Análisis de Hallazgo - Luisana Gonzalez



Hallazgo

  • No existe un diagrama que documente de forma clara la segregación de las redes en segmentos lógicos o físicos, como Intranet, Extranet, Internet y DMZ.

  • No cumple con la norma para Control A.8.22: de la ISO/IEC:27001:2022 Segregación de redes (Segregation of Networks)

  •  No cumple con la norma para Control A.13.1.3: de la ISO/IEC 27002:2013 Segregación en las redes (Segregation in networks)

Consecuencia

  • La falta de un diagrama de segregación de redes incrementa el riesgo de que un atacante, al comprometer un segmento, pueda moverse lateralmente hacia otras áreas críticas de la red, como la red interna.
  • Dificulta la aplicación efectiva de políticas de seguridad, como las reglas de firewall, entre los diferentes segmentos.
  • Podría llevar a una exposición innecesaria de recursos sensibles.

Recomendación/Propuesta de mejora

  • Se debe crear y mantener un diagrama específico que ilustre la segregación de la red, mostrando las diferentes zonas (ej., DMZ, redes internas, redes de invitados) y los dispositivos (routers, firewalls) que controlan las comunicaciones entre ellas.
  • El cumplimiento con los siguientes controles de seguridad:
    • ISO/IEC 27001:2022, Control A.8.22 (Segregación de redes)
    • ISO/IEC 27002:2013, Control A.13.1.3 (Segregación en las redes)
  • Al documentar claramente la segregación de redes, la organización puede reducir el riesgo de acceso no autorizado y limitar el impacto de posibles incidentes de seguridad.

 

Participante:
Luisana Gonzalez

Comentarios

Publicar un comentario

Entradas más populares de este blog

Bienvenidos al Blog de Nuestro Grupo de Informática IV

¡Hola a todos! Somos un grupo de estudiantes del área tecnológica y nos complace darles la bienvenida a nuestro blog. En este espacio, nos enfocaremos en compartir información y conocimientos relacionados con nuestra especialidad. A diferencia de otros blogs que se centran en las últimas tendencias y avances tecnológicos, nuestro objetivo es proporcionar una plataforma donde podamos recopilar y organizar información valiosa para nuestro grupo. Aquí encontrarán artículos, recursos y herramientas que consideramos relevantes y útiles para nuestros estudios y proyectos en el campo de la tecnología.
Leer más

Ciberseguridad, Elementos de Control Interno, Herramientas de Control Interno, Clasificación de Controles.

Imagen
  Ciberseguridad: La ciberseguridad, también conocida como seguridad informática o seguridad de la información digital, abarca las prácticas, políticas, tecnologías y procesos diseñados para proteger los activos digitales, incluyendo sistemas informáticos, redes, datos y software, contra amenazas y accesos no autorizados. Su objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información.   Conceptos Clave: Activo Digital: Cualquier información o recurso de valor que se almacena, procesa o transmite digitalmente. Esto incluye bases de datos, archivos, correos electrónicos, software, hardware, redes y servicios en la nube. Amenaza: Cualquier evento o acción potencial que podría explotar una vulnerabilidad para causar daño a un activo digital. Las amenazas pueden ser internas (originadas dentro de la organización) o externas (provenientes de fuera). Ejemplos incluyen malware, phishing, ataques de ...
Leer más