UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD FASE 4 EJECUCION JOSE TORREGROZA RODRIGUEZ TUTOR FRANCISCO NICOLAS SOLARTE UNI
Views 207 Downloads 2 File size 79KB
UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD FASE 4 EJECUCION
JOSE TORREGROZA RODRIGUEZ
TUTOR FRANCISCO NICOLAS SOLARTE
UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA 2018 BOGOTÁ
Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios Probabilidad N°
Descripción B
R1
R2
Impacto
M
No se capacita al personal en temas relacionados con
área de sistemas
L
X
la seguridad informática Falta de capacitación y sensibilización del personal del
A
M C X
X
X
No existe un control sobre los insumos y recursos informáticos que la universidad compra, lo cual R3
permite que estos sean utilizados para tareas diferentes
X
X
a las previstas, haciendo que éstos se acaben de una manera más rápida Los usuarios no usan R4
Redes seguras y cifradas
(VLAN, VNP, IPSEC) para conectarse a la red de la
X
X
universidad Uso indebido del correo electrónico para el envío de R5
información a personal externo o para el registro en
X
X
foros y redes sociales. Algunos de los usuarios conectan dispositivos R6
personales no seguros a la red de la universidad lo que puede generar huecos de seguridad dando cabida a la entrada de piratas cibernéticos
X
X
Alto
R1, R5
R4
R3
R2
R6
Leve
Moderado
Catastrófico
61-100%
PROBABILIDAD
Medio 31-60% Bajo 0-30%
IMPACTO
N°
Descripción Riesgo
Tratamiento Riesgo
No se capacita al usuario en temas relacionados con la R1
seguridad informática
Transferir
Falta de capacitación y sensibilización del personal del área R2
de sistemas
Controlarlo
No existe un control sobre los insumos y recursos informáticos que la universidad compra, lo cual permite que R3
estos sean utilizados para tareas diferentes a las previstas,
Aceptarlo
haciendo que éstos se acaben de una manera más rápida Los usuarios no usan Redes seguras y cifradas (VLAN, VNP, R4
IPSEC) para conectarse a la red de la universidad
Controlarlo
Uso indebido del correo electrónico para el envío de R5
información a personal externo o para el registro en foros y Controlarlo redes sociales. Algunos de los usuarios conectan dispositivos personales no
R6
seguros a la red de la universidad lo que puede generar huecos Controlarlo de seguridad dando cabida a la entrada de piratas cibernéticos
1
Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios
REF HALLAZGO 1 HHDN_01
PÁGINA
PROCESO
Educar y Entrenar a los Usuarios
AUDITADO
1
DE
SOPORTE DOMINIO
1
Jose Torregroza
RESPONSABLE MATERIAL
DE
COBIT
ENTREGAR SOPORTE
Y
DAR
PROCESO
DS7: Educar y Entrenar a los Usuarios
DESCRIPCIÓN: Se encuentra que la universidad no cuenta con un plan de capacitaciones enfocadas en ayudarle a sus usuarios y demás usuarios a reconocer los comportamientos seguros e inseguros cuando hacen uso de las herramientas informáticas tanto de la universidad como externas. Se detecta que los usuarios no usan Redes seguras y cifradas (VLAN, VNP, IPSEC) para acceder desde redes diferentes a la interna, a repositorios que contienen información privada de la universidad y sus clientes.
REF_PT: Entrevista: E1 (Anexo 1)
CONSECUENCIAS: La falta de capacitación de los usuarios con acceso a la red y el sistema en temas relacionados con los comportamientos seguros e inseguros respecto al uso de las herramientas TIC, puede ocasionar serios problemas de seguridad para la universidad, ya que se corre el riesgo de que los usuarios sean víctimas de un sinnúmero de amenazas externas a las que diariamente están expuestos, que buscan la obtención ilegal de información confidencial, tanto de las personas como de las universidad s para las que laboran. Al no garantizarse la seguridad en las conexiones de los usuarios a través del uso de Redes seguras y cifradas (VLAN, VNP, IPSEC), se abre una puerta a personas malintencionadas para que tengan acceso a información de la universidad y sus clientes, poniendo en alto riesgo el desarrollo de las actividades de la compañía.
RIESGO: Probabilidad de ocurrencia: 100% Impacto según relevancia del proceso: Alto.
RECOMENDACIONES: Implementar un programa de capacitación para los usuarios de la universidad y otros actores, sean conscientes de los riesgos a los que están expuestos cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para evitar posibles afectaciones a nivel personal y/o profesional, aminorando así el riesgo de pérdida o divulgación de información de ellos y de la universidad. Implementar el uso de Redes seguras y cifradas (VLAN, VNP, IPSEC) para asegurar las conexiones de los usuarios a los repositorios de información de la universidad, cuando no estén conectados a la red interna.
