anÁlisis de los riesgos que causan la fuga de …lisis de los riesgos...anÁlisis de los riesgos...
TRANSCRIPT
ANÁLISIS DE LOS RIESGOS QUE CAUSAN LA FUGA DE INFORMACIÓN EN
LA EMPRESA ASESORIAS CONTABLES Y REVISORIA FISCAL JAA SAS.
JUAN CARLOS BELTRÁN BEJARANO
ANDREA KATERINE PINEDA CONEJO
ANDRÉS FELIPE QUEVEDO VEGA
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN
BOGOTÁ D.C – 2016
ANÁLISIS DE LOS RIESGOS QUE CAUSAN LA FUGA DE INFORMACIÓN EN
LA EMPRESA ASESORIAS CONTABLES Y REVISORIA FISCAL JAA SAS.
JUAN CARLOS BELTRÁN BEJARANO
ANDREA KATERINE PINEDA CONEJO
ANDRÉS FELIPE QUEVEDO VEGA
Trabajo de grado para obtener el título de especialista en Seguridad de la información.
ASESOR: HECTOR DARIO JAIMES PRADA
INGENIERO DE SISTEMAS
UNIVERSIDAD CATÓLICA DE COLOMBIA
FACULTAD DE INGENIERÍA
PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA
INFORMACIÓN
BOGOTÁ D.C - 2016
Nota de aceptación
______________________________________
______________________________________
______________________________________
______________________________________
Presidente del Jurado
______________________________________
Jurado
______________________________________
Jurado
Bogotá D.C., noviembre de 2016.
Dedicatoria
Dedicamos este proyecto a Dios por ser nuestro guía en cada uno de nuestros pasos, a
nuestros padres por ser nuestro apoyo y fortaleza en cada nuevo reto que tomamos en nuestras
vidas y con los que contamos en todo momento; a nuestros esposos(a), quienes nos han apoyado
de manera incondicional en el desarrollo de nuestra especialización; y a todos los profesores que
compartieron su inmenso conocimiento con nosotros cuyo trabajo y dedicación nos ayuda en la
formación como especialistas en seguridad de la información.
Agradecimientos
Este trabajo de grado es el consolidado de un proceso de crecimiento personal, intelectual y
profesional en nuestras vidas. Agradecemos a Dios el creador del universo que me permite
construir otros mundos mentales.
A nuestras familias por el apoyo incondicional y su acompañamiento en este proceso de
crecimiento.
A los profesores de la especialización, que con su profesionalismo lograron transmitir sus mejores
conocimientos.
Al ingeniero Hector Jaimes, por su apoyo y colaboración en la consolidación de los conocimientos
adquiridos en este trabajo de grado.
A todas aquellas personas que de una u otra manera participaron y nos acompañaron en este
proceso tan significativo para nosotros.
TABLA DE CONTENIDO
INTRODUCCIÓN ................................................................................................................................ 13
1 GENERALIDADES DEL TRABAJO DE GRADO ................................................................... 14
1.1 LÍNEA DE INVESTIGACIÓN ................................................................................................................ 14
1.2 PLANTEAMIENTO DEL PROBLEMA .................................................................................................... 14
1.2.1 Antecedentes del problema .................................................................................................... 14
1.2.2 Pregunta de investigación ..................................................................................................... 15
1.3 JUSTIFICACIÓN ................................................................................................................................. 16
1.4 OBJETIVOS ....................................................................................................................................... 17
1.4.1 Objetivo general .................................................................................................................... 17
1.4.2 Objetivos específicos ............................................................................................................. 17
2 MARCOS DE REFERENCIA .................................................................................................... 18
2.1 MARCO CONCEPTUAL ...................................................................................................................... 18
2.2 MARCO TEÓRICO ............................................................................................................................. 21
2.2.1 OCTAVE ................................................................................................................................ 22
2.2.2 METODOLOGÍA MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS
DE IT) 23
2.2.3 ISO/IEC 27001:2013 ............................................................................................................. 26
2.2.4 ISO 31000:2009..................................................................................................................... 27
2.3 MARCO JURIDICO ......................................................................................................................... 29
3 METODOLOGÍA ........................................................................................................................ 32
3.1 FASES DEL TRABAJO DE GRADO ....................................................................................................... 32
3.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS ............................................................................... 32
4 DESARROLLO (NUMERALES PROPIOS DEL DESARROLLO) ......................................... 33
4.1 LEVANTAMIENTO DE INFORMACIÓN ................................................................................... 33
4.1.1 ESTRUCTURA ORGANIZACIONAL .................................................................................... 34
4.1.2 MAPA DE PROCESOS ......................................................................................................... 35
4.1.3 ENTREVISTA. ....................................................................................................................... 35
4.2 CARACTERIZACIÓN DE ACTIVOS. .......................................................................................... 39
4.2.1 DEPENDENCIA ENTRE ACTIVOS ...................................................................................... 41
4.3 CARACTERIZACIÓN AMENAZAS ........................................................................................................ 42
4.4 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD ACTUALES ASOCIADAS A LA
PREVENCIÓN DE LA FUGA DE INFORMACIÓN. ........................................................................................... 43
4.5 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS ................................................................................... 44
4.5.1 RIESGOS IDENTIFICADOS ................................................................................................. 45
4.5.2 VALORACIÓN DE RIESGOS ............................................................................................... 46
4.5.3 RIESGO VALORACION Y CONTROLES ............................................................................. 47
4.5.4 RESULTADOS DEL ANALISIS ............................................................................................. 52
5 CONCLUSIONES Y RECOMENDACIONES ........................................................................... 55
6 BIBLIOGRAFÍA ......................................................................................................................... 58
LISTA DE FIGURAS
FIGURA 2.1 MAPA CONCEPTUAL .................................................................................................................................. 18
FIGURA 2.2 MARCO TEÓRICO ....................................................................................................................................... 21
FIGURA 2.3 FASES METODOLOGÍA OCTAVE .............................................................................................................. 22
FIGURA 2.4 METODOLOGÍA MAGERIT. “TOMADA DE ................................................................................................ 23
FIGURA 2.5 ISO 27001:2013 ........................................................................................................................................ 27
FIGURA 2.6 ISO 31000. “TOMADA DE
HTTP://WWW.ISACA.ORG/CHAPTERS8/MONTEVIDEO/CIGRAS/DOCUMENTS/CIGRAS2011-CSERRA-
PRESENTACION1%20MODO%20DE%20COMPATIBILIDAD.PDF” .......................................................................... 28
FIGURA 2.7 MARCO JURÍDICO ...................................................................................................................................... 29
FIGURA 4.1 ESTRUCTURA ORGANIZACIONAL ............................................................................................................... 34
FIGURA 4.2 MAPA DE PROCESOS .................................................................................................................................. 35
FIGURA 4.3 DEPENDENCIA ENTRE ACTIVOS TOMADA DE LA HERRAMIENTA PILAR VERSIÓN 5.4.9 LICENCIA DE
EVALUACIÓN ....................................................................................................................................................... 41
FIGURA 4.4 FACTORES DE FUGA DE INFORMACIÓN ...................................................................................................... 53
FIGURA 4.5 CANTIDAD DE RIESGOS ............................................................................................................................. 53
FIGURA 4.6 CONTROLES POR RIESGO ........................................................................................................................... 54
LISTA DE TABLAS
TABLA 2.1 MAR.1 CARACTERIZACIÓN DE ACTIVOS - METODOLOGÍA MAGERIT ...................................................... 24
TABLA 2.2 MAR.2 CARACTERIZACIÓN DE AMENAZAS - METODOLOGÍA MAGERIT ................................................... 25
TABLA 2.3 MAR.3 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD – METODOLOGÍA MAGERIT ................................... 25
TABLA 2.4 MAR.4 ESTIMACIÓN DEL RIESGO – METODOLOGÍA MAGERIT ................................................................ 26
TABLA 4.1 CARACTERIZACIÓN DE LOS ACTIVOS. ......................................................................................................... 40
TABLA 4.2 CARACTERIZACIÓN DE LOS ACTIVOS. ......................................................................................................... 41
TABLA 4.3 CUADRO COMPARATIVO VULNERABILIDADES – AMENAZAS. ...................................................................... 43
TABLA 4.4 RIESGOS IDENTIFICADOS. ........................................................................................................................... 45
TABLA 4.5 MATRIZ DE VALORACIÓN DE RIESGOS........................................................................................................ 46
TABLA 4.6 CONSECUENCIA. ......................................................................................................................................... 46
TABLA 4.7 PROBABILIDAD. .......................................................................................................................................... 46
TABLA 4.8 RIESGO, VALORACIÓN Y CONTROLES. ........................................................................................................ 51
11
RESUMEN
La seguridad de la información es un tema que concierne no solo a grandes empresas, sino
a medianas y pequeñas empresas ya que su afectación puede causar daños que repercuten
directamente a la confidencialidad, a la integridad y la disponibilidad de la información causando
un impacto en la imagen y reputación que conlleva a pérdidas económicas.
