Seguridad Gestion de Identidad

GESTION DE IDENTIDAD PRESENTADO POR: SERGI ROBINNY BUENO JHON ALEXANDER BOLAÑOS DOCENTE DE PROYECTO: Doc. ALEXANDRE RA

Views 69 Downloads 2 File size 318KB

Report DMCA / Copyright

DOWNLOAD FILE

Recommend stories
Trabajo de Gestion de identidad
Trabajo de Gestion de identidad

INSTITUCION UNIVERSITARIA POLITECNICO GRANCOLOMBIANO GESTION DE IDENTIDAD PROYECTO DE IMPLEMENTACION DE GESTION DE ID

10 1 598KB Read more

Gestion Cultural e Identidad
Gestion Cultural e Identidad

26 0 2MB Read more

Gestion+de+identidad+Segunda+Entrega
Gestion+de+identidad+Segunda+Entrega

19 0 872KB Read more

Entrega 3 - Gestion de Identidad
Entrega 3 - Gestion de Identidad

3 0 227KB Read more

FORO2-GESTION DE SEGURIDAD
FORO2-GESTION DE SEGURIDAD

17 2 34KB Read more

Sistema de Gestion de Seguridad
Sistema de Gestion de Seguridad

14 2 1MB Read more

Sistemas de Gestion de Seguridad
Sistemas de Gestion de Seguridad

3 0 9MB Read more

Sistema de Gestion de Seguridad
Sistema de Gestion de Seguridad

SEGURIDAD MINERA E INDUSTRIAL TEMA : GESTION (DNV) DOCENTE : ASIGNATURA RIESGOS ING. RAUL GUILLERMO : ALUMNO ALEJ

5 0 195KB Read more

Auditoria De Gestion De Seguridad
Auditoria De Gestion De Seguridad

AUDITORIA DE GESTION DE SEGURIDAD REUNION DE APERTURA AUDITORES: _______________________________________________________

20 5 71KB Read more

Gestion Incidentes Seguridad
Gestion Incidentes Seguridad

1 0 1MB Read more

Citation preview

GESTION DE IDENTIDAD

PRESENTADO POR: SERGI ROBINNY BUENO JHON ALEXANDER BOLAÑOS

DOCENTE DE PROYECTO: Doc. ALEXANDRE RAMIREZ

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO GRAN COLOMBIANO GESTION DE IDENTIDAD ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN 2019-20

1

2

3

Indicar los mecanismos de identificación que se encuentran en el caso estudio. Mencione cuales son los problemas que identifica frente a estos mecanismos (si los hay) y que cambios realizaría para mejorar los procesos de identificación realizados en el caso estudio.

Funcionarios

Funcionarios

Visitante

Visitantes Funcionario Recepcionista - Visitante Jefe - Administrador

Gerente Financiero

Cambios Frente a la asignacion de nombre de usuario es necesario que la organización establezca un mecanismos que le permita id mismno. También es importante que se establezacan perfiles y roles desde RRHH que permitan establecer límites de acces

Describir el(los) modelo(s) de control de acceso que identifica en el caso estudio, presentando en qué situación identifica el modelo de control de acceso (especificar la parte del caso estudio donde identifica cada modelo) y la justificación de porque lo clasifica como el modelo de control de acceso que seleccione (esto se refiere a DAC, MAC, RBAC o BR-RBAC).

Visitante

Área de Tecnología

Administrador - Área de Tecnología

Area Financiera

Area Financiera

Gerente de Riesgo

Administrador de los aplicativos

Realizar la definición de las políticas de control de acceso que considere pertinentes para responder a los requerimientos de seguridad del caso estudio. La definición de las políticas debe considerar las tres frases: política de alto nivel, planteamiento de las reglas (representación formal) y la descripción de la implementación técnica.

La División Informática [1] establece como Política de Control de Acceso el controlar el acceso a la información, a las instal y seguridad.

La política de alto nivel o política general [2], hace referencia a la necesidad de la implementación de un sistema de gestió implementación del SGSI, En este grupo se integran las politcas de Control de Acceso entendidas como aquellas directrice relacionados con los accesos a la información, sin importar si estos accesos sean electrónicos o físicos; estas deben contem

1. Control de acceso con usuario y contraseña: Se debe elaborar una política sobre control de acceso a redes, aplicacione creación, modificación, suspensión o eliminación de usuarios (ID) y contraseñas. a entidad debe establecer que por cada fu

2. Suministro del control de acceso: Esta política debe determinar los procedimientos formales y directrices que se deben deben tenerse en cuenta en esta política los casos especiales como lo son usuarios (ID) con privilegios superiores utilizado

3. Gestión de Contraseñas: Esta política debe definir los lineamientos mínimos en cuanto a calidad que deben tener las co política debe indicar a los funcionarios, contratistas y/o terceros los parámetros mínimos para que una contraseña sea considera como fuerte, gestión de cambio de contraseña, debe determinar que los accesos a autenticación y acceso a la información de forma segura

4. Perímetros de Seguridad: La política debe definir los perímetros físicos de seguridad donde se encuentra información cr cuales no, la política debe definir los responsables de autorizar o no ingresos a las áreas delimitadas como de acceso restri

5. Áreas de Carga: La política debe definir las condiciones e instalaciones físicas en las cuales se va a realizar despacho y ca política debe determinar el seguimiento que se debe realizar para garantizar el cumplimiento de dicha política y sus corres

Mecanismo de Identificación Biométrico con RFID

Autenticación contra el Directorio Activo

Registro software de recepción Logs o históricos de acceso (Software recepción) Torniquete Mesa de Ayuda (SolucionesTI)

Token Firma Digital

nismos que le permita identificar un usuario sin importar la plataforma, y un manejo de contraseña que le permita al usuario en alguno tablecer límites de acceso, asi mismo es importante que la empresa implemente la solicitud de "autorización de manejo de datos".

Modelos de

Presentación

El visitante es dirigido a una segunda recepción (en el piso base) donde es anunciado con el funcionario a quien visita el cual debe ir hasta la recepción y recoger al visitante. El visitante deja un documento de identificación y le es entregado una tarjeta de visitante, en el momento de retirarse de la compañía, en la segunda recepción debe devolver la Tarjeta de visitante

El área de tecnología tiene implementado una serie de controles y mecanismo para la administración de las cuentas y claves de usuario y los accesos que requieren los funcionarios a los diferentes recursos informáticos de la organización.

Para el caso de las aplicaciones, se manejan dos mecanismos de acceso, un esquema centralizado para las aplicaciones que están integradas al directorio, y un esquema local que se maneja de manera independiente en las aplicaciones que utilizan usuarios locales para su acceso.

Para el caso de los funcionarios del área financiera se cuenta con la asignación de tokens y firmas digitales para la realización de las operaciones financieras.