2
Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los Usuarios
Riesgos o hallazgos
Tipo de control
Soluciones o controles
encontrados Falta de capacitación y PREVENTIVO
Construir un plan de capacitaciones periódicas
sensibilización
para el personal de sistemas en las que se
del
personal del área de sistemas
actualicen los conocimientos de estos. CORRECTIVO
Capacitar al personal de sistemas en el manejo adecuado de las herramientas que se usan en la universidad. Si no se cuenta en la universidad con el personal idóneo para esta capacitación puede contratarse un tercero que lo haga.
Los usuarios no usan CORRECTIVO
Implementar el uso de una Redes seguras y
Redes seguras y cifradas
cifradas (VLAN, VNP, IPSEC) en todas las
(VLAN, VNP, IPSEC)
conexiones de los usuarios de la universidad a
para conectarse a la red
los repositorios de información de esta.
de la universidad Uso indebido del correo PREVENTIVO
Exponer a los usuarios los riesgos a los que se
electrónico para el envío
exponen y exponen a la universidad, al utilizar
de
la cuenta de correo electrónico empresarial para
información
a
personal externo o para el registro en foros y redes sociales
tratar asuntos diferentes a los laborales. DETECTIVO
Instalación de herramienta de software de análisis
de
contenido
de
correo
electrónico que permita el monitoreo en
tiempo real del uso dado a el correo electrónico empresarial por parte de los usuarios. CORRECTIVO
Tomar acciones disciplinarias sobre los usuarios que usen la cuenta de correo empresarial para tratar temas diferentes a los laborales. En caso de detectarse que se ha comprometido la cuenta de correo del empleado deshabilitar la misma.
Algunos de los usuarios PREVENTIVO
Ejercer controles de seguridad para la conexión
conectan
de dispositivos no permitidos a la red de la
dispositivos
personales no seguros a
universidad.
la red de la universidad lo que puede generar huecos
de
seguridad
dando
cabida
entrada
de
a
la
piratas
cibernéticos
Proceso DS7 Educar y entrenar a los usuarios
CUADRO DE DEFINICION DE FUENTES DE
REF
CONOCIMIENTO, PRUEBAS DE ANALISIS DE AUDITORIA
PAGINA
ENTIDAD
Universidad
AUDITADA PROCESO
Proceso de entrenamiento en riesgos informáticos
AUDITADO
Jose Torregroza
RESPONSABLE MATERIAL SOPORTE
DE
COBIT
1
D E
1
DOMINIO
Entregar Y Dar Soporte (DS)
PROCESO
DS7 Educar y Entrenar a los Usuarios
FUENTES DE CONOCIMIENTO Resolución SGSI
Sistema interno
de
REPOSITORIO DE PRUEBAS APLICABLES DE ANALISIS DE EJECUCION Validar si en el contenido Calificar y medir los de la resolución SGSI, se resultados de eficiencia encuentra descrita las individual de los actividades y riesgos sobre empleados. la administración de información.
control Revisar la información en Comprobar el esquema de el sistema de gestión de protección de información control interno sobre riegos en los dispositivos. en TI.
Responsable del área de Medir el conocimiento de Evidenciar los telemática o afines. los trabajadores sobre conocimientos del personal riegos de las TI. sobre los controles frente a los riesgos detectados.
ENTREVISTA DOMINIO
Entregar Y Dar Soporte (DS)
PROCESO
DS7 Educar y Entrenar a los Usuarios
OBJETIVO DE CONTROL Nº
CUESTIONARIO
RESPUESTA Si, conoce algo la resolución de los
¿Conoce la resolución sobre el SGSI?
sistemas de gestión de seguridad de la información.
¿Conoce los deberes y precauciones Si, conoce algunos de los deberes y 1
sobre el manejo de información, según precauciones sobre el manejo de el SGSI?
información, según el SGSI
¿Se utilizan métodos cualitativos o 2
cuantitativos para medir la probabilidad No, no se utilizan cuantitativos para e impacto de los riesgos que pueden este proceso. afectar la infraestructura tecnológica?
3
¿Ha recibido capación sobre el SGSI, y sus responsabilidades? ¿Cree pertinente la manera como recibe
4
entrenamiento sobre la administración de información?
Si, pero no en esta compañía.
No, esta es insuficiente y llena de falencia y vacíos.