La fuga de información es un tema muy importante que afecta directamente la
confidencialidad de la información y que de forma directa o indirecta las compañías están
expuestas a amenazas cuyo origen puede ser interno o externo. La identificación de los riesgos a
través de un análisis de riesgos permite minimizar el impacto que conlleva la fuga de información
si se toman los controles preventivos, detectivos y correctivos adecuados que estén alineados con
los objetivos del negocio y aplicando las mejores prácticas de acuerdo a la norma ISO 27001.
Palabras clave: Fuga de información, riesgos, amenazas, vulnerabilidades, activos.
ABSTRACT
Information security is an issue that concerns not only large companies, but also small and
medium-sized enterprises, as their impact can cause damage that directly affects the
confidentiality, integrity and availability of information causing an impact on the image and
reputation that leads to loss of type economic.
The leak of information is a very important issue that directly affects the confidentiality of
information and that directly or indirectly companies are exposed to threats that may be internal
or external. Identifying risks through risk analysis minimizes the impact of information leakage by
taking appropriate preventive, detective and corrective controls that are aligned with business
objectives.
Keywords: Leak of information, risks, threats, vulnerabilities, assets.
12
13
INTRODUCCIÓN
Uno de los activos más importantes en una compañía es la información. En los últimos
tiempos las compañías están conectadas con todo el mundo a través de la integración de la
tecnología, esto genera un alto riesgo para la confidencialidad, integridad y disponibilidad de la
Información.
En la actualidad, las compañías han experimentado un alto crecimiento en la fuga de
información, donde documentos de carácter confidencial son expuestos al exterior de la compañía.
En el año 2010, se presentó hasta hoy la catalogada como la mayor fuga de información en
Wikileaks. Este hecho hizo que en el mundo evidenciara la gran dificultad de mantener la
confidencialidad de la información y por ello grandes compañías con herramientas robustas y
personal especializado han sido víctimas de este tipo de divulgación, lo que presume que cualquier
compañía puede ser víctima de fuga de información. (AMAYA, 08)
El mayor desafío para controlar la fuga de información en las compañías, son los
colaboradores, dado que voluntaria o involuntariamente, causan fuga de información, el eslabón
más débil en la cadena de la seguridad es el humano.
Esto genera una mala imagen o reputación corporativa, dado que es cuestionable la
incapacidad de controlar ataques o fuga de información crítica.
La seguridad de la información depende de tres factores o elementos muy importantes, las
herramientas tecnológicas, los procesos y las personas. La mayoría de compañías suele invertir
mucho dinero en herramientas tecnológicas, que garanticen la protección frente a los ataques o
fuga de información, sin embargo esto no es suficiente, si no se establecen políticas de seguridad
y se realizan sesiones de capacitación para sensibilizar al usuario en cuanto a la seguridad de la
compañía.
14
1 GENERALIDADES DEL TRABAJO DE GRADO
1.1 LÍNEA DE INVESTIGACIÓN
Este trabajo de investigación se torna alrededor de la necesidad de conocer la evolución
que las empresas u organizaciones colombianas se encuentran en el tema de seguridad de la
información, basados en el gran nivel de desarrollo del país, esta temática se inscribe en la línea
de “Software inteligente y convergencia tecnológica” avalada por la Universidad Católica de
Colombia, toda vez que al realizar este estudio, se pueden identificar diferentes variables que desde
el mismo, posibilitan tomar acciones preventivas y correctivas en el ámbito técnico, tecnológico y
financiero para buscar en un proceso de mejora la satisfacción del cliente y el posicionamiento
competitivo.
1.2 PLANTEAMIENTO DEL PROBLEMA
1.2.1 Antecedentes del problema
Asesorías contables y revisoría fiscal JAA SAS es una empresa que presta servicios
financieros de revisoría fiscal, auditoria externa e interna y soluciones contables, legales y
tributarias de alta calidad. Tiene clientes en sectores de petróleo, comercio, turismo, manufactura
y telecomunicaciones.
Dentro de las responsabilidades y políticas de la organización se encuentra, ofrecer
confidencialidad en el manejo de la información de los clientes dentro y fuera de la compañía y
cumpliendo los estándares de calidad para ofrecer un buen servicio.
Con 20 años de funcionamiento, Asesorías contables y revisoría fiscal JAA SAS requiere
los servicios de seguridad de la información enfocado al análisis de los riesgos que pueden causar
la fuga de información y que ponga en peligro la confidencialidad, la integridad y la disponibilidad
15
de los datos manejados, esto con el fin de tomar las acciones pertinentes para el fortalecimiento de
la seguridad dentro de la compañía.
Con base a la problemática planteada, es importante realizar esta investigación ya que la
información es uno de los activos más valiosos en las organizaciones y de ella depende tanto los
procesos internos como externos de negocio. Por ello es importante el aseguramiento de la misma
haciendo uso de mecanismos y herramientas que ayuden a resguardar la información ya que en
caso de caer en manos incorrectas podía ocasionar daños a la imagen y credibilidad.