La asignación de los tokens a los funcionarios las realiza el Gerente financiero de acuerdo con quien considera que en un determinado momento puede realizar la operación financiera requerida.

Se puede acceder a redes corporativas desde la red cableada en una sala para proveedores (No se hace uso exclusivo de la red inalámbrica para los visitantes y proveedores)

Los Administradores locales guardan en Excel el registro de los usuarios para el control, y es almacenado en una carpeta compartida, donde tienen acceso los demás funcionarios dependiendo el aplicativo.

POLITICAS DE CONTROL DE ACCESO

información, a las instalaciones de procesamiento de la información (Datacenter) y a los procesos de provisión, los cuales deberán ser

n de un sistema de gestión de seguridad de la información (SGSI) planteado desde la descripción del quién, qué, por qué, cuándo y cóm como aquellas directrices mediante las cuales la organizacion determina los mecanismos de protección, los límites y procedimientos fr cos; estas deben contemplar las siguientes caracterisiticas

ceso a redes, aplicaciones, y/o sistemas de información de la entidad, mediante la cual se determinen los responsables y los procedimi stablecer que por cada funcionario, contratista o tercero debe tenerse un usuario y una contraseña para el acceso.

directrices que se deben construir para la gestión de asignación, modificación, revisión o revocación de derechos y/o privilegios a cada gios superiores utilizados para la administración de infraestructura, aplicaciones y sistemas de información de la entidad.

d que deben tener las contraseñas para ser utilizadas como mecanismo de autenticación en los accesos a la red, aplicaciones y/o sistem

rminar que los accesos a la red, las aplicaciones y sistemas de información deben requerir un usuario (ID) y una contraseña fuerte para

encuentra información crítica, sensible o se realice almacenamiento y/o procesamiento de información a los cuales los funcionarios, co as como de acceso restringido.

a realizar despacho y carga de paquetes físicos para bodegas o espacios definidos de carga, esto con el fin de evitar el acceso no auto icha política y sus correspondientes responsables.

REFERENCIAS

[1] politica y procedimiento preliminar de control de acceso - http://www.intendenciaatacama.gov.cl/filesapp/Control%20 [2] Elaboración de la política general de seguridad y privacidad de la información.- https://www.mintic.gov.co/gestionti/61

Técnicas Huella Dactilar Tarjeta de Proximidad

Cuenta: Nombre Usuario Clave: Password

Tarjeta de Identidad Cedula de Ciudadanía Cedula de Extranjería (Documento con foto) Tarjeta de Identidad Cedula de Ciudadanía Cedula de Extranjería (Documento con foto) Restricción de base basado en cronogramas Creación de usuarios basado en roles

Autenticación basada en llaves digitales

importar la plataforma, y un manejo de contraseña que le permita al usuario en algunos casos la recuperación de esta por si ante que la empresa implemente la solicitud de "autorización de manejo de datos".

Modelos de Control de Acceso

Control de acceso discrecional (Discretionary Access Control DAC)

Justificación: Se crean Políticas Administrativas de acceso físico a las Instalaciones (Proveedores y Visitantes) Ventajas: Hay control físico de acceso para los Proveedores y Visitantes. Desventajas: No se tienen logs de sitios accedidos Mejoras: Para Agilizar el tiempo de ingreso a los proveedores y visitantes; Contener una aplicación de base de datos, bajo la solicitud de autorización de manejo de dato para conoce

Justificación: son asignados tokens y firmas digitales para los procesos financieros. Ventajas: Control electronico de acceso. Mejoras: Generar logs y registros de control a los procesos que se hallan autorizado por tokens y firmas digitales.

Justificación: Solo el gerente tiene el control del Token. Ventajas: Tiene el control de las operacciones financieras. Mejoras:

Justificación: Los administradores Registran y Configuran los privilegios dentro la Red de compartida. Desventajas: Todos los administradores y funcionarios tienen acceso al Archivo Excel de Control de Usuario. Mejoras: Deberia el Area de Sistemas con el Area de Riesgo, Controlar este sistema.

nto de la información (Datacenter) y a los procesos de provisión, los cuales deberán ser controlados sobre la base de los requisitos

ormación (SGSI) planteado desde la descripción del quién, qué, por qué, cuándo y cómo, en torno al desarrollo de la organizacion determina los mecanismos de protección, los límites y procedimientos frente a la administración y responsabilidad, cterisiticas

mación de la entidad, mediante la cual se determinen los responsables y los procedimientos formales de autorización de o tercero debe tenerse un usuario y una contraseña para el acceso.

n de asignación, modificación, revisión o revocación de derechos y/o privilegios a cada uno de los usuarios (ID) creados, también de infraestructura, aplicaciones y sistemas de información de la entidad.

zadas como mecanismo de autenticación en los accesos a la red, aplicaciones y/o sistemas de información de la entidad. Esta

y sistemas de información deben requerir un usuario (ID) y una contraseña fuerte para que realice la correspondiente

ce almacenamiento y/o procesamiento de información a los cuales los funcionarios, contratistas o terceros, tienen acceso y a

para bodegas o espacios definidos de carga, esto con el fin de evitar el acceso no autorizado a otras áreas de la entidad. Esta es.

nar de control de acceso - http://www.intendenciaatacama.gov.cl/filesapp/Control%20de%20Acceso%20Preliminar.pdf - Pag 3 l de seguridad y privacidad de la información.- https://www.mintic.gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf - Pag 6

Problemas Identificados

Según se describe, está permitido la asignación de diferentes usuarios y contraseñas para cada funcionario en el ingreso de cada aplicativo, lo cual genera que los funcionarios realicen solicitudes constantes para recordar y desbloquear credenciales así como cambio de contraseñas

No se conservan los logs de acceso, se sobrescriben cada semana La empresa no tiene implementado solicitud de autorización de manejo de datos

No se tienen perfiles de cargo que permitan la asignación de roles y permisos, estos dependen del feje quien solicita las credenciales No se asignan basados en roles o perfiles, sino en la apreciación de un directivo (es subjetivo)

al usuario en algunos casos la recuperación de esta por si anejo de datos".

