Análisis de Hallazgo - David Gutierrez



Hallazgo

  • Inexistencia de un diagrama de red completo y actualizado que detalle la topología lógica y física de la infraestructura de comunicaciones. 
  •  No cumple con la norma para Control A.8.20 de la ISO/IEC:27001:2022 Seguridad de la red (Network Security) 

  • No cumple con la norma para Control A.13.1.1: de la ISO/IEC 27002:2013 Controles de red (Network controls)

Consecuencia

  • La ausencia de un diagrama de red actualizado dificulta la implementación, gestión y monitoreo efectivo de las medidas de seguridad de la red.
  • Aumenta el riesgo de accesos no autorizados.
  • Impide la verificación del cumplimiento de las políticas de seguridad de la red.

Recomendación/Propuesta de mejora

  • Para garantizar la seguridad y gestión adecuada de la red, es crucial mantener un diagrama actualizado que incluya tanto la topología lógica (segmentación, IPs, VLANs) como la física (ubicación de equipos y cableado).
  • Esto permite reflejar los cambios en la infraestructura y facilita el cumplimiento de los controles de seguridad relevantes, como:
    • Control A.8.20 de la ISO/IEC 27001:2022
    • Control A.13.1.1 (Controles de red) de la ISO/IEC 27002:2013, que exige la protección, administración y supervisión de redes y dispositivos.



  
Participante:
David Gutiérrez

Comentarios

Publicar un comentario

Entradas más populares de este blog

Bienvenidos al Blog de Nuestro Grupo de Informática IV

¡Hola a todos! Somos un grupo de estudiantes del área tecnológica y nos complace darles la bienvenida a nuestro blog. En este espacio, nos enfocaremos en compartir información y conocimientos relacionados con nuestra especialidad. A diferencia de otros blogs que se centran en las últimas tendencias y avances tecnológicos, nuestro objetivo es proporcionar una plataforma donde podamos recopilar y organizar información valiosa para nuestro grupo. Aquí encontrarán artículos, recursos y herramientas que consideramos relevantes y útiles para nuestros estudios y proyectos en el campo de la tecnología.
Leer más

Ciberseguridad, Elementos de Control Interno, Herramientas de Control Interno, Clasificación de Controles.

Imagen
  Ciberseguridad: La ciberseguridad, también conocida como seguridad informática o seguridad de la información digital, abarca las prácticas, políticas, tecnologías y procesos diseñados para proteger los activos digitales, incluyendo sistemas informáticos, redes, datos y software, contra amenazas y accesos no autorizados. Su objetivo principal es garantizar la confidencialidad, integridad y disponibilidad de la información.   Conceptos Clave: Activo Digital: Cualquier información o recurso de valor que se almacena, procesa o transmite digitalmente. Esto incluye bases de datos, archivos, correos electrónicos, software, hardware, redes y servicios en la nube. Amenaza: Cualquier evento o acción potencial que podría explotar una vulnerabilidad para causar daño a un activo digital. Las amenazas pueden ser internas (originadas dentro de la organización) o externas (provenientes de fuera). Ejemplos incluyen malware, phishing, ataques de ...
Leer más