En el mismo contexto, el desarrollo de esta investigación beneficiará a la empresa
Asesorías contables y revisoría fiscal JAA SAS como usuario final, ya que le permitirá a la misma
tomar decisiones de carácter importante sobre el estado de seguridad de su información y generar
medidas que garanticen el manejo seguro de la misma, evitando demandas y pérdidas financieras.
Por otro lado, beneficiará a todas aquellas empresas, grupos, sociedades, entre otras
organizaciones, que podrán basarse en el análisis generado para crear conciencia del estado de
seguridad de su información.
1.2.2 Pregunta de investigación
¿Cómo mitigar los riesgos que causan la fuga de información en la empresa Asesorías
contables y revisoría fiscal JAA SAS?
16
1.3 JUSTIFICACIÓN
La fuga de información es un problema que ha venido tomando fuerza en la actualidad.
Uno de los incidentes presentados por este evento, fue en el año 2007 donde se vio comprometido
un centro médico de Bilbao en España debido a un error accidental de un empleado que publico
alrededor de 11300 historias clínicas donde 400 de ellas son casos de aborto. Esta fuga de
información causo que el centro médico fuera multado pagando la suma de 150.000 euros. Una
vez detectada esta falencia, la compañía fortaleció sus controles de seguridad. (Moyano, 2007)
El desarrollo del presente proyecto, busca establecer las fuentes que permiten la
manifestación de este incidente de seguridad que cada día va tomando más fuerza y trae mayor
impacto en las compañías. Al identificar y entender las diferentes causas que pueden usarse para
llevar a cabo la fuga de información, se podrán utilizar los mecanismos adecuados para la
prevención, manejo y concientización a los empleados de las organizaciones para disminuir este
riesgo.
Al evidenciar cuales son los riesgos que causan la fuga de información en Asesorías
contables y revisoría fiscal JAA SAS, se lograra establecer procedimientos, mecanismos,
herramientas y controles que eviten que la información establecida como confidencial salga de la
compañía sin autorización.
El proceso de investigación beneficiara a la compañía, dado que, al encontrar las fuentes
de fuga de información, se podrán tomar controles para evitar que la información confidencial
caiga en manos no deseadas que utilicen esta información inadecuadamente, causando demandas
y pérdidas financieras que afecten directamente el buen nombre de Asesorías contables y revisoría
fiscal JAA SAS.
17
1.4 OBJETIVOS
1.4.1 Objetivo general
Realizar un análisis de riesgos para identificar las causas que generan fuga de información
en la empresa Asesorías contables y revisoría fiscal JAA SAS.
1.4.2 Objetivos específicos
Caracterización de activos y amenazas en la empresa Asesorías contables y revisoría fiscal
JAA SAS.
Caracterización de las medidas de seguridad asociadas a la prevención de la fuga de
información.
Evaluar los riesgos encontrados con el fin de establecer su nivel de criticidad.
Presentar los resultados del análisis de los principales factores de fuga de información en
la empresa Asesorías contables y revisoría fiscal JAA SAS.
18
2 MARCOS DE REFERENCIA
2.1 MARCO CONCEPTUAL
Figura 2.1 Mapa conceptual
19
En este trabajo de grado se utilizan conceptos que aquí se definirán para ayudar a entender
el enfoque y la temática del mismo.
Software. “Software es todo programa o aplicación creada o desarrollada para realizar una
tarea específica”.1
Hardware. El hardware hace referencia a cualquier componente físico que interactúa de
alguna manera con el computador.
Seguridad Informática. Se refiere a las características y condiciones de sistemas de
procesamiento de datos y su almacenamiento, para garantizar su confidencialidad,
integridad y disponibilidad.
Seguridad de la información. Cuando existe una información y la misma tiene una
relevancia especial en un contexto determinado y que, por tanto, hay que proteger.
Fuga de información. Es el incidente que pone en poder de una persona ajena a la
organización, información confidencial y que sólo debería estar disponible para integrantes
de la misma (tanto todos como un grupo reducido)” (BORTNIK, 2010)
Riesgo informático. Un riesgo es un problema potencial que puede ocurrir en un proceso
de la organización o entidad.
Tecnología. “Es la aplicación coordinada de un conjunto de conocimientos (ciencia) y
habilidades (técnica) con el fin de crear una solución (tecnológica) que permita al ser
humano satisfacer sus necesidades o resolver sus problemas". (Areatecnología)
Activo: Se considera un activo a aquello que es de alta validez y que contiene información
de vital la cual es importante proteger.
Amenaza: Se define como un peligro potencial a la información a sistema. Una amenaza
se presenta cuando un atacante identifica una vulnerabilidad sobre un activo y es usada
para generar daños que afectan la compañía.
Vulnerabilidad: Una vulnerabilidad es una debilidad a nivel de software, hardware,
procedimientos o error humano que permite a un atacante aprovecharla para causar daño.
La vulnerabilidad de caracteriza por ausencia en controles de seguridad que permite ser
explotada.
20
Por ejemplo, una vulnerabilidad a nivel de software se puede presentar a nivel de sistema
operativo, en donde la no actualización a últimas versiones o instalaciones de parches
permiten generar huecos de seguridad que son aprovechados por un atacante.
Riesgo: Grado de exposición de un activo que cual permite la materialización de una
amenaza ocasionando daños a la compañía
Probabilidad: Estimación de ocurrencia de una evento el cual está relacionado a
características de las vulnerabilidades presentadas y el origen de la amenaza.
E-mail: Sistema que permite el intercambio de mensajes entre distintas computadoras
interconectadas a través de una red interna o internet.
Impacto: consecuencia generada a partir de la materialización de una amenaza. El impacto
es clasificado de acuerdo al daño que produce sobre el activo la cual puede ser alta, media
o baja.
Política de seguridad: Reglas establecidas, de acuerdo al comportamiento de los usuarios
y de los atacantes que permiten minimizar ataques hacia los activos de la información. Las
políticas van de la mano con el modelo de seguridad corporativo y son independientes de
las demás organizaciones ya que su objetivo es cubrir las necesidades y requerimientos
específicos de cada empresa.
Controles: Son aquellos mecanismos utilizados para monitorear y controlar acciones que
son consideradas sospechosas y que pueden afectar de alguna manera los bienes de la
compañía.
Riesgo residual: Se denomina riesgo residual al riesgo remanente como resultado de la
aplicación de medidas de seguridad sobre el activo.
Contramedida: Practica que reducen los riesgos identificados sobre los activos, Estas
acciones permiten disminuir el impacto a la probabilidad de ocurrencia. Generalmente
consiste en la instalación de dispositivos que mitiguen las amenazas, y mediante la
configuración adecuada de parámetros permiten establecer un nivel de seguridad.
Análisis de riesgos: Método que permite la identificación de las amenazas y
vulnerabilidades que ponen en riesgo los activos de información, y estima los posibles
riesgos que pueden causar si una amenaza llega a materializarse.
Tratamiento del riesgo: Aplicación de las medidas adecuadas que permitan minimizar o
mitigar el grado de los riesgos encontrados en un análisis de riesgos realizado previamente.
21
2.2 MARCO TEÓRICO
Para poder identificar cuáles son los riesgos que causan la fuga de información, es necesario
seguir una metodología que permita una adecuada gestión de la seguridad de la información.
