Análisis de Hallazgo - Carlos Casañas



 


Hallazgo

  • Se ha identificado la presencia de entidades (tablas) en desuso dentro de la base de datos del sistema de correspondencia. Esto significa que existen elementos que ya no son utilizados por la aplicación o que no guardan información relevante para las operaciones actuales del negocio.
  • No cumple con la norma para Control A.8.1.1: Inventario de activos (Inventory of assets) y Control A.8.1.3: Uso aceptable de activos (Acceptable use of assets) de ISO/IEC 27001.

Consecuencia

  • La existencia de entidades en desuso genera confusión en el esquema de la base de datos, dificultando la comprensión de su estructura y el mantenimiento futuro. 
  • Ocupan espacio de almacenamiento de forma ineficiente y pueden generar falsos positivos en análisis de seguridad o auditorías, al revisar componentes que no tienen una función activa. Esto puede ir en contra del objetivo de optimización de recursos y la claridad de los activos de información. 
  • Una base de datos desordenada también puede incrementar el riesgo de errores operativos o la inclusión accidental de datos irrelevantes en informes o procesos críticos.

Recomendación/Propuesta de mejora

  • Se recomienda realizar una depuración exhaustiva de las entidades en desuso, eliminándolas o archivándolas adecuadamente después de confirmar que no hay dependencia alguna. 
  • Este proceso debe ir acompañado de una actualización de la documentación del esquema de la base de datos para reflejar la estructura actual y limpia. 
  • Implementar una política de revisión periódica del esquema de la base de datos ayudará a prevenir la acumulación futura de entidades en desuso y a mantener la integridad y eficiencia del sistema.

Cumplimiento con:

  • ISO/IEC 27001, Control A.8.1.1 (Inventario de activos)
  • ISO/IEC 27001, Control A.8.1.3 (Uso aceptable de activos)

Participante:
Carlos Casañas

Comentarios

Publicar un comentario

Entradas más populares de este blog

Bienvenidos al Blog de Nuestro Grupo de Informática IV

¡Hola a todos! Somos un grupo de estudiantes del área tecnológica y nos complace darles la bienvenida a nuestro blog. En este espacio, nos enfocaremos en compartir información y conocimientos relacionados con nuestra especialidad. A diferencia de otros blogs que se centran en las últimas tendencias y avances tecnológicos, nuestro objetivo es proporcionar una plataforma donde podamos recopilar y organizar información valiosa para nuestro grupo. Aquí encontrarán artículos, recursos y herramientas que consideramos relevantes y útiles para nuestros estudios y proyectos en el campo de la tecnología.
Leer más

Ciberseguridad, Elementos de Control Interno, Herramientas de Control Interno, Clasificación de Controles.

Imagen
  Ciberseguridad: La ciberseguridad, también conocida como seguridad informática o seguridad de la información digital, abarca las prácticas, políticas, tecnologías y procesos diseñados para proteger los activos digitales, incluyendo sistemas informáticos, redes, datos y software, contra amenazas y accesos no autorizados. Su objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información.   Conceptos Clave: Activo Digital: Cualquier información o recurso de valor que se almacena, procesa o transmite digitalmente. Esto incluye bases de datos, archivos, correos electrónicos, software, hardware, redes y servicios en la nube. Amenaza: Cualquier evento o acción potencial que podría explotar una vulnerabilidad para causar daño a un activo digital. Las amenazas pueden ser internas (originadas dentro de la organización) o externas (provenientes de fuera). Ejemplos incluyen malware, phishing, ataques de ...
Leer más