Beruflich Dokumente
Kultur Dokumente
1.2
Conexiones Externas
1.2.1 Servidor Proxy
Para la conexin a Internet se utiliza un servidor Proxy de Linux llamado Squid,
ubicado en el servidor de Internet. Su salida al exterior es a travs de una conexin
ASDL de 2MB, suministrada por un ISP. Este Proxy se configur de manera estricta, de
forma que solo tiene conexin al exterior un rango de direcciones IP definido por la alta
Gerencia.
1.3
Correo Corporativo
La empresa cuenta con un servidor de correo corporativo donde todos los jefes de rea y
personal operativo cuentan con una cuenta de correo utilizada para el envi de todo tipo
de informacin tanto de manera interna como para la comunicacin con las sucursales.
1.3.1 Herramientas
La empresa cuenta con un servicio de correo corporativo externo alojado en un
servidor externo permitiendo la comunicacin entre el personal de los distintos
departamentos y entre las sucursales. Tiene como dominio @la-empresa.org.bo.
El correo es ledo a travs de distintas herramientas es gestionado por el administrador
del CPD.
1.3.2 Alta de usuarios de mail
Si un empleado necesita una cuenta de correo electrnico, porque su puesto de trabajo lo
amerita, el Gerente del rea al que pertenece le solicita al administrador del centro de
cmputo, y ste le asigna cuenta de correo.
1.4 Antivirus
En la empresa no ha habido grandes problemas por infeccin de virus, solo en escasas ocasiones
cuando esta infeccin gener congestin en el trfico de red y problemas en PCs el mismo fue
erradicado travs de un escaneo profundo de todas las unidades mediante una herramienta de
antivirus actualizada.
1.4.1
Herramientas
En la empresa se dispone de una versin corporativa del Kaspersky Antivirus instalado
en el CPD la versin para el servidor y en el resto de las PCs la versin cliente.
1.4.2
Actualizacin
Las listas de virus se actualizan de internet a travs de una programacin de fechas de
configuracin.
1.5 Firewall
1.5.1 Configuracin del firewall
El firewall que existe en la empresa es un servicio del kernel de Linux, configurado de
manera que se prohben todos los servicios y solo se habilitan los necesarios (postura de
negacin preestablecida). Se configuro en base a una poltica que discrimina tres clases de
paquetes de red:
Paquetes entrantes a la red.
Paquetes salientes de la red.
Paquetes en trnsito.
1.5.2
Aire acondicionado.
Generador de energa.
UPS.
Descarga a tierra.
4. SEGURIDAD LGICA
4.1 Identificacin de usuarios
4.1.1 Altas
Cuando un usuario nuevo ingresa a la empresa, el rea de Recursos Humanos toma sus
datos, dando de alta al personal sin embargo, no existe un procedimiento formal a seguir
para realizar estas tareas. Si este usuario necesita del sistema informtico, Recursos
Humanos hace el pedido al Departamento de Sistemas, donde se genera el alta del
usuario al sistema.
4.1.2 Bajas
Las cuentas de los usuarios no se eliminan del sistema, se deshabilitan actualizndoles la
fecha de anulacin de dicha cuenta. De esta forma los datos de las cuentas dadas de baja
quedan almacenados en el disco y no es posible repetir los IDs de usuarios anteriores para
nuevos empleados.
No hay ningn procedimiento formal para dar de baja un usuario del sistema.
4.2 Mantenimiento
No se lleva a cabo ninguna revisin peridica ni control sobre el buen funcionamiento de las
cuentas de los usuarios, ni sobre los permisos que tienen asignados.
4.3 Permisos
Los permisos a los diferentes aplicativos de software se basa en privilegios de acceso en base
a roles los mismos que se encuentran creados por reas de la empresa.
4.4 Inactividad
Si el usuario permanece un perodo de tiempo logeado sin actividad, el sistema no ejecuta
ninguna accin; los administradores solo advierten a los usuarios sobre la necesidad de no
dejar las mquinas logeadas e inactivas. Si las cuentas de usuarios permanecen varios das
sin actividad, por licencias o por vacaciones no pasan a un estado de suspensin.
MODELO DE MADUREZ DE SEGURIDAD
Concluyendo con las evaluaciones de:
Seguridad en las Comunicaciones
Seguridad de las Aplicaciones
Seguridad Fsica
Seguridad Lgica.
Se concluye que la empresa se encuentra bajo el siguiente nivel de madurez de seguridad
actualmente:
EVALUACION DE RIESGOS
Como punto de partida y con el fin de efectuar una adecuada evaluacin de riesgos es necesario
realizar una valoracin de los activos que contiene la institucin generando un inventario de
aquellos considerados de vital importancia mismos que fueron clasificados segn el impacto que
sufrira la organizacin si faltase o fallara tal activo. Dicha clasificacin como se menciono
anteriormente se dio en base a estudios previos, entrevistas al personal de la organizacin y
cuestionarios para tomar conocimiento de la organizacin y de la seguridad que actualmente
posee.
En el presente cuadro se listan los activos de la organizacin, los factores de riesgos que los
afectan directamente y las consecuencias que puede acarrear la ocurrencia de estos factores. Se
agrega informacin referida a las medidas que ha tomado la empresa para mitigar estas
consecuencias.