Actualmente existe las normas OCTAVE, MAGERIT ISO 27001:2013 y la norma ISO 31000.
Figura 2.2 Marco Teórico
22
2.2.1 OCTAVE
Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), es una técnica
de planificación y consultoría estratégica basada en riesgos cuyo enfoque está orientado a los
riesgos operativos, estado a nivel de tecnología y las prácticas de seguridad. (Huerta, 2012)
Muchas veces el análisis de riesgos es enfocado a la identificación y control de los riesgos de
la infraestructura y no se tienen en cuenta otros parámetros que también son causales de riesgos
y que tienen el mismo impacto para los activos. Octave centra sus estudios en los riesgos
organizacionales dentro de las compañías, verificando todos los aspectos que interactúan con
los bienes de gran valor minuciosamente lo que conlleva a un seguimiento diario de los
procesos. De esta forma, Octave verifica el funcionamiento de los bienes, analiza cómo está
constituida la infraestructura y como esta es usada para la protección de los activos y valida
las políticas de seguridad existentes con la finalidad de cumplir los objetivos de las empresas.
FASES
El método OCTAVE maneja tres fases para examinar la estructura de la organización y la
tecnología permitiendo la comprensión de las necesidades en la seguridad de la información.
A continuación, se describe en que consiste las fases del método OCTAVE:
Figura 2.3 Fases Metodología OCTAVE
23
2.2.2 METODOLOGÍA MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE
RIESGOS DE IT)
MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el consejo superior
de administración electrónica, que investiga los riesgos que soportan los sistemas de
información y el entorno asociado. Con base a esto, se realiza un análisis de riesgos donde se
realiza una evaluación del impacto que puede causar la materialización de una amenaza sobre
el sistema de información y así determinar la vulnerabilidad que es aprovechada para ser
explotada. (PAe)
Los resultados obtenidos del análisis de riesgos permitirán la generación de recomendaciones
de acuerdo a las mejores prácticas en seguridad cuyo objetivo es la prevención, mitigación,
reducción o evitar los riesgos identificados previamente minimizando daños.
Figura 2.4 Metodología MAGERIT. “Tomada de
https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_M
agerit.html#.WC0gW_rhDIU”
24
Método de Análisis de Riesgos:
Este método consta de 4 fases generales:
MAR.1 caracterización de los activos: Se identifican los activos más críticos de la organización
verificando su relación entre los activos y su valor.
Tabla 2.1 MAR.1 Caracterización de activos - Metodología MAGERIT
MAR.2 Caracterización de las amenazas: Identificación y valorización de amenazas La
categorización se realiza de acuerdo al impacto y la probabilidad de ocurrencia. Como
resultado, se obtiene un mapa de riesgos.
25
Tabla 2.2 MAR.2 Caracterización de amenazas - Metodología MAGERIT
MAR.3 Caracterización de las medidas de seguridad: Identificación y valoración de las medidas
de seguridad existentes proporcionando una calificación por su efectividad frente a las
amenazas. Esta actividad comprende la aplicabilidad de cada una de las tecnologías de
seguridad para la prevención de amenazas e identificación de deficiencias en el sistema.
Tabla 2.3 MAR.3 Caracterización medidas de seguridad – metodología MAGERIT
MAR. 4 Estimación del estado del riesgo: Resultados de las actividades que determinan el
estado de riesgo (impacto, probabilidad), y las deficiencias encontradas en las medidas de
seguridad establecidas.
26
Tabla 2.4 MAR.4 Estimación del Riesgo – Metodología MAGERIT
2.2.3 ISO/IEC 27001:2013
ISO 27001 es una norma desarrollada por la ISO y la IEC que proporciona un modelo para la
organización de un sistema de gestión de seguridad de la información en las organizaciones el cual
se rige por un conjunto de procesos para establecer, implementar, mantener y mejorar el SGSI de
las empresas. (ISO 27000)
La norma ISO 27001 surge a partir de la norma BS 7799 -1 creada en 1995 donde su enfoque es
mostrar las buenas prácticas para la gestión de la seguridad de la información.
Hacia el año 1998 fue publicada la norma BS 7799 -2 que establece una serie de requisitos que un
sistema de gestión de seguridad de la información debe cumplir para obtener la certificación por
una entidad externa. En el año 2005 se integraron las dos partes de la norma BS 7799 para definir
el estándar ISO 27001
A través del uso de la presente norma, podremos formular contramedidas para el aseguramiento
de la información en las organizaciones. LA norma ISO 27002:2013 se encuentra alrededor de 133
controles con los cuales podemos guiarnos para dar recomendaciones teniendo en cuenta en lo
estipulado en la norma y no en la experiencia.
27
Figura 2.5 ISO 27001:2013
2.2.4 ISO 31000:2009
La norma ISO 31000 está orientada para proporcionar los principios integrales y directivas
correspondientes con la finalidad de dar gestión al riesgo a partir de un análisis y evaluación
de los mismos, así mismo, la norma brinda las mejores prácticas de gestión para garantizar la
protección y seguridad de la información en las organizaciones.
La presente norma busca mejorar la eficiencia corporativa, incentivando la gestión proactiva
en todas las áreas del negocio con el fin de minimizar las pérdidas.
28
Figura 2.6 ISO 31000. “Tomada de
http://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-
presentacion1%20modo%20de%20compatibilidad.pdf”
Para efectos de nuestro proyecto, vamos a realizar el análisis de riesgos basado la
metodología MAGERIT con el fin de realizar el análisis y gestión de los riesgos.
29
2.3 MARCO JURIDICO
Figura 2.7 Marco Jurídico
Para garantizar una viabilidad normativa, la ejecución de este análisis de riesgos debe estar
acorde con los requisitos legales y normativos de la actualidad.
La normatividad en la cual nos basamos para ejecutar este análisis de riesgos de la manera
más adecuada es la siguiente:
Privacidad y confidencialidad: Cualquier investigación que contenga datos de carácter
personal tiene que cumplir con la legislación de protección de datos, en Colombia las leyes que
regulan estos aspectos son:
30
Protección de Datos Personales
Ley 1581 de 2012
“La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se
refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado
en el artículo 20 de la misma”. (Congreso de la republica, 2012)
Derechos de autor
Ley 23 de 1982
Los autores de obras literarias, científicas y artísticas gozarán de protección para sus obras
en la forma prescrita por la presente Ley y, en cuanto fuere compatible con ella, por el derecho
común. También protege esta Ley a los intérpretes o ejecutantes, a los productores de programas
y a los organismos de radiodifusión, en sus derechos conexos a los del autor. (Alcaldia de Bogotá,
1982)
Ley 1403 de 2010
Por la cual se adiciona la Ley 23 de 1982, sobre Derechos de Autor, se establece una
remuneración por comunicación pública a los artistas, intérpretes o ejecutantes de obras y
grabaciones audiovisuales o “Ley Fanny Mikey”.
