INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO

Transcripción

1 INFORME DE EVALUACION DEL SISTEMA DE GESTION DE LA SEGURIDAD DE LA INFORMACION (SGSI), PERIODO A continuación haremos una descripción de los pasos con que cuenta nuestra metodología de la evaluación de riesgos de la información. Esta metodología es el resultado de la combinación de diferentes propuestas existentes en la industria, y utiliza métodos tanto cualitativos, como cuantitativos, los primeros permiten agilidad en el proceso y facilidad en la asignación de valores de impacto o riesgo, y los segundos nos permiten la precisión y exactitud, necesarias a la hora de tomar decisiones en nuestras políticas de seguridad. La evaluación de riesgos identifica las amenazas, vulnerabilidades y riesgos de la información, sobre la plataforma tecnológica, un plan de implementación de los controles que aseguren un ambiente informático seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la información. Los dos puntos importantes a considerar son: La probabilidad de una amenaza. La magnitud del impacto sobre el sistema, la cual se mide por el nivel de daño. Para realizar la evaluación de seguimiento de las políticas aplicadas para el mejoramiento del Sistema De Gestión De La Seguridad De la Información SGSI, se envió una matriz dividida en temas relacionados con la Información, La parte física de los equipos, la parte lógica o software de los equipos. Se requería un valor de 1 a 4 según el daño que causa la pérdida o daño de ciertos documentos, siendo 1 el menor daño y 4 el mayor daño. Y se requería se diera un valor de 1 a 4 según la probabilidad de que sucediera las acciones descritas, siendo 1 la probabilidad menor y 4 la mayor. Automáticamente la matriz multiplica los valores y muestra el nivel de riesgos de cada documento y el promedio de cada acción. Luego se promedió cada uno de los valores de la matriz teniendo como referencias los valores de cada matriz de las dependencias de la alcaldía. Al final nos muestra una matriz promedio de toda la alcaldía. Se realizó una entrevista al Ingeniero encargado de la parte de sistemas para evaluar falencias que se pasaron por alto en la matriz. Se evaluaron temas sobre back-up s, control de acceso a la información y equipos, etc.

2 RIESGOS DESCUBIERTOS EN LA MATRIZ CON NIVEL MEDIO INFORMACION: Virus / Ejecución no autorizado de programas maliciosos Falla de sistema / Daño disco duro Falta de inducción, capacitación y sensibilización sobre riesgos Infección de sistemas a través de unidades portables (USB, DVD s, etc.) sin escaneo Transmisión no cifrada de datos críticos( no colocar contraseñas en archivos confidenciales) Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD centralizada) FISICO: daño físico por Virus / Ejecución no autorizado de programas Sobrecarga eléctrica Infección de sistemas a través de unidades portables sin escaneo SOFTWARE: Virus / Ejecución no autorizado de programa Falla de corriente (apagones) Falla de sistema / Daño disco duro Perdida de datos SERVICIOS: Falta de inducción, capacitación y sensibilización sobre riesgos Manejo inadecuado de contraseñas (inseguras, no cambiar, compartidas, BD centralizada) Fallas en permisos de usuarios (acceso a archivos) Al comparar matriz actual con la matriz inicial se detectaron mejoras importantes en el Sistema de Gestión De La Información (SSGI), ya que pasamos de tener varias acciones con un riesgo alto a no tener ninguna, la mayoría tienen un riesgo bajo y algunas tienen un riesgo medio. Aunque se encuentran los siguientes problemas:

3 Se evidencian problemas de seguridad con las unidades portables como USB s al igual que la infección de equipos por malware o virus. Puede suceder por falta de vacunación de los medios portables o descargas de programas no autorizados. Al igual se ve un mal manejo de contraseñas de usuario entre compañeros, aunque se entiende que algunas veces no está la persona y es necesario ingresar al equipo es recomendable tener cifrada la información clasificada, ya que se evidencio que la información clasificada no maneja un cifrado. Por seguridad es mejor cifrar esta información en caso de que sea substraída por un tercero. Se evidencia que puede haber problemas físicos en los equipos por sobrecargas eléctricas, daños por uso de los discos duros o virus, por problemas de polvo en el ambiente (aunque regularmente se hace un mantenimiento a los equipos de cada una de las dependencias) Se evidencia que por falta de capacitación y de sensibilización sobre los riesgos se puede perder información y / o averiar los equipos. En las de más acciones se mostró una mejoría en nivel del riesgo o se mantuvo el nivel. Lo cual demuestra que las políticas establecidas para mejorar el SGSI están dando resultados positivos. Actualmente las políticas de seguridad de la información se están cumpliendo con las siguientes actividades: Política de Seguridad de la información: La alcaldía Municipal de Mosquera realiza back-up de la información de las dependencias y cuando cambia un funcionario se le solicita la información con la que trabaja. Organización de la seguridad de la información Cada equipo de la alcaldía tiene un usuario y clave y el responsable de este equipo es el responsable de esta información. El usuario se configuro según lo establecido en la política. (Nombre + punto + más Apellido en el dominio en la red trabajo de la Alcaldía.) Gestión de Riesgos La Dirección de Prospectiva y Evaluación Integral con apoyo del área de sistemas de Alcaldía Municipal de Mosquera realizo la evaluación de riesgos para cada una de las dependencias de la alcaldía y se establecieron los controles adecuados para mitigarlos.

4 Responsabilidad frente a la seguridad Periódicamente el área de sistemas realiza un sistema de Backups con el fin de almacenar dicha información en CDs y en estantes en la alcaldía municipal y posteriormente transfiere al archivo central del Municipio. Seguridad con el personal A partir de la vinculación laboral o contrato de los funcionarios públicos, la Secretaría General da a conocer el rol y la responsabilidad en términos de uso y seguridad de la información, así como su confidencialidad y uso institucional. Seguridad física Los equipos de la alcaldía cuentan con claves de usuario para que personas ajenas al grupo de trabajo no tengan acceso a ellos, esto se realiza con el objetivo de evitar pérdida y daño de información. En cuanto a los sucesos derivados de la impericia, negligencia de usuarios y decisiones institucionales, se brindan capacitaciones en el uso de herramientas tecnológicas. Administración de redes y computadores Se lleva una hoja de vida a cada uno de los equipos de cómputo de la Alcaldía Municipal de Mosquera donde se documenta los procedimientos y responsabilidades del servicio prestado por el área de sistemas. Se actualiza periódicamente el antivirus en cada uno de los equipos para considerar protecciones contra software malicioso y se debe realiza un mantenimiento físico a cada uno de estos. Uso de Correo Electrónico En la actualidad cada funcionario ya posee un correo institucional el cual está vinculado al programa de Outlook en cada equipo. El funcionario debe estar revisando este correo. Uso de Internet Actualmente la oficina de sistemas mantiene bloqueadas las páginas de redes sociales y videos, solo en caso de ser necesario por cuestiones laborales se desbloquean estas páginas con solicitud a la Secretaría General. Uso carpetas Temporales Actualmente se usan las carpetas temporales como se indicó en la política de seguridad de la información, por medio de la carpeta temporal X es que se realiza el back-up semanal de las dependencias y Z es para compartir documentos entre Dependencias.

5 Anexos: se realiza anexo de la matriz de evaluación de riesgos y de la encuesta realizada al Ingeniero Encargado del área de Sistemas.