Modelos de Control de Acceso

Control de acceso mandatorio (Mandatory Access Control - MAC)

Justificación: El administrador crea la cuenta del nuevo funcionario a su cargo, generando los privilegios de la aplicación asignada. Ventajas: Acceso a la informacion y recursos. Desventajas: El funcionario debe memorizar los diferentes usuarios y Password creado por cada aplicacion, dependiendo de cuantas aplicaciones se le asignen a su cargo. Mejoras: Unifiación de criterios para la creación de credenciales (no debe se la misma contraseña)

cuales deberán ser controlados sobre la base de los requisitos

qué, cuándo y cómo, en torno al desarrollo de la y procedimientos frente a la administración y responsabilidad,

bles y los procedimientos formales de autorización de

o privilegios a cada uno de los usuarios (ID) creados, también tidad.

icaciones y/o sistemas de información de la entidad. Esta

traseña fuerte para que realice la correspondiente

los funcionarios, contratistas o terceros, tienen acceso y a

r el acceso no autorizado a otras áreas de la entidad. Esta

filesapp/Control%20de%20Acceso%20Preliminar.pdf - Pag 3 gov.co/gestionti/615/articles-5482_G2_Politica_General.pdf - Pag 6, Pag 19

Control de acceso basado en roles (Role Based Access Control - RBAC)

Rule Based – Role Based Access Control (RBRBAC)

Justificación: El personal de la Area de Tecnologia administra y genera control de acceso del sujeto al objeto. Ventajas: Administra acceso a los usuarios y recursos. Desventajas: No hay sistema definido para las politicas de Control de acceso y privilegios. Mejoras: Aplicar de manera rigurosa las políticas asociadas a seguridad de la información, control de acceso, protección de datos personales, uso apropiado de software, uso de medios removibles y comunicaciones.

Justificación: Todas las Vlans no se pueden ver entre sí, pues el control de acceso se pierde Ventajas: Desventajas: Permite hacer ataques internos que pueden afectar la operatividad de la companía Mejoras: Se deben implementaras reglas de firewall y controles de acceso en los switches (layer3)

- Pag 3 eral.pdf - Pag 6, Pag 19

1. Proponer un modelo RBAC basado en la información entregada a continuación: Haga uso del lis que desarrollan. Si para el desarrollo requiere definir nuevos empleados puede hacerlo. Haga uso de los roles definidos y cree otros que considere necesarios para el desarrollo del punto realizarlo indicando las modificaciones que realice.

A continuación, en la siguiente Tabla 1 - Listado de Empleados; ubicación B16 – E39, se describe la agregado nuevos perfiles al anterior listado ubicados B40 – E43, completando el organigrama para donde se evidencia en la Imagen 1 – Organigrama Segurito S.A.

Imagen 1 - Organigrama Segurito S

La empresa Segurito S.A. de acuerdo a los cargos se ha establecido un solo rol de acuerdo al reque Tabla 2 –Roles, gracias al (Cod) – código, es posible asignar roles a nuevos perfiles o cargos que re empresa.

ID Empleado Nombre 521531 Marta Bedoya 521532 Juan Carlos Peña 521533 Amador Fernández 521534 Tatiana Redondo 521536 Marco Ventura 521537 Ignacio Casas

Tabla 1 - LISTADO DE EMPLEADOS Área Gerencia Gerencia Gerencia Gerencia Operaciones Operaciones

521538 Lida Buitrago 521539 Alberto Ocaso 521540 Mabel Tirado 521541 María Tirado 521542 Marco Ventura 521543 Ana María Peña 521544 Stive Castro 521545 Sandra Vega 521546 Pepe Grisales 521547 Leonardo Sierra 521548 Ana Roldan 521549 Daniel Romero 521550 Sergi Bueno 521551 Martha Peña 521552 Viviana Estuardo 521553 David F. Londoño 521554 John Cardenas 521555 Gibran Guerra 521556 Nicolas Calderon 521557 Oswaldo Carvajal

Operaciones Operaciones Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Tecnología Tecnología Tecnología Tecnología Tecnología Financiera y administrativa Financiera y administrativa Financiera y administrativa Financiera y administrativa Comercial Comercial Comercial

Utilice la referencia de los módulos y operaciones definidas para el aplicativo “MoviRed”. Tenga e análisis requerido de segregación de funciones de acuerdo con las operaciones existentes y la asig

SSD DSD

Segregación estática de funciones Segregación dinámica de funciones MOVIRED

MODULOS

SEGREGACION

SSD Facturación y ventas

DSD

Seguimiento de transporte

SSD

Consultas para cliente

DSD

SSD

Gestión de usuarios

SSD

SSD Generador de ruta SSD

2. Proponer una matriz de accesos que presente el esquema de roles, recursos (objetos) y permisos definidos en el modelo RBAC del punto anterior. Puede presentar el punto como una matriz de accesos, una tabla de autorizaciones, una lista de control de acceso o una lista de capacidades (el estudiante puede escoger cualquiera de las representaciones anterior SUJETO usuarios, aplicaciones, procesos del sistema OBJETO ACCIONES lectura (R), escritura (W), ejecucion (E)

3. Identificar los mecanismos y técnicas de autenticación y autorización utilizados en el caso estudio. Especifique la parte del caso estudio donde identifica el uso de estos mecanismos y técnicas. Mencione cuales son los problemas que identifica frente a estos mecanismos y técnicas (si los hay) y que cambios realizaría para mejorar los procesos de autenticación y autorización realizados en el caso estudio

mecanismos de autenticación y autori

Contraseñas y Passphrase Certificados electrónicos o digital Dispositivos autenticación chip yhuella las tarjetas conelfuncionalidad Biométricos para ( rasgos de la mano(tokens, (manos tarjetas y dedos,bancarias huella de con la mano dactilar), iris, la retina nivel de comportamiento el habla, el escribir, la firma y la forma de teclear y el ADN) Single Sign-On (kerberos, dominios de seguridad, servicios de directorios y clientes livianos)

Especificacion Los funcionarios pueden ingresar desde las 7:15 a.m. ingresando a través de torniquete con huella dactilar o tarjeta de proximidad.

MECANISMOS Biometrico (Huella Dactilar) y Dispositivos para autenticacion (Tarjeta de proximidad)

La sede cuenta con 5 pisos cada piso cuenta con un sistema de puertas activadas a partir de biométrico dactilar , por lo cual la salida de los visitantes está sujeta al acompañamiento del funcionario

Biometrico (Huella Dactilar)

El acceso a los aplicativos de la Contraseñas y Passphrase organización se da a través de uso de un usuario y Password por cada uno de los aplicativos

El área de tecnología tiene Contraseñas y Passphrase implementado una serie de controles y mecanismo para la administración de las cuentas y claves de usuario y los accesos que requieren los funcionarios a los diferentes recursos informáticos de la organización.

Para el caso de los funcionarios del Dispositivos para autenticacion área financiera se cuenta con la (tokens) y Certificados electrónicos asignación de tokens y firmas digitales o digital para la realización de las operaciones financieras.