Desde el momento en que los artistas, intérpretes o ejecutantes autoricen la incorporación
de su interpretación o ejecución en una fijación de imagen o de imágenes y sonidos, no tendrán
aplicación las disposiciones contenidas en los apartes b) y c) del artículo 166 y c) del artículo 167
anterior. (Alcaldia de Bogotá, 1982)
31
Delitos Informáticos
Ley 1273 de 2009
El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273
“Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –
denominado “De la Protección de la información y de los datos”- y se preservan integralmente los
sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones”.
Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos
personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar
incurrir en alguno de estos tipos penales.
Privacidad y confidencialidad: Cualquier investigación que contenga datos de carácter
personal tiene que cumplir con la legislación de protección de datos, en Colombia la ley que regula
estos aspectos es
32
3 METODOLOGÍA
3.1 FASES DEL TRABAJO DE GRADO
Para lograr cumplir el desarrollo de esta investigación y con ello su alcance, se han definido
las siguientes fases: la fase de planeación, la fase de ejecución y la de verificación y control. En la
primera fase se desarrolla la propuesta y el anteproyecto los cuales, siendo aprobados, dan vía a la
segunda fase que se consolida en el desarrollo de las tareas para cumplir cada uno de los objetivos
planteados. La fase final correspondiente a la verificación y mejora es una fase que se aplica desde
la fase de planeación con el fin de tomar acciones correctivas sobre el desarrollo de las tareas que
así lo exijan.
3.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS
Las técnicas e instrumentos que se implementan para realizar esta investigación y lograr
desarrollar cada uno de los objetivos es el análisis de los procesos de la empresa y la
documentación asociada al tema de la problemática. Lo anterior se debe a que la información es
obtenida mediante la indagación y la observación de los procesos de Asesorías contables y
revisoría fiscal JAA SAS y otros estudios realizados. También se realizarán reuniones puntuales
para conocer los procesos de la empresa y entrevistas para observar como asumen los empleados
los procesos. Por último, se realizará el análisis y gestión de riesgos basándonos en la metodología
Magerit v.3 y para la formulación de contramedidas, nos guiaremos bajos las recomendaciones y
mejores prácticas de la norma ISO 27001:2013.
33
4 DESARROLLO (NUMERALES PROPIOS DEL DESARROLLO)
Para dar cumplimiento a los objetivos definidos en el proyecto de grado, realizamos un
levantamiento de información acerca de los procesos, procedimientos, inventarios y demás
información con el fin de realizar la caracterización de los activos e identificar las amenazas
asociadas a los mismos.
Para ello, tomamos como base la metodología MAGERIT para llevar a cabo la
caracterización de los activos donde es de suma importancia la información recolectada.
4.1 LEVANTAMIENTO DE INFORMACIÓN
A continuación, se relacionan los documentos entregados por Asesorías Contables y
Revisoría Fiscal JAA SAS para llevar a cabo la actividad:
Estructura Organizacional
Procesos y procedimientos contabilidad
Procesos y procedimientos declaración de renta.
Inventario
Procedimiento para el mantenimiento de equipos.
Manual políticas de protección de datos personales.
Mapa de procesos.
Política de seguridad informática
Procedimiento servicios de auditoría y revisoría fiscal
Entrevista
34
4.1.1 ESTRUCTURA ORGANIZACIONAL
En la figura 4.1 se encuentra la estructura organizacional de la compañía:
Nivel estratégico Nivel Táctico Nivel Operativo
Figura 4.1 Estructura Organizacional
35
4.1.2 MAPA DE PROCESOS
El mapa de procesos de JAA SAS establece los procesos que la empresa tiene
establecidos para el cumplimiento de los objetivos. En la figura 4.2 se encuentra el
diagrama de procesos:
Figura 4.2 Mapa de Procesos
4.1.3 ENTREVISTA.
Durante el levantamiento de información, se llevó a cabo entrevistas con el administrador
y jefe de sistemas para aclarar inquietudes y conocer en detalle el funcionamiento de la compañía
y como fortalecen la seguridad de la información a través de procesos, procedimientos y
mecanismos. Referente a estos temas, el Ingeniero José Moreno nos brindó la siguiente
información:
36
A que se dedican: Servicios de auditoría, contabilidad, revisoría fiscal y servicio tributario.
Cantidad de empleados: 43 empleados
Normatividad: Se rigen por la ley 1581 de 2012 (Protección de datos personales), el
decreto 1377 y control de calidad a través de la ISO 9000.
Área de sistemas:
Encargada de realizar mantenimiento y backup.
Manejan formatos de privacidad.
Políticas y acuerdos de confidencialidad.
En el contrato de trabajo especifican los roles, funciones y responsabilidades.
Maneja una política de interna de seguridad, pero no está formalizada.
No hay programas de concientización enfocada a los empleados y de acuerdo al rol que
desempeñan.
1 persona realiza todas las labores, en caso de enfermedad o cualquier evento no
planeado, no tiene personal de apoyo (backup).
EQUIPOS INFORMATICOS
Servidor de datos, telefonía y cámaras.
37
EQUIPOS TELECOMUNICACIONES
Firewall DLINK
Consola Antivirus: Control de navegación.
Switch (No hay controles de seguridad habilitados. Asignación de IPs de manera
estática).
Equipo Backup (Servidor espejo)
No hay controlador de dominio
Equipos con sistema operativo Windows XP, Windows vista (home, profesional,
Premium). No cuentan con permisos de administrador.
Realizan auditorías internas y externas para proceso crítico (contabilidad)
Roles y perfiles: Los usuarios pueden visualizar la información de todas las carpetas.
No hay trazabilidad de lo que hacen los usuarios con la información.
Impresora: Solicita usuario y contraseña para sacar copias a documentos, pero no para
imprimir.
Red Inalámbrica
Tienen definidos 2 SSID que son utilizados de la siguiente manera:
SSID Corporativa: Utilizada por gerentes y computadores portátiles autorizados.
38
SSID Invitados: Red con salida a internet diferente a la corporativa. Utilizada para
dispositivos móviles y visitantes (Todos los dispositivos móviles sin excepción se conectan al
SSID en mención).
ACCESO REMOTO
No manejan VPNs, utilizan la funcionalidad de escritorio remoto nativa del servidor y se
conectan por la dirección IP pública.
PROCESOS CRITICOS
Programa contable
INFRAESTRUCTURA:
Empresa ubicada en el tercer piso. Acceso a las instalaciones es a través de la recepción
(solicitan documento, persona a quien visita.) Ingreso a través de tarjeta inteligente.
Ingreso a las oficinas: recepción JAA SAS
CENTRO DE DATOS
A nivel físico se observa que las condiciones físicas del centro de datos no son adecuadas:
Puerta de acceso de madera con cerradura tipo pomo Dublín.
La pared no está construida hasta el techo por tanto es un punto de ingreso.
No hay techo falso.
39
Se encuentra una escalera sobre la pared de acceso al centro de datos.
El rack de comunicaciones no tiene la puerta instalada por temas de calentamiento de
equipos.
No hay sistema de refrigeración en el centro de datos.
En caso de falla de impresora principal se deja abierto el ingreso al centro de datos para
que los usuarios puedan imprimir, sin realizar ningún tipo de registro de acceso.
