidad y otros actores, sean conscientes de los riesgos a los que están expuestos cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para evitar posibles afectaciones a nivel personal y/o profesional, aminorando así el riesgo de pérdida o divulgación de información de ellos y de la universidad.  Implementar el uso de Redes seguras y cifradas (VLAN, VNP, IPSEC) para asegurar las conexiones de los usuarios a los repositorios de información de la universidad, cuando no estén conectados a la red interna.

2

Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los Usuarios

Riesgos o hallazgos

Tipo de control

Soluciones o controles

encontrados Falta de capacitación y PREVENTIVO

Construir un plan de capacitaciones periódicas

sensibilización

para el personal de sistemas en las que se

del

personal del área de sistemas

actualicen los conocimientos de estos. CORRECTIVO

Capacitar al personal de sistemas en el manejo adecuado de las herramientas que se usan en la universidad. Si no se cuenta en la universidad con el personal idóneo para esta capacitación puede contratarse un tercero que lo haga.

Los usuarios no usan CORRECTIVO

Implementar el uso de una Redes seguras y

Redes seguras y cifradas

cifradas (VLAN, VNP, IPSEC) en todas las

(VLAN, VNP, IPSEC)

conexiones de los usuarios de la universidad a

para conectarse a la red

los repositorios de información de esta.

de la universidad Uso indebido del correo PREVENTIVO

Exponer a los usuarios los riesgos a los que se

electrónico para el envío

exponen y exponen a la universidad, al utilizar

de

la cuenta de correo electrónico empresarial para

información

a

personal externo o para el registro en foros y redes sociales

tratar asuntos diferentes a los laborales. DETECTIVO

Instalación de herramienta de software de análisis

de

contenido

de

correo

electrónico que permita el monitoreo en

tiempo real del uso dado a el correo electrónico empresarial por parte de los usuarios. CORRECTIVO

Tomar acciones disciplinarias sobre los usuarios que usen la cuenta de correo empresarial para tratar temas diferentes a los laborales. En caso de detectarse que se ha comprometido la cuenta de correo del empleado deshabilitar la misma.

Algunos de los usuarios PREVENTIVO

Ejercer controles de seguridad para la conexión

conectan

de dispositivos no permitidos a la red de la

dispositivos

personales no seguros a

universidad.

la red de la universidad lo que puede generar huecos

de

seguridad

dando

cabida

entrada

de

a

la

piratas

cibernéticos

Proceso DS7 Educar y entrenar a los usuarios

CUADRO DE DEFINICION DE FUENTES DE

REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA

PAGINA

ENTIDAD

Universidad

AUDITADA PROCESO

Proceso de entrenamiento en riesgos informáticos

AUDITADO

Jose Torregroza

RESPONSABLE MATERIAL SOPORTE

DE

COBIT

1

D E

1

DOMINIO

Entregar Y Dar Soporte (DS)

PROCESO

DS7 Educar y Entrenar a los Usuarios

FUENTES DE CONOCIMIENTO Resolución SGSI

Sistema interno

de

REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Validar si en el contenido Calificar y medir los de la resolución SGSI, se resultados de eficiencia encuentra descrita las individual de los actividades y riesgos sobre empleados. la administración de información.

control Revisar la información en Comprobar el esquema de el sistema de gestión de protección de información control interno sobre riegos en los dispositivos. en TI.

Responsable del área de Medir el conocimiento de Evidenciar los telemática o afines. los trabajadores sobre conocimientos del personal riegos de las TI. sobre los controles frente a los riesgos detectados.

ENTREVISTA DOMINIO

Entregar Y Dar Soporte (DS)

PROCESO

DS7 Educar y Entrenar a los Usuarios

OBJETIVO DE CONTROL Nº

CUESTIONARIO

RESPUESTA Si, conoce algo la resolución de los

¿Conoce la resolución sobre el SGSI?

sistemas de gestión de seguridad de la información.

¿Conoce los deberes y precauciones Si, conoce algunos de los deberes y 1

sobre el manejo de información, según precauciones sobre el manejo de el SGSI?

información, según el SGSI

¿Se utilizan métodos cualitativos o 2

cuantitativos para medir la probabilidad No, no se utilizan cuantitativos para e impacto de los riesgos que pueden este proceso. afectar la infraestructura tecnológica?

3

¿Ha recibido capación sobre el SGSI, y sus responsabilidades? ¿Cree pertinente la manera como recibe

4

entrenamiento sobre la administración de información?

Si, pero no en esta compañía.

No, esta es insuficiente y llena de falencia y vacíos.