Análisis y evaluación de riesgos en el Centro de Desarrollo e Innovación Tecnológica – CEDIT de la Universidad Francisco de Paula Santander Ocaña.

Abstract

El CEDIT no cuenta con una política que le permita establecer los mecanismos para salvaguardar la información y los recursos tecnológicos que tienen a su cargo, tampoco se cuenta con una metodología formalmente establecida con la que sus miembros entiendan y tengan claro los riesgos a los que exponen la información que generan. La pérdida o duplicidad de la información y el acceso de usuarios no autorizados a la información clasificada de los diferentes proyectos que se generan y gestionan dentro de la institución, son los problemas que se detectan y se pretenden corregir al realizar un análisis y evaluación de los riesgos existentes en el Centro de Desarrollo e Innovación Tecnológica – CEDIT, dependencia de la Universidad Francisco de Paula Santander Ocaña. Se logra hacer un levantamiento del inventario de los activos presentes en el CEDIT y de acuerdo a la clasificación que se le da a cada uno, se identifican 58 activos principales, estos son: físicos, lógicos, de personal, de infraestructura e intangibles, correspondientes a activos esenciales, arquitectura del sistema, datos e información, claves criptográficas, servicios, aplicaciones, equipos informáticos, soportes de información, equipamiento auxiliar, instalaciones y personal, valorándolos de tal manera que cada uno puede ocasionar una falla grave de acuerdo a su importancia dentro de los procesos que se ejecutan a diario en el CEDIT, la ausencia de alguno de ellos puede convertirse en un fallo o interrupción del servicio, por lo cual se afirma la importancia de este proyecto. Basándose en la metodología Magerit que a pesar de ser más extensa, ayuda a adaptar mejor las actividades a desarrollar en la empresa para lograr el fin deseado, a través de la aplicación de dicha metodología se logra recopilar la información necesaria y obtener resultados que permitieron identificar los riesgos y vulnerabilidades existentes, dentro de las que se destacan: indisponibilidad del personal, fugas de información, errores de monitorización, fallo de servicios de comunicaciones, pérdida de equipos, difusión de software dañino, manipulación de la configuración de las estaciones de trabajo, caída del sistema por agotamiento de recursos, entre otros; con esta información se procede a definir los mecanismos de control y gestión que ayuden a la minimización de dichas amenazas, para ello se aplicó una lista de chequeo con el fin de identificar los controles existentes para posteriormente hacer un diagnóstico que permitiera definir el grado de cumplimiento de la política y de esa manera determinar nuevos controles. Concluido todo el proceso descrito se celebra una reunión ejecutiva con la alta dirección de la Universidad Francisco de Paula Santander Ocaña, contando con la presencia de los directamente implicados en la dirección y supervisión del CEDIT, a los que se les presentan los hallazgos determinado con el análisis y evaluación de riesgos a ellos se les exponen y plantean las correspondientes opciones de mejora. Primeramente se les socializan temas de auditoria mostrándoles que no se tiene un sistema establecido para hacer seguimiento a la actividad diaria ni al momento de presentarse un incidente, tampoco se cuenta con un plan de continuidad del negocio que permita la recuperación en caso de un grave incidente de seguridad. Se les evidencia que en la red de datos no se aplican procesos para protegerla, cualquier persona puede conectarse a un punto de red y obtiene acceso a ella, la red inalámbrica también es de fácil acceso y los dispositivos activos de red se encuentran a la vista y sus condiciones no son las más óptimas. Así mismo se da a conocer los resultados donde se evidencia que no se tiene el control apropiado sobre los activos intangibles que se producen, a pesar que el material se genera y se publica en el CEDIT y allí queda toda la trazabilidad de cada proyecto y el producido final, cualquier persona puede llevarse esa información de manera abusiva o compartirla a través de la web, y este es uno de los puntos en los que más se falla, pues la falta de controles y mecanismos de protección permiten que esto suceda. Se encuentra también que no están establecidas las políticas de uso de los dispositivos de cómputo, el personal que hace uso de ellos puede hacer e instalar prácticamente lo que desee, por lo que se les recomienda establecer la política de uso, mantenimiento y prevención de instalación de software, cambio de configuraciones y acceso al hardware de los equipos. Al tratarse de políticas de seguridad se evidencia que no se cuenta con procedimientos de manejo de niveles de acceso que se otorgan a los usuarios y empleados, se evidenció que todos los equipos de cómputo poseen un usuario administrador en el que cualquiera puede entrar y hacer uso completo de las máquinas, no se da un manejo adecuado de contraseñas, ni a los usuarios externos ni a los mismos empleados se les instruye en el uso de contraseñas seguras. Aunque se cuenta con una red sólida y regida por algunos estándares, el nivel de aseguramiento de los servidores y demás equipos importantes no es la mejor a nivel físico y lógico, pues no existen mecanismos solidos que ayuden a proteger estos equipos contra accesos no autorizados e incluso ataques informáticos, la información se encuentra expuesta, con un mínimo de conocimiento básico en seguridad informática se puede llegar a ella, vulnerando fácilmente algunos controles con los que se cuenta actualmente.