4.2 CARACTERIZACIÓN DE ACTIVOS.
Realizamos el análisis de la información recolectada, con el fin de identificar los activos
de JAA SAS. En las tablas 4.3 y 4.4 se encuentran los activos relacionados:
PROCESOS PERSONAS
Planeación Estratégica Gerente General
Dirección Gerencial Gerente Administrativo y Financiero
Mejoramiento de Calidad Director de Servicio de Auditoria y Revisoría
Fiscal
Desarrollo Comercial Director de Servicio de Contabilidad
Servicio de Auditoria y Revisoría Fiscal Líder de Servicio de Contabilidad
Servicio de Contabilidad Asistente de Servicio de Contabilidad
Servicio Asesoría Tributaria y Legal Auxiliar de Servicio de Contabilidad
Declaración de renta Director Servicios Tributaria y Legales
Talento Humano Líder de Servicios Tributarios y Legales
Administrativo Asistente de Servicios Tributarios y Legales
Control Interno Usuarios de Computo
40
Administrador redes seguridad y soporte técnico
Ingeniero de sistemas
Auditor sénior
Auditor Junior
Psicóloga
Abogado Líder
Abogado Junior
Tabla 4.1 Caracterización de los Activos.
EQUIPOS E
INFORMACIÓN INFORMACIÓN SOFTWARE
Equipos de Cómputo
(computadores, teléfonos) Sistemas de Información Software de contabilidad
Equipos Comunicaciones
(router, switch, Access point) Datos de información.
Software de documentación.
(Excel, Word, PowerPoint)
Centro de monitoreo
(Cámaras, servidor de
cámaras).
Bases de datos Software antivirus.
Centro de Comunicaciones
Documentos físicos
(contratos, balances,
folios)
Software de Comunicación.
Servidores (Datos, voz) Carta a la gerencia Software de circuito cerrado de
cámaras.
Centro de Datos Dictamen
Unidades externas de
información
41
Tabla 4.2 Caracterización de los Activos.
4.2.1 DEPENDENCIA ENTRE ACTIVOS
Se hace una valoración “rápida y aproximada” común para todos los activos en el dominio.
Es más rápido que la valoración por dependencias. Usando este método, todos los activos en el
dominio reciben los mismos valores.
Los activos definidos dependen directamente de los dominios definidos en este caso todos
los procesos que se manejan en la compañía Asesorías Contables y Revisoría Fiscal JAA SAS.
Figura 4.3 Dependencia entre activos Tomada de la Herramienta Pilar versión 5.4.9
Licencia de evaluación
42
4.3 CARACTERIZACIÓN AMENAZAS
Para realizar la caracterización de las amenazas, es necesario conocer las vulnerabilidades
asociadas a los activos de información. En la tabla 4.3 se encuentra relacionadas las
vulnerabilidades encontradas y las amenazas que puede aprovechar un atacante con fines
maliciosos
VULNERABILIDADES AMENAZAS
El servidor y los equipos de Comunicaciones
se encuentran en un área de fácil acceso. Acceso no autorizado a equipos e información.
Ausencia de logs de las operaciones de
usuarios Uso no autorizado de equipos
No hay directorio activo ni controlador de
dominio. Uso no autorizado de equipos
Ausencia de políticas de contraseña. Contraseñas débiles.
Falta de concientización de los empleados. Las sesiones de los computadores no son bloqueadas
por los usuarios al levantarse de los equipos
No hay autenticación para imprimir
información. Impresiones no autorizadas
La información no está clasificada de acuerdo
a su nivel de criticidad. Acceso no autorizado
No se cifra la información que es enviada a
través del correo electrónico corporativo. Interceptación de la información.
No hay registro de las carpetas físicas de los
clientes prestadas a los empleados. Hurto de medios o documentos
Falta de concientización de los empleados. Divulgación de información confidencial.
Presencia de correo basura Inyección de malware
Los equipos informáticos no manejan cifrado. Hurto de equipos
43
Hay un único administrador de tecnología. Manipulación de la información sin supervisión.
Tabla 4.3 Cuadro comparativo vulnerabilidades – amenazas.
4.4 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD ACTUALES ASOCIADAS A
LA PREVENCIÓN DE LA FUGA DE INFORMACIÓN.
Validando con el administrador de sistemas las medidas de seguridad actuales que se
encuentran implementadas en JAA SAS se encuentran:
Antivirus: Herramienta cuya funcionalidad mitiga la ejecución de software malicio en los
equipos corporativos de la compañía y evita su propagación.
Control de Dispositivos: Ino de los medios más propensos para la propagación de virus y
malware son los dispositivos extraíbles. Al utilizar una herramienta de control de dispositivos, se
asegura los equipos conectados a la red ya que bloquea los dispositivos USB de almacenamiento
Extraíble
Control de Navegación: Evita que los usuarios a través de los exploradores de Internet
ingresen a sitios catalogados como malintencionados por la herramienta, adicionalmente bloquea
categorías específicas de navegación, como correo web, evitando que los usuarios compartan
información a través de sitios web o a través de sus correos personales.
Controles de acceso al servidor de Archivos: Se tienen controles de acceso lógico y
perfiles de acceso a la información compartida en las carpetas del servidor de archivos.
Controles de acceso a los equipos: Todos los usuarios cuentan con un usuario y
contraseña para el acceso a los equipos.
44
Acuerdo de Confidencialidad: se establece la información confidencial y hasta que
niveles cada empleado la puede acceder.
Firewall: Permite el Bloqueo de acceso no autorizado desde fuera de la Compañía.
Acceso biométrico a las instalaciones de la compañía a través de registro (toma de huella
y foto) e ingreso a las instalaciones por medio de lectura de huella.
4.5 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS
Una vez identificados los activos y las amenazas, procedemos con la identificación de los
riesgos, Para ello; es importante mencionar que el riesgo es la probabilidad de que se materialice
una amenaza, afectando el logro de los objetivos y metas de una organización.
R RIESGO Es la probabilidad de que se materialice una amenaza
C= CONSECUENCIA
P= PROBABILIDAD
R=CXP
Materialización del Riesgo = Fuga de Información
45
4.5.1 RIESGOS IDENTIFICADOS
RIESGOS IDENTIFICADOS
Fuga de Información por impresión de información confidencial realizada por usuarios no autorizados.
Fuga de Información por no tener trazabilidad de las operaciones de usuarios.
Fuga de Información por uso inadecuado de contraseñas.
Fuga de Información por no tener trazabilidad de la información impresa por parte de los usuarios.
Fuga de Información por no tener trazabilidad de las carpetas físicas que se prestan a los empleados
Fuga de Información por acceso sin restricción al centro de datos por parte de los empleados de la
compañía.
Fuga de Información por no clasificación de la información de acuerdo a su criticidad.
Fuga de Información por utilización de sistema operativo (WXP) que ya no es soportado por el fabricante
Fuga de Información por no cifrar la información que es enviada a través del correo electronico
corporativo.
Fuga de Información por no cifrado de información alojada en los computadores de la compañía.