El jefe Inmediato tienen conocimiento Contraseñas y Passphrase que En Vacaciones los Usuarios dejan sus cuentas y contraseñas a los compañeros para seguir trabajando.

da a continuación: Haga uso del listado de empleados entregado teniendo en cuenta la actividad pleados puede hacerlo. arios para el desarrollo del punto. Si es necesario modificar alguno de los roles definidos puede

ubicación B16 – E39, se describe la ID, Nombres, Área y Cargo de la empresa Segurito S.A. se ha completando el organigrama para el éxito del orden en los procesos y necesidades de la entidad,

magen 1 - Organigrama Segurito S.A.

do un solo rol de acuerdo al requerimiento de la actividad, haciendo una descripción detalla en la a nuevos perfiles o cargos que requiera la empresa. Ej: los nuevos cargos propuestos para la

ADO DE EMPLEADOS Cargo Gerente general Asistente de gerencia Coordinador administrativo Secretaria Director de logística Coordinador de logística

Rol RS01 RS06 RS02 RS06 RS03 RS04

Asistente de bodega Director de operaciones Director administrativo Gerente financiero Auxiliar de contabilidad Analista contable Coordinador contable Gerente de contabilidad Gerente de tecnología Administrador de infraestructura Analista de TI Analista de TI Gestion de Riego Director de recursos humanos Asistente de recursos humanos Jefe de contratación Director EH&S Director Comercial Gerente Marketing Atencion al Cliente

RS05 RS07 RS02 RS08 RS09 RS09 RS10 RS11 RS12 RS12 RS13 RS13 RS12 RS15 RS16 RS17 RS15 RS03 RS02 RS06

el aplicativo “MoviRed”. Tenga en cuenta en el momento de plantear el modelo RBAC aplicar el as operaciones existentes y la asignación de estas a los roles que utilice.

funciones e funciones MOVIRED DESCRIPCION

RBAC

"Factura": El analista contable consulta, para crear, modificar y eliminar una factura debe tener aprobación del coordinador contable, este debe proceder a modificar y eliminar con autorización del gerente de contabilidad.

El gerente de contabilidad tiene acceso total a todos los objetos (Facturas, clientes, contabilidad) y sujetos; su facultad le permite generar privilegios de acceso a otros Usuarios. El coordinador contable permite administrar el acceso de los usuarios a los recursos, agregar y consultar. El analista contable puede crear y modificar todos los tipos de recursos, pero no puede conceder acceso a otros. Auxiliar de contabilidad puede ver los recursos existentes.

"Clientes": El analista contable añade y modifica clientes, para eliminar un cliente debe tener autorización de coordinador contable y el gerente de contabilidad.

El Auxiliar de Contabilidad, Registra factura cobradas. Coordinador de logística tiene acceso al maestro de ventas y entregas. Tracking de pedidos

El coordinador autorizado puede agregar, modificar y eliminar, un conductor o vehículo al ser aprobado por el director de logística y el director de operaciones. El director de operaciones asigna ruta de transporte, debe disponer de un conductor y vehículo, aprobado para su salida. El cliente solo puede consultar despacho en la pagina web.

El gerente concede permisos en la Gestion de usuarios a los coordinadores para la gestion de roles a los nuevos funcionarios.

Jefe de contratación, para agregar, modificar y eliminar un usuario, debe ser aprobada a través de un documento o autorización sistematizado del director de recursos humanos. Al agregar al nuevo usuario el gerente del área debe asignar operaciones y roles al usuario. El asistente de recursos humanos hace consultas a usuarios. El director de recursos humanos aprueba el registro de un nuevo usuario; el Jefe de contratación hace la respectiva legalizacion. El numero de ruta es asignada por el seguimiento de transporte al conductor. Con el numero, Consulta ruta.

El director de operaciones tiene acceso total a todos los recursos, Conductores y Vehiculos; no puede delegar este acceso a otros.

El conductor envía mensaje a central de ruta.

roles, recursos (objetos) de presentar el punto sta de control de acceso o a de las representaciones anteriores)

MODULOS

Facturación y ventas

OPERACIONES Realizar presupuestos Realizacion de Facturas Crear factura Modificar factura Eliminar factura Consultar facturas Registrar factura cobrada Añadir cliente

Facturación y ventas

Modificar cliente

Eliminar clientes Agregar vehículo Modificar datos de vehículo Seguimiento de transporte

Eliminar vehículo Agregar conductor Modificar datos de conductor Eliminar conductor Asignar ruta de transporte

Consultas para cliente

Consultar despacho Agregar usuario Consultar usuario

Gestión de usuarios

Generador de ruta

rización utilizados en el fica el uso de estos identifica frente a estos mejorar los procesos de

Modificar datos de usuario Eliminar usuario Asignar operaciones a usuario Asignar rol a usuario Consulta de ruta Envió de mensaje a central

nismos de autenticación y autorización

hip yhuella las tarjetas conelfuncionalidad ano dactilar), iris, la retina ydelasRFID.) facciones del rostro (reconocimiento facial), la oreja y a de teclear y el ADN) rectorios y clientes livianos)

TÉCNICAS Tarjeta de proximidad RDIF + biométrica (elemento que se posee Y que es) El RDIF lleva un número de identificación; Este número se asocia a continuación a un usuario en un sistema informático. Y el Biometrico transforma la Huella dactilar en lenguaje matematico y al validar la autenticacion compara el Numero con los registrados en el repositorio (Sistema Control de Identidad)

PROBLEMAS

biométrica (elemento que es). transforma la Huella dactilar en lenguaje matematico y al validar la autenticacion compara el Numero con los registrados en el repositorio (Sistema Control de Identidad), en este caso valida al funcionario, para la autorizacion al acceso por las puertas biometricas.

El sistema biometrico de las puertas valida a todos los funcionarios el acceso a los pisos superiores, generando riesgos de seguridad por presencia a areas sensibles de informacion.

la contraseña (elementos que se sabe Y que es); los datos ingresados coinciden con datos del repositorio permite el acceso al aplicativo.

cada funcionario debe utilizar un usuario y contraseña diferente a las aplicaciones. Puede ser muy dispendioso para el funcionario que deba manejar muchas aplicaciones y deba siempre autenticar y generar autorizacion para el acceso al aplicativo.

la contraseña (elementos que se sabe Y que es); los datos ingresados coinciden con datos del repositorio permite el acceso al aplicativo.

el tokens genera un codigo numerico validando la autenticacion e ingreso al sistema y los certificados digitales a traves del sistema criptografico de clave pública o criptografía asimétrica. Valida la autenticacion y autorizacion.

la contraseña (elementos que se sabe Y que es); los datos ingresados coinciden con datos del repositorio permite el acceso al aplicativo de lo contrario lo restringe.

el funcionario al estar ausente de la empresa, sus credenciales son habilitadas para el acceso fuera de las instalaciones, aun en tiempos de vacaciones o licencias.

Cod RS01 RS02 RS03 RS04 RS05 RS06

TABLA 2 - ROL DESCRIPC

Aprobar presupuestos de inversion. Acceso a todas las áreas. Aprobar tickets crear clientes y modificar datos. Aprobación de compras. Acce Aprobar ordenes de ventas. Aprobar servicios logísticos (transporte). Aprobar Aprobar ordenes de ventas. Aprobar servicios logísticos (transporte) inferioes Cargue de ordened de venta. Cargue de ordenes de despecho. Permisos de lectura sistema de reportes de ventas.

