TALLER SEGURIDAD DE LA INFORMACION
Enviado por eherrerauribe • 14 de Julio de 2015 • 1.039 Palabras (5 Páginas) • 223 Visitas
■ Indicar cualquier problema de seguridad de la información que no se controla específicamente en la actualidad en la Unidad Administrativa XX.
1. Tiene varios años tramitando expedientes de forma local, antes manualmente, ahora por medio de un sistema informático propio.
2. Los usuarios pueden realizar sus tramitaciones vía web, usando su Cédula de Ciudadanía como identificación, más una contraseña personal.
3. El mismo sistema de tramitación es usado por un funcionario interno para atender ciudadanos que se declaran desconocedores de los aspectos tecnológicos y desean ser atendidos en las dependencias de la unidad.
4. Se toma la decisión de dejar por fuera del estudio elementos que pudieran ser relevantes en un análisis más detallado como son los datos de identificación y autenticación de usuarios de los sistemas, las áreas de trabajo del personal que los maneja, la sala de equipos (centro de procesamiento de datos) y las personas relacionadas con el proceso.
5. Explícitamente se excluirá la evaluación de la seguridad de los servicios subsidiarios que se emplean.
6. El análisis es local, circunscrito a la unidad que nos ocupa. Dichos servicios remotos se consideran, a efectos de este análisis, “opaco”; es decir, que no entraremos a analizar cómo se prestan.
7. El proyecto se anuncia internamente mediante comunicación general a todo el personal de la Unidad y notificación personal a aquellas personas que se verán directamente afectadas. En estas comunicaciones se entrega identificación de las personas responsables del Proyecto.
8. El Servicio de Tramitación se presta por medio de una aplicación informática desarrollada en el pasado sobre una base de datos. A esta aplicación se accede a través de usuarios locales cuya definición de perfiles de acceso tiene definidos privilegios adecuados.
9. Iniciar una tramitación supone abrir un expediente que se almacena localmente en la oficina. También supone recabar una serie de datos del archivo central de información, datos que se copian localmente.
10. Al cierre del expediente, los datos y un informe de las actuaciones realizadas se remiten al archivo central para su custodia, eliminándose la información de los equipos locales.
11. El personal de la Unidad se identifica por medio de su Cuenta de Usuario, mientras que los usuarios remotos se identifican por su Cédula de Ciudadanía. En ambos casos el sistema requiere una contraseña para autenticarlos.
12. Por último, hay que destacar el papel que presta la mensajería electrónica en todo el proceso de tramitación; este es usado como medio interno de comunicación entre el personal y como mecanismo de notificación a los usuarios externos.
13. A través de Intranet, se presta un servicio centralizado de archivo y recuperación de documentos. Los usuarios acceden por medio de una interfaz web local, la cual se encuentra conectada al servidor remoto a través de una red privada virtual. Este servicio sólo está disponible para el personal de la unidad y para el empleado virtual que presta el servicio de tramitación remota.
14. Existe una capacidad de almacenamiento local de información en el disco del PC, de este que no se realizan copias de seguridad. Adicionalmente, existe un procedimiento de instalación / actualización que borra el disco local y reinstala el sistema íntegro.
15. Los equipos no disponen de unidades de disco removible de ningún tipo: disquetes, CD, DVD, USB, etc.
16. Se dispone de una red
...