Fuga de Información por el no bloqueo de la sesión del computador, al levantarse de los puestos de
trabajo.
Fuga de Información porque no se cuenta con módulos anti spam dedicados 2C.
Tabla 4.4 Riesgos Identificados.
46
4.5.2 VALORACIÓN DE RIESGOS
Matriz de valoración de riesgos
1 2 3 4 5
No ha ocurrido en
la industria
Ha ocurrido en
la Industria
Ha ocurrido en
la empresa
Sucede varias
veces por año en la
empresa
Sucede varias
veces por año en el
área
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
0 0 0 0 0 0
Tabla 4.5 Matriz de Valoración de Riesgos.
CONSECUENCIA
No. Descripción
0 Ninguna afectación
1 Fuga de un documento
2 Fuga de Información publica
3 Fuga de Información reservada
4 Fuga de información confidencial
5 Fuga de información ultra secreta
Tabla 4.6 Consecuencia.
PROBABILIDAD
1 No ha ocurrido en la industria
2 Ha ocurrido en la Industria
3 Ha ocurrido en la empresa
4 Sucede varias veces por año en la empresa
5 Sucede varias veces por año en el área
Tabla 4.7 Probabilidad.
47
Para la valorización de los riesgos se toman los siguientes valores
Si la calificación del riesgo esta de 0 a 4 el riesgo es Bajo
Si la calificación del riesgo esta de 5 a 14 es Medio
Si la calificación del riesgo esta de 15 a 24 es Alto
Si la calificación del riesgo es 25 es Muy Alto
4.5.3 RIESGO VALORACION Y CONTROLES
De acuerdo a la escala definida para realizar la valoración de riesgos, en la tabla 4.8 se
encuentra relacionada el riesgo, el nivel de criticidad y los controles recomendaos de acuerdo a las
mejores prácticas de la norma ISO 27001.
RIESGO - VALORACIÓN – CONTROLES
ID RIESGO VALORACIÓN CRITICIDAD CONTROLES ISO
27001 CONTROLES
RI-ADM-
001
Fuga de Información por impresión de información
confidencial realizada por
empleados de la Compañía
25 Muy Alto
Implementar autenticación para la impresión
de documentos.
Data Loss Prevention
48
A 7.2.3
Se debe contar con un proceso formal, el cual
debe ser comunicado, para
emprender acciones contra empleados que hayan cometido una violación
a la seguridad de la información.
RI-ADM-
002
Fuga de Información por no
tener trazabilidad de las operaciones de usuarios.
15 Alto
Implementación de Directorio Activo
A 12.4.1
Se deben elaborar, conservar y revisar regularmente los registros
acerca de actividades del usuario,
excepciones, fallas y eventos de seguridad de la información.
A 12.4.3
Las actividades del administrador y del
operador del sistema se deben registrar, y los registros se deben proteger y
revisar con regularidad.
A 12.4.2
Las instalaciones y la información de registro
se deben proteger contra alteración y acceso no autorizado.
A 12.4.4
Los relojes de todos los sistemas de procesamiento de información
pertinentes dentro de una organización o
ámbito de seguridad se deben sincronizar con una única fuente de referencia
de tiempo.
RI-ADM-003
Fuga de Información por uso inadecuado de contraseñas.
15 Alto
Implementación Directorio Activo
A 9.4.3
Los sistemas de gestión de contraseñas deben
ser interactivos y deben
asegurar la calidad de las contraseñas.
RI-ADM-
004
Fuga de Información por no tener trazabilidad de la
información impresa por parte
de los usuarios.
15 Alto
Configuración en las Impresoras los usuarios
asociados a los números de documento y generación de log de trazabilidad
49
Fuga de Información por no
tener trazabilidad de las carpetas físicas que se prestan
a los empleados
15 Alto Establecer Planilla de Registros con firma de entrega y devolución
RI-ADM-005
Fuga de Información por
acceso sin restricción al centro de datos por parte de los
empleados de la compañía.
10 Medio
A 11.1.1
Se deben definir y usar perímetros de seguridad, y usarlos para proteger áreas
que contengan información confidencial o
crítica, e instalaciones de manejo de información.
A 11.1.2
Las áreas seguras se deben proteger mediante
controles de acceso
apropiados para asegurar que solo se permite el acceso a personal
autorizado
RI-ADM-
006
Fuga de Información por no clasificación de la información
de acuerdo a su criticidad.
10 Medio
A 8.2.1
La información se debe clasificar en función
de los requisitos legales, valor,
criticidad y susceptibilidad a divulgación o a modificación no autorizada
A 8.1.3
Se deben identificar, documentar e implementar reglas para el uso aceptable de
información y de activos asociados con
información e instalaciones de procesamiento de información.
A 8.2.2
Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el
etiquetado de la información, de acuerdo con
el esquema de clasificación de información adoptado por la organización.
50
A 8.2.3
Se deben desarrollar e implementar
procedimientos para el manejo de activos, de acuerdo con el esquema de clasificación de
información adoptado por la organización.
RI-ADM-
007
Fuga de Información por
utilización de sistema
operativo (WXP) que ya no es
soportado por el fabricante
10 Medio Aislarlos de la red corporativa o actualizarlos a una versión de Windows que tenga
actualizaciones a la fecha
RI-ADM-
008
Fuga de Información por no cifrar la información que es
enviada a través del correo
electrónico corporativo.
10 Medio
emplear herramienta de cifrado ejemplo(
Winrar Con contraseña), o la que se desee utilizar
A 10.1.1
Se debe desarrollar e implementar una política
sobre el uso de controles criptográficos para la protección de la
información.
A 13.2.3
Se debe proteger adecuadamente la
información incluida en la mensajería
electrónica.
RI-ADM-
009
Fuga de Información por no
cifrado de información alojada
en los computadores de la compañía.
10 Medio
Emplear herramienta de Cifrado de Discos
duros( Windows trae BitLocker) o la que se
dese utilizar
A 10.1.1
Se debe desarrollar e implementar una política
sobre el uso de controles
criptográficos para la protección de la información.
51
RI-ADM-
010
Fuga de Información por el no bloqueo de la sesión del
computador, al levantarse de los puestos de trabajo.
4 Bajo
A 7.2.1
Todos los empleados de la organización, y en
donde sea pertinente, los
contratistas, deben recibir la educación y la formación en toma de
conciencia apropiada, y actualizaciones
regulares sobre las políticas y procedimientos de la organización pertinentes
para su cargo.
A 7.2.2 La dirección debe exigir a todos los
empleados y contratistas la aplicación de la seguridad de la información de acuerdo
con las políticas y
procedimientos establecidos por la organización.
A 11.2.9 Se debe adoptar una política de escritorio limpio para los papeles y medios
de almacenamiento removibles, y una política
de pantalla limpia en las instalaciones de procesamiento de
información.
Tabla 4.8 Riesgo, Valoración y Controles.
52
4.5.4 RESULTADOS DEL ANALISIS
Al realizar esta investigación, y después de haber evaluado los riesgos, relacionamos los
resultados del análisis de riesgos realizado.
