Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • Formato Autoevaluación - Coevaluación

    Încărcat de

    Milton Contreras De La Hoz
    36 vizualizări6 pagini
    Actividades

    Titlu original

    Formato Autoevaluación - Coevaluación (1)

    Drepturi de autor

    © © All Rights Reserved

    Formate disponibile

    DOCX, PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Actividades

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    36 vizualizări6 pagini

    Formato Autoevaluación - Coevaluación

    Încărcat de

    Milton Contreras De La Hoz
    Actividades

    Drepturi de autor:

    © All Rights Reserved
    Descărcați ca DOCX, PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 6

    MOMENTO 3 INDIVIDUAL

    ALDEMAR BUELVAS YEPEZ


    11 DE NOVIEMBRE DE 2015

    UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA


    ATLANTICO-BARRANQUILLA
    AUDITORIA DE SISTEMAS
    90168A_224
    VALORACION DE RIESGOS

    De acuerdo a los riesgos citados, se realiza la valoración de los riesgos teniendo en cuenta la probabilidad de ocurrencia y el impacto
    del riesgo a nivel de seguridad dentro de la empresa soluciones eléctricas Ltda, para ello se realiza la siguiente tabla 1 donde se
    valoran los riesgos para su posterior clasificación.

    Probabilidad Impacto
    Riesgos / Valoración
    A M B L M C
    No se cuenta con contraseñas seguras para acceso a los diferentes
    R1 servidores y equipos de la empresa.
    X X
    No se cuenta con acceso por usuario
    R2
    X X
    Las contraseñas no se mantienen actualizadas y no se genera un cambio
    R3 continuo de estas.
    X X
    Los servidores se encuentran publicados directamente.
    R4
    X X

    Probabilidad Impacto
    Alta: A Catastrófico: C
    Media: M Moderado: M
    Baja: B Leve: L
    MATRIZ DE RIESGOS

    De acuerdo a la valoración que se hace a los riesgos encontrados en la visita que se realiza a la de la empresa soluciones eléctricas
    Ltda y al área de seguridad, se puede clasificar los riesgos como se muestra en la tabla 2.

    Tabla 2. Clasificación de Riesgos

    LEVE MODERADO CATASTROFICO


    ALTO R1 R4
    MEDIO R2,R3
    BAJO
    DOMINIO
    DS – SERVICIOS Y SOPORTE
    PROCESO EVALUADO
    DS5 Garantizar la Seguridad de Sistemas

    AUDITOR: Aldemar Buelvas Yepez

    Tipo (preventivo,
    detectivo, Correctivo,
    Riesgos Control propuesto
    o recuperación)

    R1: No se cuenta con


    contraseñas seguras para Se deben aplicar contraseñas seguras a cada uno de los equipos servidores
    acceso a los diferentes y dispositivos de red en la empresa. Preferiblemente que están tengan los
    Correctivo
    servidores y equipos de la requerimientos mínimos de complejidad (longitud, Caracteres especiales,
    empresa. números, mayúsculas y minúsculas).

    Se recomienda que se cree un usuario por cada persona que ingrese a


    R2: No se cuenta con acceso equipo, servidor o dispositivo de red. Se recomienda configurar servidor
    Correctivo.
    por usuario TACACS y registrar los dispositivos de red para llevar auditoria sobre cada
    uno de los procesos y cambios.
    R3: Las contraseñas no se Cambiar contraseñas cada 3 meses por lo minino en todos los equipos y
    mantienen actualizadas y no se servidores de la empresa. Adicionalmente cada vez que un usuario sea
    Preventivo
    genera un cambio continuo de retirado de la compañía se debe deshabilitar la cuenta con la que este
    estas. accedía. Se recomienda configurar en los equipos expiración de
    contraseñas si es posible y tener un documento de control protegido y
    cifrado en el cual se almacenen estas.
    Se recomienda tener un firewall perimetral que maneje el acceso a los
    servidores publicados en internet. Adicionalmente se recomienda colocar
    R4: Los servidores se las maquina publicadas en una DMZ y detrás del firewall. perimetral y que
    encuentran publicados se nateen solo los puertos necesarios por cada maquina. Se recomienda Correctivo
    directamente. contratar proveedor con experiencia que brinde asesoría en firewall y
    seguridad y que este se encargue de realizar la implementación y aplicar
    cada uno de las recomendaciones anteriormente mencionadas.
    DOMINIO: DS – SERVICIOS Y SOPORTE
    PROCESO EVALUADO: DS5 Garantizar la Seguridad de Sistemas
    AUDITTOR: Aldemar Buelvas Yepez
    Cumple
    Punto de Evaluación Observación
    SI NO
    ¿Cuenta con un plan de trabajo para Es necesario crear un plan de trabajo
    aplicar cada una de las para llevar control de cada una de las
    recomendaciones? X actividades y tener una medicion de
    tiempo estimado, fecha programada
    y porcentaje de complecion de esta.
    ¿Se cuenta o se creo listado de
    equipos servidores y dispositivos de
    red para tener un control de a
    X
    cuales e les ha cambiado la
    contraseña y a cuales hay que
    intervenir?
    ¿Se contrataron servicios con Es recomendable que se contraten
    proveedor que implementaría servicios de implementacion con
    soluciones planteadas en caso de personal capacitado y certificado en
    que no se cuente con el cada una de las areas mencionadas
    X
    conocimiento o experiencia de su anteriormente. Estas areas son
    personal interno para aplicar estas? configuracion de TACACs y aplicación
    de reglas de NAT y afinamiento de
    seguridad de firewall.
    ¿Se cuenta con fechas programadas
    y plasmadas en documento para X
    realizar cambio de contraseñas?

    S-ar putea să vă placă și