UNIVERSIDAD ABIERTA Y A DISTANCIA UNAD

FASE 4 EJECUCION

JOSE TORREGROZA RODRIGUEZ

TUTOR
FRANCISCO NICOLAS SOLARTE

UNIVERSIDAD NACIONAL ABIERTA Y A DISTANCIA - UNAD

ESCUELA DE CIENCIAS BÁSICAS TECNOLOGÍA E INGENIERÍA
2018
BOGOTÁ
Cuadro de tratamiento de riesgos del proceso: DS7 Educar y Entrenar a los Usuarios

Probabilidad Impacto
N° Descripción
B M A L M C

No se capacita al personal en temas relacionados con

R1 X X
la seguridad informática

Falta de capacitación y sensibilización del personal del

R2 X X
área de sistemas

No existe un control sobre los insumos y recursos

informáticos que la universidad compra, lo cual
R3 permite que estos sean utilizados para tareas diferentes X X
a las previstas, haciendo que éstos se acaben de una
manera más rápida

Los usuarios no usan Redes seguras y cifradas

R4 (VLAN, VNP, IPSEC) para conectarse a la red de la X X
universidad

Uso indebido del correo electrónico para el envío de

R5 información a personal externo o para el registro en X X
foros y redes sociales.

Algunos de los usuarios conectan dispositivos

personales no seguros a la red de la universidad lo que
R6 X X
puede generar huecos de seguridad dando cabida a la
entrada de piratas cibernéticos
 Alto
R1, R5 R4
61-100%
Medio
R3 R2 R6
PROBABILIDAD
31-60%
Bajo
0-30%

Leve Moderado Catastrófico

IMPACTO

N° Descripción Riesgo Tratamiento Riesgo

No se capacita al usuario en temas relacionados con la
R1 Transferir
seguridad informática

Falta de capacitación y sensibilización del personal del área

R2 Controlarlo
de sistemas

No existe un control sobre los insumos y recursos

informáticos que la universidad compra, lo cual permite que
R3 Aceptarlo
estos sean utilizados para tareas diferentes a las previstas,
haciendo que éstos se acaben de una manera más rápida

Los usuarios no usan Redes seguras y cifradas (VLAN, VNP,

R4 Controlarlo
IPSEC) para conectarse a la red de la universidad

Uso indebido del correo electrónico para el envío de

R5 información a personal externo o para el registro en foros y Controlarlo

redes sociales.

Algunos de los usuarios conectan dispositivos personales no

R6 seguros a la red de la universidad lo que puede generar huecos Controlarlo
de seguridad dando cabida a la entrada de piratas cibernéticos
1 Hallazgos del proceso: DS7 Educar y Entrenar a los Usuarios

REF
HALLAZGO 1
HHDN_01

PROCESO PÁGINA
Educar y Entrenar a los Usuarios
AUDITADO 1 DE 1

RESPONSABLE Jose Torregroza

MATERIAL DE
COBIT
SOPORTE

ENTREGAR Y DAR DS7: Educar y Entrenar a

DOMINIO PROCESO
SOPORTE los Usuarios

DESCRIPCIÓN:

 Se encuentra que la universidad no cuenta con un plan de capacitaciones

enfocadas en ayudarle a sus usuarios y demás usuarios a reconocer los
comportamientos seguros e inseguros cuando hacen uso de las herramientas
informáticas tanto de la universidad como externas.
 Se detecta que los usuarios no usan Redes seguras y cifradas (VLAN, VNP,
IPSEC) para acceder desde redes diferentes a la interna, a repositorios que
contienen información privada de la universidad y sus clientes.

REF_PT:

Entrevista: E1 (Anexo 1)
CONSECUENCIAS:

 La falta de capacitación de los usuarios con acceso a la red y el sistema en

temas relacionados con los comportamientos seguros e inseguros respecto al
uso de las herramientas TIC, puede ocasionar serios problemas de seguridad
para la universidad, ya que se corre el riesgo de que los usuarios sean víctimas
de un sinnúmero de amenazas externas a las que diariamente están expuestos,
que buscan la obtención ilegal de información confidencial, tanto de las
personas como de las universidad s para las que laboran.
 Al no garantizarse la seguridad en las conexiones de los usuarios a través del
uso de Redes seguras y cifradas (VLAN, VNP, IPSEC), se abre una puerta a
personas malintencionadas para que tengan acceso a información de la
universidad y sus clientes, poniendo en alto riesgo el desarrollo de las
actividades de la compañía.

RIESGO:

Probabilidad de ocurrencia: 100%

Impacto según relevancia del proceso: Alto.