RS07 RS08 RS09 RS10 RS11 RS12 RS12 RS13 RS15 RS16 RS17

Aprobar ordenes de producción. Aprobar ajustes de producción. Aprobar tickets accesos. Aprobar presupuestos de inversion. Acceso a todas la Cargue de facturas. Conciliación de documentos. Cargue de facturas. Conciliación de documentos. Pago a proveedores. Cargue de facturas. Conciliación de documentos. Aprobación pago a proveedo

Control de perfiles de acceso. Creación de credenciales. Acceso centro de cóm Acesso centro de cómputo. Acceso como administrador a los servidores. Acceso como administrador a los computadores.

Acceso sistema de RH. Acceso sistema de nómina. Aprobación nómina. Creaci Acceso sistema de RH. Acceso sistema de nómina. Cargue nómina. Acceso sistema de RH. Creación tickets alta de empleados.

Sujeto ACCIONES Task1 Task2 Task3 Task4 Task5 Task6

Gerente general Asistente de gerencia Coordinador administrativo Secretaria Director de logística Coordinador de logística Asistente de bodega

Task7

Director de operaciones

Task8

Director administrativo

Facturación y venta Task1

rwe

Task2

Task3

Task4

rwe

rwe

Task9

Gerente financiero

rwe

rwe

rwe

Task10

Auxiliar de contabilidad

re

r

Task11

Analista contable

re

re

re

re

Task12

Coordinador contable

rwe

rwe

rwe

re

Task13

Gerente de contabilidad

rwe

rwe

rwe

Task14 Task15 Task16 Task17

Gerente de tecnología Administrador de infraestructura Analista de TI Analista de TI

Task18

Gestion de Riego

Task19

Director de recursos humanos

Task20

Asistente de recursos humanos

Task21 Task22 Task23 Task24 Task25 Task26

Jefe de contratación Director EH&S Director Comercial Marketing Atencion al Cliente

SOLUCION

El sistema biometrico de las puertas debe validar y restringir el acceso a los demas pisos superiores a los funcionarios no autorizado.

generar un unico usuario o ID como cuenta en todas las aplicaciones y diferentes contraseñas que cumplan con unas especificaciones (longitud mínima, combinación de caracteres letras mayúsculas, minúsculas, números y caracteres especiales).

el sistema debe restringir el acceso a los funcionarios fuera de las horas laborales y suspensión de las cuentas a los aplicativos, en tiempos de vacaciones o licencias, con fines de mitigar riesgos de informacion y suplantacion de identidad.

TABLA 2 - ROLES DESCRIPCION

as áreas. bación de compras. Acceso a todas las áreas. os (transporte). Aprobar ajustes de invenarios. os (transporte) inferioes al 5% del valor del producto. despecho.

producción. version. Acceso a todas las áreas.

o a proveedores. obación pago a proveedores.

es. Acceso centro de cómputo. Acceso como administrador a los servidores. or a los servidores.

probación nómina. Creación tickets alta de empleados. argue nómina. eados.

Matriz de Acceso Facturación y ventas Task5

Task6

rwe

rwe re

Task7

Seguimiento de transporte Task8

Task9

Task10

Task11

Task12

Task13

Task14

Task15

Task16

Task17

rwe re

rwe re

rwe re

rwe re

rwe re

rwe re

rwe re

rwe

w

w

rwe

w

w

rwe

Task18

rwe re re

rwe

rwe

re

rw

re

re

rw

re

re

re

re

re

rw

we

re

re

rwe

rwe

re

Gestión de usuarios Task19

Task20

Task21

Task22

Task23

Task24

Task25

Task26

rwe

re

w

rwe

w

rwe

re rwe

re

re

rwe

rwe

TABLA DE AUTORIZACIONES

Sujeto Gerente general Asistente de gerencia Coordinador administrativo Secretaria Director de logística Coordinador de logística Asistente de bodega Director de operaciones Director administrativo

Accion rwe

rwe re re w rwe

Gerente financiero

w re rwe

Auxiliar de contabilidad

r rw re

Analista contable

rw re

Coordinador contable

we re rwe

Gerente de contabilidad

w re rwe

Gerente de tecnología Administrador de infraestructura Analista de TI Analista de TI Gestion de Riego Director de recursos humanos Asistente de recursos humanos Jefe de contratación Tecnico en Sistemas Director Comercial Marketing Atencion al Cliente

w re rwe re w re rwe

re

TABLA DE AUTORIZACIONES

Objeto Task1 Task3 Task4 Task5 Task6

Task11 Task12 Task13 Task14 Task15 Task16 Task17 Task18 Task11 Task12 Task13 Task14 Task15 Task16 Task17 Task19 Task18 Task12 Task13 Task15 Task16 Task11 Task14 Task17

Task21 Task20 Task1 Task3 Task4 Task5 Task6 Task2 Task7 Task1 Task5 Task7 Task1 Task2 Task3 Task4 Task5 Task6 Task8 Task9 Task10 Task8 Task4 Task5 Task9 Task10 Task1 Task2 Task3 Task6 Task7 Task21 Task20 Task1 Task3 Task4 Task5 Task6

Task21 Task20 Task19 Task22 Task23 Task24 Task20 Task21 Task20 Task19 Task22

Task18 Task20

1. Proponer los procesos/procedimientos que pueden ser implementado para llevar a cabo trazabilidad en el caso estudio de acuerdo con situaciones de monitoreo y riesgo que pueda identifcar. Considere la defnición metodológica: los recursos requeridos (herramientas que puedan apoyar el monitoreo, personal para realizar las actividades, tecnología e infraestructura requerida, entre otros).

Tipo

Descripción Proceso

Para el ingreso a las oficinas se debe enviar un correo previo con los documentos de seguridad social, y se recibirá correo de aprobación para el ingreso.

Servicio

Almacenamiento de los backups en Avamar BMR. Se toma como servicio y de esa manera se puede incrementar la capacidad sin invertir en hardware propio, y el costo se puede llevar al gasto.

Procedimiento

Incluir en los protocolos de ingreso una charla a los vivitantes sobre el comportamiento en la oficinas, haciendo énfasis en que no se pueden desplazar entre las oficinas sin un acompañante o serán retirados de la empresa.

Proceso Procedimiento

Capacitaciones en sensibilización de los empleados en el cumplimiento de las normas de seguridad. Estandarizar el uso de perfiles y roles para la asignación de permisos, así mismo como la asignación de tokens.

Herramienta

Implementar Kactus. Esta herramienta permitirá que los empleados soliciten sus vacaciones, sean aprobadas por el jefe y mediante ETL se desacativará en el Directorio Activo así como en las plataformas de acceso el usuario.

