Informe de Auditoria de Seguridad de la Información de la empresa Viento en Popa

VIENTO EN POPA  

Informe de Auditoría del nivel de Ciberseguridad  26 de marzo de 2020

BeAuditors S.A.

Indice de contenidos

1 Antecedentes. ..........................................................................................................3 2 Objeto......................................................................................................................3 3 Alcance. ...................................................................................................................4 4 Resumen ejecutivo ...................................................................................................5 5 Metodología.............................................................................................................7 6 Desarrollo del trabajo...............................................................................................8 7 Plan de acción ........................................................................................................11 Anexo I.- PLANIFICACIÓN ...............................................................................................16 Anexo II – Reuniones con personal de Viento en Popa ....................................................18 Anexo III – Documentación recibida y analizada..............................................................18 Anexo IV – Evidencias solicitadas....................................................................................18

Informe de Auditoria de Seguridad de la Información de la empresa Viento en Popa. 1 Antecedentes.

La empresa Viento en Popa, se dedica a impartir cursos teóricos y prácticos siendo estos oficiales  y de certificación para navegación en altamar, así como actividades náuticas recreativas. Para  consolidar sus canales de comunicación ha implementado un portal Web, al que tiene accesos  los estudiantes, turistas y personal administrativo. Las instalaciones de Viento en Popa se  encuentran en la ciudad de Alicante de España, en estas instalaciones se encuentra  implementado la infraestructura tecnológica de la empresa (CPDs), es importante indicar que el  portal Web se encuentra desarrollado en código Java.  

El rápido aumento de ciberataques ha impactado en la conciencia de la Dirección de Viento en  Popa la cual ha determinado contratar los servicios de la auditora BeAuditors para determinar  el nivel de seguridad actual de la información tratada en la compañía y con ello identificar el  grado de exposición ante riesgos tecnológicos, mejorar la seguridad y la efectividad de los  controles, consiguiente de esta manera un debido control sobre la confidencialidad, integridad  y disponibilidad de la información de la empresa.

2 Objeto

La información es uno de los activos más importantes para Viento en Popa, debido a que supone  un gran valor para el correcto desempeño de las funciones de negocio y su buen hacer. El  objetivo de la Seguridad de la Información, es protegerla de una amplia gama de amenazas, a  fin de asegurar la continuidad de los sistemas de información, minimizar el daño y maximizar el  retorno sobre las inversiones y las oportunidades.

La Seguridad de la Información se consigue implementando un conjunto adecuado de controles  y medidas que comprenden políticas, procedimientos, prácticas, estructuras organizativas,  funciones de software o hardware. Estas aseguran los objetivos y la confidencialidad, integridad  y disponibilidad de la información, así como la trazabilidad de las acciones.  

En la adquisición y diseño de los sistemas de información, en algunos casos, no se tienen en  cuenta requisitos o características de seguridad apropiados. Por ello, el nivel de seguridad que  puede lograrse por medios técnicos es limitado y debe ser apoyado por una gestión y  procedimientos adecuados, participando los empleados de la organización, e incluso en algunos  casos, proveedores y/o clientes.

Viento en Popa es consciente de la importancia de proteger la información y los sistemas  informáticos que la tratan y mantienen, para el correcto desempeño de los procesos de negocio  de la Compañía. Con el fin de asegurar dicha protección, se ha marcado como objetivo el  desarrollo de una auditoria de Seguridad de la Información siguiendo, entre otros, el estándar  internacional ISO/IEC 27001, la legislación aplicable en Seguridad de la Información y la  integridad y cadena de custodia de las evidencias electrónicas, entre otros marcos de referencia  de dicho plan.

Así, tras la petición por parte de la dirección de Viento en Popa, se ha realizado un trabajo de  auditoria, el cual queda reflejado en el presente informe, basándose en la información recabada  durante:

▪ Las reuniones mantenidas con los miembros de Seguridad, Sistemas y Recursos  Humanos de Viento en Popa.

▪ La revisión de la normativa en materia de Seguridad de la Información y evidencias  técnicas.

