Colegas, mis experiencias con la OSRI no han sido tan malas, en el primer
control nos dieron MUY VULNERABLES. Yo no era el administrador de la red en
ese entonces pero si estaba el día de la inspección y los auditores fueron
muy profesionales y se veía que tenían conocimiento sobre lo que pedían, no
así el administrador de red que hasta se ofuscó y entró en polémica con uno
de los auditores. Esto influyó mucho en el resultado final porque algunas de
las medidas que dejaron podían haberse resuelto o redactadas de otra manera.
Pienso que en todo momento se debe de SER MUY PROFESIONAL, mantener la ética
y la calma, no discutir sino tratar de negociar y aceptar cuando te señalan
algo que tienes mal, pero para esto se debe tener conocimientos sobre el
tema y no pensar que lo sabemos todo.
Siempre te van a coger detalles, dejar medidas, te van hacer señalamientos,
etc, etc. El problema mayor a mi juicio (con las auditores vengan de donde
vengan) es que los que somos administradores hacemos nuestro trabajo de
cierta forma empírica porque muchos no han pasado cursos, no existe una
metodología de como estructurar una red, etc, etc. Solo existe la resolución
127 del MIC y más general no puede ser, esto a mi modo de ver.
Generalmente cuando se va hacer una auditoría se envía ante una lista de
chequeo y por ahí se trabaja, pero no siempre es así. A nosotros nos pasó la
OSRI y luego nos dejó un manual con algunas recomendaciones sobre aspectos
que se deben tener en cuenta en la configuración de una red y en los
servidores y estaciones de trabajo de la misma. Hace poco me hice de una
guía de 114 preguntas que utilizan estos compañeros en las auditorías la
cual está muy buena y cada pregunta recoge los artículos de la 127 y del
acuerdo 6058 por los que se rigen las auditorías.
A mi Empresa en el primer control nos dejaron 11 medidas a resolver en el
plazo de un año. Cuando volvieron a venir en el recontrol nos dieron la
categoría de ACEPTABLE y volvieron a dejar señalamientos. Se reconoció el
trabajo realizado y se nos exortó a seguir trabajando de la forma en que lo
habíamos hecho.
Uno de los problemas que dieron al traste con la evaluación de MUY
VULNERABLE fue que el plan de seguridad informática no se correspondía con
la realidad, eso es una de las primeras cosas que te piden. El sistema
contable financiero debe de estar certificado, la máscara de la red debe de
ajustarse a la cantidad de equipos, debe de existir un cortafuegos, deben
almacenarse los logs de todos los servicios en el formato original y por un
tiempo no menor de un año. Debe de corresponderse la cantidad de usuarios en
papel con los que existen en los servidores, el esquema de la red debe de
estar actualizado, etc, etc.
En mi caso particular cuando me preguntaron sobre los logs, querían saber si
los almacenaba por un tiempo no menor de un año, cuando les dije que si me
pidieron la evidencia, fui hasta los servidores y se los enseñé, no entraron
en detalles si estaban en tal o mas cual formato. Y así podría seguir
contándoles mi experiencia solo que no dispongo de mucho tiempo.
Para terminar les digo que no tengan miedo ser inspeccionados por la OSRI,
siempre es bueno que te señalen los problemas y debilidades de tu red. Eso
si tienes que ser profesional y solucionar los que puedas en el transcurso
de la inspección, tratar de participar en las conclusiones con el director y
solucionar los demás en el menos tiempo posible porque acá al administrador
de la red le costó el puesto.
Damian Tomey Soto
Administrador Red EmpreQuíN
Tel: (32) 413011 Ext: 1488
______________________________________________________________________
Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba.
Gutl-l@jovenclub.cu
https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