Herramienta

Implementación de 4 firewall Palo Alto que permitan segmentar las redes en Vlans, así como autenticar el puerto ethernet contra el DA de manera que, no cualquier persona se pueda conectar a redes con acceso a servidores.

2. Realizar el planteamiento de al menos 3 riesgos de seguridad de la información que identifque en el caso estudio frente a gestión de identidad y control de acceso y para cada riesgo indique: a. Descripción de la situación del caso estudio donde se evidencia el riesgo b. Las vulnerabilidades y amenazas o causas asociadas que dan origen al riesgo c. Las posibles consecuencias del riesgo identifcado d. Dueño del riesgo que propone explicando porque su propuesta (puede considerar funcionarios que no estén mencionados en el caso estudio si así lo requiere). e. Descripción del plan de tratamiento que propone para tratar el riesgo indicando de que tipo es (Recuerde que el tratamiento puede considerarse como aceptar, eliminar, mitigar o transferir). Para cada plan considere:

f. Responsable de implementar el plan de tratamiento que propone explicando porque su propuesta

Riesgo

Descripción El acceso a las oficinas administrativas se dá a través de la bodega de almacenamiento de gestión documental de clientes

Acceso a información clacificada

Se evidencian registros de ajustes contables sin aprobación del Gerente Financiero. Los token son otorgado por el gerente financiero a quien considera. Los accesos a las apliaciones son basados en las solicitudes de los jefes Falta de control de permisos de acceso

Los logs se reescriben cada 2 días, por lo cual frente a un problema (demanda de un cliente, auditoria interna/externa, proyectos de mejora continua, toma de decisiones) no existe trazabilidad ni logs que permitan hacer seguimiento o determinar el origen de un problema Sin logs de trazabilidad

3. Considerar que usted es el encargado de realizar una auditoría interna a la empresa del caso estudio, referente a gestión de identidad y control de acceso. Para ello su criterio de auditoria (o punto de referencia para realizar la auditoría) es el estándar ISO 27002 considerando los objetivos de control que pueden tener alguna relación con control de acceso y gestión de identidad. A partir del análisis del caso estudio identifque al menos 3 hallazgos u observaciones de no conformidad con la defnición de los controles de ISO 27002 y preséntelos como puntos de auditoría. Para cada hallazgo u observación indique: A. Nombre del hallazgo: a que hace referencia el hallazgo (Ej. Segregación de funciones). B. Descripción del hallazgo: Descripción de lo que se evidencio como falencia (Ej. La organización no cuenta con una política defnida para la segregación de funciones que rija como deben ser concedidos los accesos en función de evitar conflictos de interés).

C. Numeral de ISO 27002 referente: Código del control que se asocia con el hallazgo (Ej. A.6.1.2 Separación de deberes)

TABL Descripcion Los visitantes ingresan a las instalaciones con documento de identificacion (Fotografia), pero no se encontro evidencia fisica de autorización de manejo y proteccion de datos personales, por parte del visitante.

En el área contable, se cuenta con dos Analistas contables, un Coordinador Contable y el cargo de Gerente de contabilidad. Las operaciones realizadas frente a registro de ajustes contables son realizadas por los analistas o el coordinador sin embargo no se cuenta con límites de atribuciones establecidos para la realización de estas operaciones, así como no se recibe autorización final del Gerente para la realización de los ajustes, sino que este es dado por el Coordinador.

No se realiza seguimiento, medición y evaluación de contraseñas.

El control de acceso a las cuentas de los funcionarios que se encuentran en vacaciones o licencias; se encuentran activas, poniendo en riesgo la seguridad de la informacion.

Responsable

Apoyo

Seguridad

EH&S

Tecnología

Financiero

Seguridad

EH&S

RH

Tecnología

RH

Seguridad / Gerencias

Tecnología

Seguridad / Financiero

Tecnología

Seguridad / Financiero

Vulnerabilidades/Amenazas

Dueño del riesgo

. Perdida de información . Acceso de personal no autorizado . Mover la información del lugar correcto

Seguridad

. Acceso de personal sin suficientes privilegios a información clacificada . Pueden exisitir usuarios que son juez y parte . Perdidas económicas que no se evidencian

Financiero

. No existe trazabilidad . No se puede determinar el origen de un problema de acceso . No existe evidencia que soporte una investigación

Tecnología

TABLA DE AUDITORIA Nombre

C

Proteccion de Datos

10.7.3 Procesamiento para el manejo de Informacion

Privilegios

11.2.2 Gestion de Privilegios

Gestion de Contraseñas

11.2.3 Gestion de Contraseñas para usuarios

Gestion de Control de Acceso

11.1.1 Politicas de Control de Acceso

Costo

$

Aprox. 3´5 millones mensuales

Capex SI/NO

- NO

NO

$

- NO

$

- NO

$

- NO

89 millones

SI

USD $17,974 (cado FW cuesta $4,493.5)

SI

Descripción del plan de tratamiento

Eliminar. Se debe contratar un empresa de arquitectos para evaluar las áreas y determinar qué cambios físicos se deben realizar y de la mano con seguridad establecer los accesos de control necesarios

Mitigar. Desarrolar perfiles de cargo que permitan la asignación de permisos. Como no existe la cultura, este plan debe ir acompañado de un programa de auditorias externas para que evaluén el cumplimiento de las políticas de la compañía. Una auditoría con Deloitte también puede llevar la revisión de cargos, perfiles, roles y alcances de cada usuario en el sistema para tener los aprobadores correctos y límites (para que no existan roles que sean juez y parte).

Aceptar. Inversión en una NAS (Network-attached storage) que permita mejorar la capacidad de almacenamiento de logs. Teniendo en cuenta que en ningún caso se puede almacenar de manera vitalicia la información, la expectativa es tener los últimos seis meses disponibles y mover los anteriores 6 meses a backup, permitiendo así tener históricos del último año.

Responsable de implementar el plan de tratamiento

Gerencia Administrativa / Seguridad

Recursos Humanos / Financiero / Tecnología

Tecnología

D Brindar información a los visitantes, orientación acerca de las directrices en seguridad en las instalaciones, las zonas en donde los visitantes tienen libre acceso y las restricciones en cuanto al uso de los servicios de la organización, con el fin de evitar accidentes y/o el acceso no autorizada.

Mejorar la asignación de privilegios de acceso autorizados únicamente por el personal definido en un nivel de jerarquia mayor en los procedimientos, para evitar riesgos en cuanto a fraudes y manipulacion de valores que afecten los activos de la empresa.