El factor más alto que genera el riesgo de fuga de información en la compañía Asesorías
contables y revisoría fiscal JAA SAS:
Fuga de Información por impresión de información confidencial realizada por empleados
de la Compañía.
Esto se presenta debido a que no se cuenta con ningún control que permita monitorear las
impresiones que realizan los empleados, en las cuales puede presentarse impresiones de
documentos confidenciales y así salir de la compañía, sin que se presente ninguna trazabilidad.
Adicionalmente también se identifican también 4 riesgos altos que pueden generar que se
presente fuga de información en alto grado.
53
A continuación, relacionamos las gráficas de los factores de fuga de Información
en la compañía.
Figura 4.4 Factores de Fuga de Información
Figura 4.5 Cantidad de Riesgos
Factores de Fuga de Informacion
Riesgo Muy Alto Riesgo Alto Riesgo Medio Riesgo Bajo
1
4
5
1
Cantidad de Riesgos
Muy alto Alto Medio Bajo
54
Controles Sugeridos para cada Riesgo
Figura 4.6 Controles por Riesgo
3
9
12
3
Controles Por Riesgos
Muy Alto Alto Medio Bajo
55
5 CONCLUSIONES Y RECOMENDACIONES
Asesorías Contables y Revisoría Fiscal JAA SAS, cuenta con algunos controles para evitar
la fuga de información en la compañía, pero estos no garantizan un alto nivel de
efectividad, dado que algunos son muy poco efectivos o simplemente no se están
ejecutando.
Asesorías contables y Revisoría Fiscal JAA SAS, piensa que al ser una empresa pequeña
no está expuesta a ningún ataque externo o no presentara algún tipo de fuga de información
interna, pero al contrario si son exitosos los ataques contra grandes compañías, que poseen
infraestructuras de seguridad robustas, en mayor medida contra entidades con poca
infraestructura de seguridad, además cualquier compañía siempre estará expuesta a que un
empleado comparta por correo electrónico, imprima, coloque en un sitio web, o transfiera
a sus dispositivos de almacenamiento extraíble USB, información confidencial de la
compañía.
En Colombia las pequeñas y medianas empresa no invierten en soluciones para fortalecer
la seguridad de la información, dado que al no ser el Core de negocio y como no realizan
un seguimiento acerca de los incidentes de seguridad críticos en los que tengan afectación
de tipo económico o de reputación no tienen forma de identificar de forma eficiente los
riesgos a los que están expuestos. Por esta razón, las empresas siguen trabajando con lo
que se tiene, exponiéndose a que se puedan presentar fugas de información.
Se recomienda fortalecer la política de seguridad que maneja la compañía realizando
ajustes enfocados a los objetivos de negocio.
Se recomienda realizar sesiones de concientización en seguridad de la información con los
empleados de la compañía.
56
Se recomienda realizar una clasificación de la información de acuerdo a su sensibilidad y
criticidad.
Se recomienda revisar la posibilidad de la implantación de un sistema Software DLP (Data
Loss Prevention), que garantice que la información clasificada como confidencial, no sea
enviada fuera de la compañía por funcionarios no autorizados.
Se recomienda reforzar las medidas de control de acceso físico para ingreso al centro de
datos, colocando un sistema biométrico y llevando un control de los empleados
autorizados.
Es importante realizar la configuración del servicio de directorio activo con el fin de tener
una trazabilidad de los movimientos que realizan los usuarios al consultar información de
la compañía. Al realizar este proceso de forma manual, se puede presentar errores de
asignación y retiro de privilegios sobre la información contenida en el servidor.
Es importante hacer cumplir la política de seguridad, ya que su no cumplimiento puede
ocasionar perdidas de imagen y de reputación del negocio.
Es importante que se realice un monitoreo, seguimiento y aplicación de las actualizaciones
tanto de sistema operativo de los equipos, como actualizaciones de aplicación y software
contable para evitar que un atacante pueda aprovechar estas brechas de seguridad y se lleve
a cabo la fuga de información.
Es importante realizar actualizaciones programadas y periódicas de las firmas de antivirus,
antispyware y demás aplicaciones que ayuden en la prevención de amenazas potenciales.
Es importante que por parte de la gerencia general y el administrador de tecnología no
pierdan de vista que la fuga de información se puede mitigar si toman los controles
57
necesarios para su aseguramiento y no olvidar que el eslabón más débil son las personas;
por tanto, no hay que perder de vista las acciones de los empleados dentro de la empresa.
58
6 BIBLIOGRAFÍA
Alcaldia de Bogotá, S. (28 de 01 de 1982). alcaldiabogota.gov.co. Recuperado el 16 de 10 de
2016, de LEY 23 DE 1982:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3431
AMAYA, C. G. (2015 de 01 de 08). welivesecurity. Recuperado el 15 de 03 de 2016, de
http://www.welivesecurity.com: http://www.welivesecurity.com/la-es/2015/01/08/10-
anos-fuga-de-informacion
Areatecnología. (s.f.). www.areatecnología.com. Recuperado el 29 de 04 de 2016, de
www.areatecnología.com: http://www.areatecnologia.com/que-es-tecnologia.html
BORTNIK, S. (13 de 04 de 2010). www.welivesecurity.com. Recuperado el 28 de 04 de 2016, de
www.welivesecurity.com: http://www.welivesecurity.com/la-es/2010/04/13/que-es-la-
fuga-de-informacion/
CHAMPAGNAT. (s.f.). Recuperado el 29 de 04 de 2016, de CHAMPAGNAT Dinamismos en los
sitios Web: http://www.champagnat.org/000.php?p=36
CHAMPAGNAT. (s.f.). CHAMPAGNAT Historias de las conferencias generales Web.
Recuperado el 29 de 04 de 2016, de http://www.champagnat.org/000.php?p=36
Congreso de Colombia. (04 de 01 de 2009). MINTIC. Recuperado el 25 de 09 de 2016, de
http://www.mintic.gov.co/portal/604/w3-article-3705.html
59
Congreso de la republica. (18 de 10 de 2012). secretariasenado.gov.co. Recuperado el 10 de 10
de 2016, de Ley 1581 2012:
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html
ESTUDIOSEIJO. (s.f.). www.estudioseijo.com. Recuperado el 29 de 04 de 2016, de
http://www.estudioseijo.com/noticias/web-10-web-20-y-web-30.htm
Huerta, A. (02 de 04 de 2012). www.securityartwork.e. Recuperado el 29 de 04 de 2016, de
Introducción al análisis de riesgos – Metodologías (II):
http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-
%E2%80%93-metodologias-ii/
ISO 27000. (s.f.). http://www.iso27000.es/. Recuperado el 10 de 05 de 2016, de
http://www.iso27000.es/
Moyano, A. C. (2007). segu-info. Recuperado el 21 de 05 de 2016, de http://blog.segu-
info.com.ar/2013/04/fuga-de-informacion-la-mayor-amenaza.html
PAe, P. (s.f.). http://administracionelectronica.gob.es. Recuperado el 06 de 05 de 2016, de
MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/p
ae_Magerit.html