Damian muy interesante tu experiencia, estoy muy interesado en tener esa guía de 114 preguntas. Me la podrías enviar a mi correo?
El 11 de enero de 2012 12:56, Juan Carlos <jchernan...@ca.mfp.gov.cu>escribió: > El 01/11/2012 10:09 AM, Damián Tomey Soto escribió: > > Colegas, mis experiencias con la OSRI no han sido tan malas, en el primer >> control nos dieron MUY VULNERABLES. Yo no era el administrador de la red en >> ese entonces pero si estaba el día de la inspección y los auditores fueron >> muy profesionales y se veía que tenían conocimiento sobre lo que pedían, no >> así el administrador de red que hasta se ofuscó y entró en polémica con uno >> de los auditores. Esto influyó mucho en el resultado final porque algunas >> de las medidas que dejaron podían haberse resuelto o redactadas de otra >> manera. >> >> Pienso que en todo momento se debe de SER MUY PROFESIONAL, mantener la >> ética y la calma, no discutir sino tratar de negociar y aceptar cuando te >> señalan algo que tienes mal, pero para esto se debe tener conocimientos >> sobre el tema y no pensar que lo sabemos todo. >> >> Siempre te van a coger detalles, dejar medidas, te van hacer >> señalamientos, etc, etc. El problema mayor a mi juicio (con las auditores >> vengan de donde vengan) es que los que somos administradores hacemos >> nuestro trabajo de cierta forma empírica porque muchos no han pasado >> cursos, no existe una metodología de como estructurar una red, etc, etc. >> Solo existe la resolución 127 del MIC y más general no puede ser, esto a mi >> modo de ver. >> >> Generalmente cuando se va hacer una auditoría se envía ante una lista de >> chequeo y por ahí se trabaja, pero no siempre es así. A nosotros nos pasó >> la OSRI y luego nos dejó un manual con algunas recomendaciones sobre >> aspectos que se deben tener en cuenta en la configuración de una red y en >> los servidores y estaciones de trabajo de la misma. Hace poco me hice de >> una guía de 114 preguntas que utilizan estos compañeros en las auditorías >> la cual está muy buena y cada pregunta recoge los artículos de la 127 y del >> acuerdo 6058 por los que se rigen las auditorías. >> >> A mi Empresa en el primer control nos dejaron 11 medidas a resolver en el >> plazo de un año. Cuando volvieron a venir en el recontrol nos dieron la >> categoría de ACEPTABLE y volvieron a dejar señalamientos. Se reconoció el >> trabajo realizado y se nos exortó a seguir trabajando de la forma en que lo >> habíamos hecho. >> >> Uno de los problemas que dieron al traste con la evaluación de MUY >> VULNERABLE fue que el plan de seguridad informática no se correspondía con >> la realidad, eso es una de las primeras cosas que te piden. El sistema >> contable financiero debe de estar certificado, la máscara de la red debe de >> ajustarse a la cantidad de equipos, debe de existir un cortafuegos, deben >> almacenarse los logs de todos los servicios en el formato original y por un >> tiempo no menor de un año. Debe de corresponderse la cantidad de usuarios >> en papel con los que existen en los servidores, el esquema de la red debe >> de estar actualizado, etc, etc. >> >> En mi caso particular cuando me preguntaron sobre los logs, querían saber >> si los almacenaba por un tiempo no menor de un año, cuando les dije que si >> me pidieron la evidencia, fui hasta los servidores y se los enseñé, no >> entraron en detalles si estaban en tal o mas cual formato. Y así podría >> seguir contándoles mi experiencia solo que no dispongo de mucho tiempo. >> >> Para terminar les digo que no tengan miedo ser inspeccionados por la >> OSRI, siempre es bueno que te señalen los problemas y debilidades de tu >> red. Eso si tienes que ser profesional y solucionar los que puedas en el >> transcurso de la inspección, tratar de participar en las conclusiones con >> el director y solucionar los demás en el menos tiempo posible porque acá al >> administrador de la red le costó el puesto. >> >> Damian Tomey Soto >> Administrador Red EmpreQuíN >> Tel: (32) 413011 Ext: 1488 >> >> >> ______________________________**______________________________** >> __________ >> Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. >> Gutl-l@jovenclub.cu >> https://listas.jovenclub.cu/**cgi-bin/mailman/listinfo/gutl-**l<https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l> >> >> > bueno yo les dire que el lunes me cae a mi la osri y es la primera vez que > pasare por esta experiencia vamos haber como salgo y sino me cuesta el > puesto! > > -- > Juan Carlos Hernandez Gallardo > Administrador de Redes > Direc Prov de Finanzas y Precios > Nodo, Ciego de Avila > Email: jchernan...@ca.mfp.gov.cu > Telef: 0133-224712 > > > > ______________________________**______________________________**__________ > Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. > Gutl-l@jovenclub.cu > https://listas.jovenclub.cu/**cgi-bin/mailman/listinfo/gutl-**l<https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l> > -- Ing. Reinier Carmona Lizana Jefe del Grupo de Informática, UCI y Copextel Coordinación Estado Bolivar Misión Médica Cubana en Venezuela Telfs: 0426 9971101 Usuario Linux registrado: #483 500 Usuario Ubuntu registrado #27 296 ------------ próxima parte ------------ Se ha borrado un adjunto en formato HTML... URL: <http://listas.jovenclub.cu/pipermail/gutl-l/attachments/20120111/08b6ff76/attachment.htm> ______________________________________________________________________ Lista de correos del Grupo de Usuarios de Tecnologías Libres de Cuba. Gutl-l@jovenclub.cu https://listas.jovenclub.cu/cgi-bin/mailman/listinfo/gutl-l