Utilizar un sistema que le permita hacer las siguientes funciones; de los contrario hacerlo sistematicamente por formatos; Entregar las cuentas y contraseñas de forma mas segura, en correo encriptados, Forzar el cambio de contraseña asignado de forma inicial, que debería ser único para cada identidad. Establecer fortaleza y complejidad de la contraseña (debe considerar longitud mínima, combinación de caracteres - letras mayúsculas, minúsculas, números y caracteres especiales). Forzar el cambio de contraseña periódicamente asociado a una edad mínima del mismo. Manejar un histórico de contraseñas que no permita usar los ya digitados anteriormente.

Lograr ser más rigurosos y exigentes en la implementación de políticas de acceso de los usuarios, de manera que les permita mantener la seguridad de los sistemas y aplicaciones evitando manipulación y fuga de información. Ampliar las políticas de restricción de acceso a los funcionarios que estén en ausencia, en condiciones; vacacionales, licencias, remisiones, etc.

Tiempo

2 semanas

2 meses

1 mes Cada 3 meses

6 meses

5 meses

3 meses

Categoría del control

Administrativo

Funcionalidad del control

Correctivo

Responsable de ejecución

Recursos Humanos

Responsable de revisión

Gerencia Administrativa y Financiera

Frecuencia de ejecución

Continua

Frecuencia de revisión

Trimestral

1. Proponer los procesos/procedimientos que pueden ser implementado para llevar a cabo trazabilidad en el caso estudio de acuerdo con situaciones de monitoreo y riesgo que pueda identifcar. Considere la defnición metodológica: los recursos requeridos (herramientas que puedan apoyar el monitoreo, personal para realizar las actividades, tecnología e infraestructura requerida, entre otros).

Auditoria

Controles administrativos / de gestión / suaves

Politicas y lineamientos

Capacitacion en Seguridad

Puertas dactilar, torniquetes

Hardware para manejo logístico Controles físicos - Recursos Tecnologicos

Hardware Servidor de Almacenamiento (Backups - Sistema Operativo -Aplicaciones)

Hardware Servidor de Almacenamiento ( LOGS =Ingreso a las Instalaciones, Bitacoras de SO, aplicaciones o Software, redconexion )

Seguridad (Personal) reporte - evidencia (incidente= fraude)

Logs = auditoria (Personal) validar los controles, las acciones son quienes dicen ser y bajo los controles definidos.

Correo electronicos Encriptacion Controles técnicos o lógicos Software y Aplicaciones

Control en la creación de credenciales

Control de autenticación

Control de Acceso, Perfiles, roles

identifque en el caso estudio frente a gestión de identidad y control de acceso y para cada riesgo indique: a. Descripción de la situación del caso estudio donde se evidencia el riesgo b. Las vulnerabilidades y amenazas o causas asociadas que dan origen al riesgo c. Las posibles consecuencias del riesgo identifcado d. Dueño del riesgo que propone explicando porque su propuesta (puede considerar funcionarios que no estén mencionados en el caso estudio si así lo requiere). e. Descripción del plan de tratamiento que propone para tratar el riesgo indicando de que tipo es (Recuerde que el tratamiento puede considerarse como aceptar, eliminar, mitigar o transferir). Para cada plan considere: f. Responsable de implementar el plan de tratamiento que propone explicando porque su propuesta

Riesgo

Descripción

El acceso a las oficinas administrativas se dá a través de la bodega de almacenamiento de gestión documental de clientes Acceso a información clacificada

Se evidencian registros de ajustes contables sin aprobación del Gerente Financiero. Los token son otorgado por el gerente financiero a quien considera. Los accesos a las apliaciones son basados en las solicitudes de los jefes Falta de control de permisos de acceso

Los logs se reescriben cada 2 días, por lo cual frente a un problema (demanda de un cliente, auditoria interna/externa, proyectos de mejora continua, toma de decisiones) no existe trazabilidad ni logs que permitan hacer seguimiento o determinar el origen de un problema Sin logs de trazabilidad

3. Considerar que usted es el encargado de realizar una auditoría interna a la empresa del caso estudio, referente a gestión de identidad y control de acceso. Para ello su criterio de auditoria (o punto de referencia para realizar la auditoría) es el estándar ISO 27002 considerando los objetivos de control que pueden tener alguna relación con control de acceso y gestión de identidad. A partir del análisis del caso estudio identifque al menos 3 hallazgos u observaciones de no conformidad con la defnición de los controles de ISO 27002 y preséntelos como puntos de auditoría. Para cada hallazgo u observación indique: A. Nombre del hallazgo: a que hace referencia el hallazgo (Ej. Segregación de funciones). B. Descripción del hallazgo: Descripción de lo que se evidencio como falencia (Ej. La organización no cuenta con una política defnida para la segregación de funciones que rija como deben ser concedidos los accesos en función de evitar conflictos de interés). C. Numeral de ISO 27002 referente: Código del control que se asocia con el hallazgo (Ej. A.6.1.2 Separación de deberes)

Descripcion

Los visitantes ingresan a las instalaciones con documento de identificacion (Fotografia), pero no se encontro evidencia fisica de autorización de manejo y proteccion de datos personales, por parte del visitante.

En el área contable, se cuenta con dos Analistas contables, un Coordinador Contable y el cargo de Gerente de contabilidad. Las operaciones realizadas frente a registro de ajustes contables son realizadas por los analistas o el coordinador sin embargo no se cuenta con límites de atribuciones establecidos para la realización de estas operaciones, así como no se recibe autorización final del Gerente para la realización de los ajustes, sino que este es dado por el Coordinador.

No se realiza seguimiento, medición y evaluación de contraseñas.

El control de acceso a las cuentas de los funcionarios que se encuentran en vacaciones o licencias; se encuentran activas, poniendo en riesgo la seguridad de la informacion.

Tipo

Procedimiento

Proceso

Procedimiento

Herramienta

Servicio

Procedimiento

Herramienta

Descripción Implementar procedimiento de ingreso a las oficinas incluyendo el envio de un correo previo con los documentos de seguridad social del visitante, y se recibirá correo de aprobación para el ingreso. Capacitaciones en sensibilización de los empleados en el cumplimiento de las normas de seguridad.

Fortalecer el sistema de ingreso a las instalaciones, validar el acceso a los funcionarios; solo a su area de trabajo (Privilegios).

Implementar (RFID) para el almacenamiento de los documentos en bodega. Esto permite la lectura a distancia de etiquetas electrónicas, también conocidas como tags, mediante dispositivos lectores que permiten la identificación fiable de cada carpeta en el almacén y generado logs de trazabilidad. Almacenamiento de los backups en Avamar BMR. Se toma como servicio y de esa manera se puede incrementar la capacidad sin invertir en hardware propio, y el costo se puede llevar al gasto.

Implementar equipo Hardware de almacenamiento de LOGS, informacion sensible sobre las actividades de todo el sistema. Implementar Kactus. Esta herramienta permitirá que los empleados soliciten sus vacaciones, sean aprobadas por el jefe y mediante ETL se desacativará en el Directorio Activo así como en las plataformas de acceso el usuario.