▪ El análisis de los sistemas de información relevantes y de sus registros y configuraciones. ▪ Los contratos y cláusulas contractuales.

Esta revisión está limitada a las acciones realizadas desde el 01 de marzo de 2020 hasta el 31 de  mayo del mismo año.

3 Alcance.

Alcance a nivel de organización.

▪ El alcance a nivel de organización abarca las áreas de tecnología, recursos humanos,  comercial y soporte al alumno.

Alcance a nivel de ubicación.

▪ A nivel de ubicación, el alcance comprende la sede principal de Viento en Popa en  Alicante (España).

Alcance a nivel de sistemas de información.

▪ Infraestructura TIC de la organización, profundizando en los sistemas de información  encargados de tratar la información de tecnología, recursos humanos, comercial y  soporte al alumno.

4 Resumen ejecutivo

La dirección de Viento en Popa es consciente de la importancia de proteger la Información y en  consecuencia los Sistemas y Tecnologías que la soportan y gestionan, con el fin de salvaguardar  el correcto desempeño de los procesos de negocio de la Compañía. Por ello, Viento en Popa se  ha marcado como objetivo la elaboración de una auditoria de Seguridad de la Información.

A raíz del trabajo realizado, se concluye que la situación de Viento en Popa en materia de  seguridad de la información se encuentra en un nivel (1) Inicial / (2) En Desarrollo (en una escala  de 0 a 4). La compañía dispone de ciertos controles implantados y realiza acciones para  garantizar la Seguridad de la Información tratada, pero éstos, podrían ser mejorados para  conseguir salvaguardar de forma más eficiente la confidencialidad, integridad, disponibilidad y  trazabilidad de la información, evitando que estas deficiencias pudieran desembocar en  pérdidas de servicio, financieras y reputacionales.

El estado actual de la Seguridad de la Información en Viento en Popa contempla un alto  conocimiento de la criticidad de la información que se trata en la gran mayoría de los procesos  de negocio de la compañía. La falta de distribución y aceptación, entre empleados y personal  externo, del cuerpo normativo de Seguridad de la Información, hace que la gran mayoría de las  acciones y tratamientos de la información, se realicen mediante reglas o conductas de sentido  común y/o la experiencia adquirida durante su trayectoria profesional.

Cabe destacar aspectos positivos sobre la gestión y tratamiento de la información de manera  segura. De especial mención, es la seguridad dentro de los Centro de Proceso de Datos (CPDs),  donde se ha evidenciado la adopción de medidas de seguridad perimetral y medioambiental,  capaces de salvaguardar la seguridad física de los activos que se encuentran en su interior.  

Asimismo, es necesario matizar que, desde nuestra perspectiva y experiencia en materia de  Seguridad de la Información en organizaciones similares a Viento en Popa, podemos afirmar que  los aspectos de mejora encontrados durante la revisión realizada, pueden conllevar, entre otras,  fugas de información, perdidas de su disponibilidad, acciones malintencionadas por empleados  y terceros así como poder sufrir interrupciones graves en el funcionamiento de los sistemas de  información claves para el negocio. Todo ello motivado por las siguientes deficiencias:

- La falta de formación, concienciación y sensibilización en materia de Seguridad de la  Información puede provocar negligencias en las acciones del personal y conseguir  aumentar el nivel de riesgo sobre la organización.

- El cuerpo normativo de Seguridad de la Información actualmente en Viento en Popa,  no es capaz de reflejar, cualquier acción y casuística que pueda realizarse sobre la  información tratada.

- Debido a la estrategia de clasificación de la información que posee Viento en Popa, no  es posible definir de forma clara los controles que debe poseer la información según su  nivel de clasificación.

- La falta de herramientas de control de fuga de información podria causar importantes  vulnerabilidades en la seguridad de la información, el objeto de negocio de la compañía  y en la reputación de la misma.

- Se detecta la falta de definición global y formal de roles, responsabilidades e  incompatibilidades, capaces de constituir la base necesaria para mantener la Seguridad  de la Información y poder, de esta manera, definir un marco de incumplimiento en base  al cuerpo normativo y legislación vigente aplicable.

...