RECOMENDACIONES:

 Implementar un programa de capacitación para los usuarios de la universidad

y otros actores, sean conscientes de los riesgos a los que están expuestos
cuando hacen uso de las herramientas TIC y ayudarlos a reconocerlos para
evitar posibles afectaciones a nivel personal y/o profesional, aminorando así
el riesgo de pérdida o divulgación de información de ellos y de la universidad.
 Implementar el uso de Redes seguras y cifradas (VLAN, VNP, IPSEC) para
asegurar las conexiones de los usuarios a los repositorios de información de
la universidad, cuando no estén conectados a la red interna.
2 Cuadro de controles propuestos del proceso: DS7 Educar y Entrenar a los
Usuarios

Riesgos o hallazgos Tipo de control Soluciones o controles

encontrados

Falta de capacitación y PREVENTIVO Construir un plan de capacitaciones periódicas

sensibilización del para el personal de sistemas en las que se
personal del área de actualicen los conocimientos de estos.
sistemas
CORRECTIVO Capacitar al personal de sistemas en el manejo
adecuado de las herramientas que se usan en la
universidad. Si no se cuenta en la universidad
con el personal idóneo para esta capacitación
puede contratarse un tercero que lo haga.
Los usuarios no usan CORRECTIVO Implementar el uso de una Redes seguras y
Redes seguras y cifradas cifradas (VLAN, VNP, IPSEC) en todas las
(VLAN, VNP, IPSEC) conexiones de los usuarios de la universidad a
para conectarse a la red los repositorios de información de esta.
de la universidad

Uso indebido del correo PREVENTIVO Exponer a los usuarios los riesgos a los que se
electrónico para el envío exponen y exponen a la universidad, al utilizar
de información a la cuenta de correo electrónico empresarial para
personal externo o para tratar asuntos diferentes a los laborales.
el registro en foros y
DETECTIVO Instalación de herramienta de software de
redes sociales
análisis de contenido de correo
electrónico que permita el monitoreo en
 tiempo real del uso dado a el correo
electrónico empresarial por parte de los
usuarios.
CORRECTIVO Tomar acciones disciplinarias sobre los usuarios
que usen la cuenta de correo empresarial para
tratar temas diferentes a los laborales. En caso
de detectarse que se ha comprometido la cuenta
de correo del empleado deshabilitar la misma.
Algunos de los usuarios PREVENTIVO Ejercer controles de seguridad para la conexión
conectan dispositivos de dispositivos no permitidos a la red de la
personales no seguros a universidad.
la red de la universidad
lo que puede generar
huecos de seguridad
dando cabida a la
entrada de piratas
cibernéticos

Proceso DS7 Educar y entrenar a los usuarios

CUADRO DE DEFINICION DE FUENTES DE REF

CONOCIMIENTO, PRUEBAS DE ANALISIS DE
AUDITORIA

PAGINA
ENTIDAD
Universidad D
AUDITADA 1 1
E
PROCESO
Proceso de entrenamiento en riesgos informáticos
AUDITADO

RESPONSABLE Jose Torregroza

MATERIAL DE
COBIT
SOPORTE
DOMINIO Entregar Y Dar Soporte (DS)

PROCESO DS7 Educar y Entrenar a los Usuarios

FUENTES DE REPOSITORIO DE PRUEBAS APLICABLES

CONOCIMIENTO DE ANALISIS DE EJECUCION
Validar si en el contenido Calificar y medir los
Resolución SGSI de la resolución SGSI, se resultados de eficiencia
encuentra descrita las individual de los
actividades y riesgos sobre empleados.
la administración de
información.

Sistema de control Revisar la información en Comprobar el esquema de

interno el sistema de gestión de protección de información
control interno sobre riegos en los dispositivos.
en TI.

Responsable del área de Medir el conocimiento de Evidenciar los

telemática o afines. los trabajadores sobre conocimientos del personal
riegos de las TI. sobre los controles frente a
los riesgos detectados.

ENTREVISTA
Entregar Y Dar Soporte DS7 Educar y Entrenar a
DOMINIO PROCESO
(DS) los Usuarios
OBJETIVO DE CONTROL
Nº CUESTIONARIO RESPUESTA
Si, conoce algo la resolución de los
¿Conoce la resolución sobre el SGSI? sistemas de gestión de seguridad de
la información.
 ¿Conoce los deberes y precauciones Si, conoce algunos de los deberes y
1 sobre el manejo de información, según precauciones sobre el manejo de
el SGSI? información, según el SGSI
¿Se utilizan métodos cualitativos o
cuantitativos para medir la probabilidad No, no se utilizan cuantitativos para
2
e impacto de los riesgos que pueden este proceso.
afectar la infraestructura tecnológica?
¿Ha recibido capación sobre el SGSI, y
3 Si, pero no en esta compañía.
sus responsabilidades?
¿Cree pertinente la manera como recibe
No, esta es insuficiente y llena de
4 entrenamiento sobre la administración
falencia y vacíos.
de información?