Entradas

Análisis de Hallazgo - Carlos Casañas

Imagen
  Hallazgo Se ha identificado la presencia de entidades (tablas) en desuso dentro de la base de datos del sistema de correspondencia. Esto significa que existen elementos que ya no son utilizados por la aplicación o que no guardan información relevante para las operaciones actuales del negocio. No cumple con la norma para Control A.8.1.1: Inventario de activos (Inventory of assets) y Control A.8.1.3: Uso aceptable de activos (Acceptable use of assets) de ISO/IEC 27001. Consecuencia La existencia de entidades en desuso genera confusión en el esquema de la base de datos, dificultando la comprensión de su estructura y el mantenimiento futuro.  Ocupan espacio de almacenamiento de forma ineficiente y pueden generar falsos positivos en análisis de seguridad o auditorías, al revisar componentes que no tienen una función activa. Esto puede ir en contra del objetivo de optimización de recursos y la claridad de los activos de información.  Una base de datos desordenada también pued...
Publicar un comentario
Leer más

Análisis de Hallazgo - Jesus Marquez

Imagen
Hallazgo Falta de cifrado en los datos de usuario. Consecuencia Representa un riesgo crítico en la seguridad informática. Puede generar consecuencias graves para la organización, como: Robo de identidad Ataques de ransomware Filtración de información de bases de datos. Recomendación/Propuesta de mejora Implementar un cifrado adecuado para minimizar riesgos y fortalecer la integridad de los sistemas. Implementar un cifrado robusto (AES-256, bcrypt, SHA-256). Alinearse a la normativa de la ISO 27002, específicamente: Dominio 9. CONTROL DE ACCESOS Objetivo 9.4 Control de acceso a sistemas y aplicaciones Control 9.4.3 Gestión de contraseñas de usuario Participante: Jesus Marquez
Publicar un comentario
Leer más

Análisis de Hallazgo - Dayerling Camejo

Imagen
Hallazgo Ausencia de una política de control de acceso de red que defina claramente cómo se otorga y se restringe el acceso a las subredes particularmente en lo que respecta a la movilidad de dispositivos.  No cumple con la norma para Control A.9.1.1: Política de control de acceso (Access control policy) de ISO/IEC 27002:2013  No cumple con la norma para Control A.5.15: Control de acceso (Access control) de ISO/IEC 27002:2022   Consecuencia La falta de una política clara y aplicada genera una inconsistencia en los controles de seguridad de la red. Los usuarios pueden conectar sus dispositivos en cualquier segmento de red sin controles de autenticación, lo que aumenta el riesgo de accesos no autorizados y facilita la propagación de malware o el movimiento lateral de un atacante dentro de la red. La organización pierde control sobre quién y qué dispositivo se conecta a cada segmento. Recomendación/Propuesta de...
Publicar un comentario
Leer más

Análisis de Hallazgo - Luisana Gonzalez

Imagen
Hallazgo No existe un diagrama que documente de forma clara la segregación de las redes en segmentos lógicos o físicos, como Intranet, Extranet, Internet y DMZ. No cumple con la norma para Control A.8.22: de la ISO/IEC:27001:2022 Segregación de redes (Segregation of Networks)  No cumple con la norma para Control A.13.1.3: de la ISO/IEC 27002:2013 Segregación en las redes (Segregation in networks) Consecuencia La falta de un diagrama de segregación de redes incrementa el riesgo de que un atacante, al comprometer un segmento, pueda moverse lateralmente hacia otras áreas críticas de la red, como la red interna. Dificulta la aplicación efectiva de políticas de seguridad, como las reglas de firewall, entre los diferentes segmentos. Podría llevar a una exposición innecesaria de recursos sensibles. Recomendación/Propuesta de mejora Se debe crear y mantener un diagrama específico que ilustre la segregación de la red, ...
Publicar un comentario
Leer más