AA1-E5-Aplicación de la norma ISO 27002

Harold Javier martinez barrios

SENA
Gestión y seguridad de bases de datos
 INTRODUCCION

Los estándares más actuales del mercado los cuales protegen tanto al usuario
como al empleador en los medios de divulgación tecnológica,
El manejo desde todos los puntos de información y de los resultados de los
estudios está dado desde investigaciones previas al análisis.
El Ministerio de Agricultura y Desarrollo Rural es la entidad encargada de formular,
coordinar y evaluar políticas que promuevan el desarrollo competitivo, equitativo
y sostenible de los procesos agropecuarios, forestales, pesqueros y de desarrollo
rural, que propendan por su armonización con la política macroeconómica y
por una ejecución Descentralizada, concertada y participativa.

Es importante anotar que para el cumplimiento de estos desafíos es necesario que

todas las áreas que componen el MADR estén alineadas y estén en la
capacidad de brindar información que permita el análisis y la generación
de resultados enfocados en el cumplimiento de las metas trazadas.

En cuanto a infraestructura tecnológica el MADR cuenta 600 computadores (370

equipos de escritorio y 66 portátiles), 99 Impresoras (60 locales, 39 en red, por tipo
de servicio 25 multifuncionales, 74 solo impresión), 8 video proyectores, 3
Scanner. El nivel de obsolescencia en infraestructura cliente es muy alta,
el 88% de equipos Pc escritorio no cuentan con las características técnicas
para desarrollar un trabajo eficiente, tan solo el 12% de los equipos cuentan con
características técnicas óptimas para el desarrollo de funciones de los usuarios,
en cuanto a licenciamiento se tiene diversidad de sistemas operativos
(Windows Xp, Windows Vista y Win7), lo que ocasiona una
difícil administración de remediación, actualmente este proceso se realiza
manualmente ya que no contamos con infraestructura base que permita la
centralización de esta actividad, en herramientas ofimáticas el Ministerio tiene
como estándar Microsoft Office desde la versión XP hasta la versión 2007, cuenta
con licenciamiento para el 80% de la infraestructura.

En cuanto a la plataforma de impresión, el 60% solamente prestan servicios de

impresión lo que no es funcional por cuanto a la mayoría de los casos los usuarios
requieren servicios como scanner y fotocopias, los cuales son prestados por
impresoras multifuncionales, este servicio es atendido solo por el 40% de los
equipos disponibles en la entidad. Adicionalmente la variedad de tecnologías,
marcas, modelos de impresoras hace compleja la administración, se tiene un
gasto mayor en adquisición de consumibles y no contamos con una herramienta
que permita la administración centralizada del servicio.

Como parte del Plan de Gestión Ambiental, dentro de la línea de acción

relacionada con el uso eficiente de los recursos, se tiene establecido un indicador
de eficiencia, con el fin de controlar el volumen de impresión, cuya información es
tomada de la revisión mensual de cada página de las impresoras
multifuncionales, lo que puede ocasionar un porcentaje de error en la información
suministrada.

Actualmente la información institucional reposa en los equipos de escritorio,

equipos portátiles, discos externos de usuarios, memorias o Cd de cada usuario o
dependencia lo que conlleva a que el Ministerio corra un alto grado de riesgos en
cuanto a seguridad de la información, por cuanto la entidad, no cuenta con un
repositorio central que permita el almacenamiento de la información institucional
y los mecanismos de respaldo, lo que hace que en la actualidad, la entidad este
atada a la responsabilidad de cada usuario en la generación de backup para
evitar perdida de información por fallas en los equipos cliente, o la entrega de la
misma en el momento de retiro de la entidad. El servicio de correo electrónico
es prestado por un tercero, a través de un contrato de internet y hosting, este
servicio es prestado sobre plataforma Linux, los correos son descargados
automáticamente por el usuario cuando conecta un cliente Outlook, lo que
causa que la información no pueda ser consultada vía web una vez el mail es
descargado, o que los directores y/o usuarios usen eficiente el servicio de datos
con el que cuentan en sus dispositivos móviles.

Dentro de la infraestructura tecnológica para la prestación de servicios,

actualmente el Ministerio cuenta con 10 Servidores, sobre plataforma
Windows, donde se encuentra el directorio Activo, Sistemas de Información
como Orfeo, Novasof, Perno, Isosystem, Antivirus SIGMAR y SIGP. Estos
servidores se encuentran ubicados en un cuarto, que no cuenta con las
condiciones adecuadas para ello (se cuenta con un sistema de ventilación
deficiente - Aire Acondicionado mini Split,) que no suministra la eficiencia
requerida, 4 de los servidores no cuentan con un rack o un sistema seguro en su
ubicación (actualmente se encuentran en el piso), para asegurar la información se
generar backup semanales de forma manual, lo que implica que en caso de
pérdida y necesidad de restauración se requieren altos tiempos para la
recuperación del servicio, ya que no se cuentan con imágenes ni máquinas
para realizar las restauraciones de los mismos

El Directorio activo actual solamente cuenta con el servicio de autenticación de

usuarios, no se tienen establecidas políticas GPO, ni un uso eficiente que permita
la centralización de autenticación, cada sistema tiene su modelo de
autenticación de usuarios, lo que no permite la admón. centralizada de usuarios,
haciendo que la información se deba actualizar en cada uno de los sistemas de
acuerdo a la rotación de personal.

En cuanto a redes y comunicaciones el Ministerio cuenta con un tendido

de cableado estructurado categoría 4, 5 y 5E en algunas zonas, el tercer piso es
totalmente inalámbrico debido a la imposibilidad de hacer el tendido de cable
por el piso o la pared (que es totalmente en madera), por cuanto este edificio
es considerado un bien de interés cultural del ámbito nacional, para lo cual se
requiere contar con la autorización de Min Cultura.

Los equipos de comunicaciones se encuentran distribuidos en centros

de cableado, en algunos de estos sitios no se cuenta con los sistemas de
seguridad que requiere un cuarto de estas características, los Switch
cuentan ya con un nivel de obsolescencia alto, no permiten la prestación de
servicios que exijan calidad de servicio, no se pueden implementar protocolos
que permitan mejorar el tráfico ip.

La red inalámbrica es controlada por un dispositivo central, pero se requiere

optimizar este servicio, con el fin de que todas las dependencias del
Ministerio cuenten con red inalámbrica y a su vez, implementar sistemas de
seguridad, por cuanto los equipos que conforman este servicio, ya están a
punto de culminar su vida útil. Los switch de Core, no tienen las características
para implementar parámetros de seguridad que brinden protección a las
diferentes dependencias, por las condiciones anteriormente mencionadas.

A nivel de seguridad la entidad cuenta con un Firewall Cisco ASA 5500 el

cual debe ser reconfigurado para prestar seguridad de navegación, el Ministerio no
cuenta con filtros de contenido a nivel de internet, la navegación no puede ser
restringida ni se tienen políticas de seguridad que aseguren el acceso a la
infraestructura.

El soporte técnico es prestado por contratistas, y la información para atender las

solicitudes es gestionada mediante archivos de Excel, por cuanto no se cuenta
con una mesa de ayuda que permita prestar un servicio más eficiente, y a su vez
los usuarios puedan hacer el seguimiento correspondiente, herramienta que a su
vez permite hacer análisis y establecer diagnósticos, respecto al estado de la
plataforma tecnológica.