Seguridad
Resultados de la Evaluación.
Como resultado de la evaluación en Seguridad, el equipo determina que la evaluación ha sido Acreditada con los siguientes resultados:
Respuestas afirmativas: 48 Porcentaje respecto al Total: 69%
Respuestas Negativas: 22 Porcentaje respecto al Total: 31%
Gráfico de Resultados
1. Las políticas de seguridad necesitan ser documentadas.
2. Los equipos de cómputo requieren tener un responsable de uso así como de baja.
3. Las contraseñas son fijas y no cuentan con un estándar para diseñarlas.
4. Los equipos no se encuentran protegidos contra descargas.
5. El cableado no está apegado a un estándar que regularice esta área.
6. No se tiene ninguna empresa que responda por fallos.
7. Los sistemas no se encuentran documentados.
8. No se cuenta con un control de pérdida de información.
9. No existe un control de acceso que obligue a las personas a registrarse.
10. Los equipos de cómputo cuentan con características mínimas de memoria para su funcionamiento.
Recomendaciones
1. Se recomienda realizar la documentación de las políticas de seguridad para aclaración del personal.
2. Se recomienda levantar actas de responsables de equipos.
3. Se recomienda cambiar periódicamente las contraseñas así como definir un estándar para crearlas.
4. Se recomienda adquirir equipos que protejan al equipo de cómputo contra descargas eléctricas.
5. Se recomienda la aplicación de algún estándar de red para mejorar el funcionamiento.
6. Se recomienda actualizar las características de las computadoras para un mejor desempeño.
7. Se recomienda contar con una bitácora de acceso de personas a la organización.
Sistemas
Resultados de la Evaluación.
Como resultado de la evaluación en Sistemas, el equipo determina que la evaluación ha sido Acreditada con los siguientes resultados:
Respuestas afirmativas: 47 Porcentaje respecto al Total: 67%
Respuestas Negativas: 23 Porcentaje respecto al Total: 33%
Gráfico de Resultados
Áreas de Oportunidad:
1. No se cuenta con documento oficial de recolección de requerimientos.
2. No se cuenta con manuales de operación, de mantenimiento, ni documentación que compruebe su adecuado funcionamiento.
3. No se realiza mantenimiento periódico a la base de datos ni se tiene un plan en caso de que deje de funcionar.
4. La información de la base de datos no tiene ningún algoritmo de encriptación ni se puede recuperar información en caso de que se borre por accidente.
5. No cuentan con una empresa externa que respalde la información.
6. El sistema no está desarrollado en base a un estándar ni se cuenta con procesos de desarrollo.
7. El sistema no está respaldado por pólizas de garantía, en caso de dejar de funcionar.
8. No se actualizan periódicamente las contraseñas de los usuarios.
9. No existe una bitácora de los usuarios que han tenido accesos incorrectos al sistema.
10. No se tienen controlados los procesos y aplicaciones que están en operación.
11. No se cuenta con información de ayuda para los usuarios del sistema.
12. No se cuentan con políticas de seguridad de la información.
13. No se cuenta con licencias originales
Recomendaciones:
1. Se recomienda realizar documentación oficial para el levantamiento de requerimientos, solicitudes de cambio y mejora, así como documentación oficial de entrega de desarrollo.
2. Se recomienda realizar manuales de usuario, mantenimiento, operación y administración del sistema, así como tips de ayuda para los usuarios.
3. Se recomienda tener disponible toda la información del sistema.
4. Se recomienda definir procesos para realizar respaldos periódicos de la base de datos en dispositivos extraíbles y/o en sitios externos en caso de contingencias y desastres naturales.
5. Se recomienda contar con replicación del sistema en caso de manipulación inadecuada de la información, así como contar con la seguridad adecuada para el ingreso a esta.
6. Se recomienda apegarse a un estándar de desarrollo y modelado de sistemas.
7. Se recomienda definir y/o establecer controles de acceso para garantizar la seguridad, asignar nuevas contraseñas y monitorear su uso, así como establecer un proceso para cambiarlas periódicamente.
8. Se recomienda contar con licencias originales del sistema operativo y de las aplicaciones.
Redes
Resultados de la Evaluación.
Como resultado de la evaluación en Redes, el equipo determina que la evaluación ha sido Acreditada con los siguientes resultados:
Respuestas afirmativas: 54 Porcentaje respecto al Total: 77%
Respuestas Negativas: 16 Porcentaje respecto al Total: 23%
Gráfico de Resultados
Áreas de Oportunidad identificadas.
1. No cuenta con un TR (Telecomunication Room) y dependen de otra dependencia.
2. No cuentan con canaletas en todas las zonas.
3. No existe registro de los usuarios que acceden a la red.
4. No existe un techo de plafón o tubería falso para el cableado.
5. Aunque existe fibra óptica en algún punto específico, no es suficiente para todas las áreas.
6. No existe un software ni sistema para la creación de sus propios ataques.
7. No existe un TBB (Telecommunications Bonding Backbone)
8. No cuentan con suficientes nodos en la red.
Recomendaciones
1. Se recomienda contar un TR en cada área para el mejor funcionamiento de la misma.
2. Se recomienda que todo el cableado pase por canaletas, techo de plafón o tubería para que se encuentre debidamente protegido.
3. Se recomienda contar con un registro de usuarios que acceden en la red para mejor seguridad dentro y fuera de la misma.
4. Se recomienda contar con fibra óptica en todas las áreas de la empresa para obtener un mejor rendimiento.
5. Se recomienda contar con un software para la realización de ataques internos que garanticen la solidez de la red y detectar e identificar las vulnerabilidades.
6. Se recomienda contar con un TBB (Telecommunications Bonding Backbone) para la reducción de potencia entre los equipos de manejan diferente voltaje.
7. Se recomienda contar con más nodos para la implementación de nuevos equipos y sistemas.
No hay comentarios:
Publicar un comentario