Procedimiento

Implementar personal para el analisis y registros logs de informacion sensible sobre las actividades que se realizan en la red, los sistemas, aplicaciones e ingreso a las instalaciones.

Proceso

Fortalecer el proceso de encriptacion de informacion sensible a traves de la red local, correo electronico, etc.

Procedimiento

Fortalecer el aplicativo SolicitudesTI para la creación de usuarios, en la cual se debe utilizar el mismo login para todas las aplicación y los tickets para creación de nuevas credenciales deben estar aprobados en la plataforma por el Director de recursos humanos

Procedimiento

Desarrollar integradores que permitan a las aplicaciones autenticar contra el Directorio Activo, de manera que haya trazabilidad centralizada.

Procedimiento

Estandarizar el uso de perfiles y roles para la asignación de permisos, así mismo como la asignación de tokens.

Vulnerabilidades/Amenazas

Dueño del riesgo

. Puede existir perdida de información dado que personal no autorizado puede acceder a zonas restringidas. . Acceso a información privilegiada por falta de control. . Pueden ser trocada información dado que no existe control de acceso.

. Acceso de personal sin suficientes privilegios a información clacificada . Pueden exisitir usuarios que sean juez y parte dado que no existen perfiles que den lineamiento de limitantes de acceso. . Perdidas económicas (robos) dado que pueden exisitr usuarios con acceso a pagos y aprobación de pagos.

. No existe trazabilidad en el tiempo . No se puede determinar el origen de un problema de acceso . No existe evidencia que soporte una investigación

Seguridad Sergi Bueno

Financiero María Tirado

Tecnología Pepe Grisales

TABLA DE AUDITORIA Nombre

C

Proteccion de Datos

10.7.3 Procesamiento para el manejo de Informacion

Privilegios

11.2.2 Gestion de Privilegios

Gestion de Contraseñas

11.2.3 Gestion de Contraseñas para usuarios

Gestion de Control de Acceso

11.1.1 Politicas de Control de Acceso

Responsable/Nombres

Apoyo/Nombres

RH Viviana Estuardo

EH&S John Cardenas

Seguridad Sergi Bueno

Tecnologia Ana Roldan

Tecnología Daniel Romero

EH&S John Cardenas

Tecnología Leonardo Sierra

Operaciones Ignacio Casas

Tecnología Ana Roldan

Financiero María Tirado

Seguridad Jhon Bolaños

Tecnología/Financiero Ana Roldan / Stive Castro

Seguridad Sergi Bueno

RH Martha Peña

Seguridad Jhon Bolaños

Tecnologia/RH Ana Roldan / Martha Peña

Tecnología Daniel Romero

RH Martha Peña

Tecnología Leonardo Sierra

RH Martha Peña

Tecnología Daniel Romero

RH Martha Peña

Tecnología Pepe Grisales

RH Martha Peña

Descripción del plan de tratamiento

Responsable de implementar el plan de tratamiento

Eliminar. Se debe contratar un empresa de arquitectos para evaluar las áreas y determinar qué cambios físicos se deben realizar y de la mano con seguridad establecer los accesos de control necesarios

Mitigar. Desarrolar perfiles de cargo que permitan la asignación de permisos. Como no existe la cultura, este plan debe ir acompañado de un programa de auditorias externas para que evaluén el cumplimiento de las políticas de la compañía. Una auditoría con Deloitte también puede llevar la revisión de cargos, perfiles, roles y alcances de cada usuario en el sistema para tener los aprobadores correctos y límites (para que no existan roles que sean juez y parte).

Aceptar. Inversión en una NAS (Network-attached storage) que permita mejorar la capacidad de almacenamiento de logs. Teniendo en cuenta que en ningún caso se puede almacenar de manera vitalicia la información, la expectativa es tener los últimos seis meses disponibles y mover los anteriores 6 meses a backup, permitiendo así tener históricos del último año.

D

Gerencia Administrativa / Seguridad

Recursos Humanos / Financiero / Tecnología

Tecnología

Brindar información a los visitantes, orientación acerca de las directrices en seguridad en las instalaciones, las zonas en donde los visitantes tienen libre acceso y las restricciones en cuanto al uso de los servicios de la organización, con el fin de evitar accidentes y/o el acceso no autorizada.

Mejorar la asignación de privilegios de acceso autorizados únicamente por el personal definido en un nivel de jerarquia mayor en los procedimientos, para evitar riesgos en cuanto a fraudes y manipulacion de valores que afecten los activos de la empresa.

Utilizar un sistema que le permita hacer las siguientes funciones; de los contrario hacerlo sistematicamente por formatos; Entregar las cuentas y contraseñas de forma mas segura, en correo encriptados, Forzar el cambio de contraseña asignado de forma inicial, que debería ser único para cada identidad. Establecer fortaleza y complejidad de la contraseña (debe considerar longitud mínima, combinación de caracteres - letras mayúsculas, minúsculas, números y caracteres especiales). Forzar el cambio de contraseña periódicamente asociado a una edad mínima del mismo. Manejar un histórico de contraseñas que no permita usar los ya digitados anteriormente.

Lograr ser más rigurosos y exigentes en la implementación de políticas de acceso de los usuarios, de manera que les permita mantener la seguridad de los sistemas y aplicaciones evitando manipulación y fuga de información. Ampliar las políticas de restricción de acceso a los funcionarios que estén en ausencia, en condiciones; vacacionales, licencias, remisiones, etc.

Costo

Capex SI/NO

$

-

NO

$

-

NO

$

-

NO

25 millones

SI

Aprox. 3´5 millones mensuales

NO

$

-

89 millones

SI

SI

$

-

SI

$

-

NO

$

-

NO

23 millones

$

SI

-

NO

Categoría del control

Administrativo

Funcionalidad del control

Correctivo

Responsable de ejecución

Recursos Humanos

Responsable de revisión

Gerencia Administrativa y Financiera

Frecuencia de ejecución

Trimestral

Frecuencia de revisión

Semestral

Tiempo de Implementacion

Seguimiento / Evidencia

1 mes

Diario / Correo, Logs

2 meses

6 meses / Formato de compromiso

1 semana

Diario / Bitacora.

5 meses

Mensual / Logs de trazabilidad

5 meses

Diario / Bitacora de copias de seguridad, Formato cronograma de copias de seguridad.

6 meses

Diario / Bitacora de copias de seguridad, Formato evidencia digital.

5 meses

Semanal / Activación/desactivación automática de usuarios en vacaciones

3 meses

Diario / Formato evidencia Logs.

1 semana

Diario / Correos Electronicos.

1 semana

Diario / Correos Electronicos.

3 meses

Quincenal / Logs de autenticación

6 meses

Trimestral