Como se da la Aplicación básica y práctica de conceptos - Seguridad de la Información
Enviado por guialop • 25 de Abril de 2018 • Apuntes • 1.632 Palabras (7 Páginas) • 60 Visitas
PROYECTO CONSTRUCCIÓN DE INICIATIVAS DE SEGURIDAD
Contenido
1. INTRODUCCIÓN 3
2. OBJETIVOS 3
3. CASO ESTUDIO 3
4. TABLA DE HALLAZGOS 3
5. JUSTIFICACIÓN PARA LA DIRECCIÓN 14
INTRODUCCIÓN
La información es un activo vital para el éxito y la continuidad en el mercado de toda organización. El aseguramiento de dicha información y de los sistemas que la procesan es, por tanto, un objetivo de primer nivel.
Para la adecuada gestión de la seguridad de la información, es necesario analizar los riesgos encontrados en la empresa e implantar un sistema que aborde esta tarea de una forma metódica, documentada y basada en unos objetivos claros de seguridad de la información.
OBJETIVOS
- Analizar los hallazgos indicados en la Organización relacionada en el Caso de Estudio, con el fin de identificar las causas y consecuencias que se desataría de no establecer un plan de mitigación de riesgos de seguridad de la información.
- Identificar posibles amenazas y vulnerabilidades que afectan la seguridad de la información en la Organización
CASO ESTUDIO
Se ha iniciado labores en la empresa responsable del proceso de diseño y elaboración de productos químicos con fines médicos e industriales del 50% del país. La empresa es nacional y cuenta con sedes en la ciudad de Bogotá, Medellín y Bucaramanga.
Al iniciar labores le solicitan que realice una auditoría o revisión del estado de seguridad de la información de la organización para definir planes de trabajo posteriores. Le toma tres semanas realizar la actividad de hallazgos o debilidades de seguridad.
TABLA DE HALLAZGOS
Hallazgo | Explicación de cómo afecta la seguridad | Causa | Consecuencias | |
1. | Fuga de información crítica de la empresa | Confidencialidad | Ausencia de una política para la protección de la información interna de la empresa. Falta de cláusulas de confidencialidad, daño o delito informático. Ausencia de herramientas para gestionar la información (quién tiene acceso, dónde y cómo se almacena, log de datos) Ausencia de capacitaciones con respecto a la importancia de la seguridad de la información | Pérdidas monetarias debido al robo de fórmulas químicas propias y/o productos.
Pérdida de ventajas competitivas de los productos producidos. Divulgación de la información confidencial de la organización. Cierre de la empresa debido a la pérdida de secretos industriales. |
2. | Problemas en procesos e infraestructura post-implementación de cambios (Change Management) | Disponibilidad | Ausencia de procedimientos definidos y documentados para la presentación, manejo e implementación; refiriéndose de este modo a procedimientos de control de cambios en la empresa. | Plataformas no disponibles, problemas de responsabilidad de aprobadores, pérdidas monetarias debido a no poder ejecutar procesos productivos. |
3. | Problemas en dispositivos por afectación de virus de tipo ransomware | Integridad Confidencialidad Disponibilidad | Ausencia de política y procedimientos para el manejo y actualización de dispositivos que permitan evitar ataques cibernéticos.
Se carece de lineamientos socializados que permitan evitar que usuarios accedan o abran links/archivos sospechosos. Ausencia de pruebas técnicas para evidenciar las vulnerabilidades o equipos vulnerables para un atacante. | Reprocesos en caso de no poseer procedimientos de recuperación de información (Backup)
Posible forma de filtrado de información crítica debido a la capacidad del atacante de manipular archivos de la empresa. Pérdida de información valiosa de la empresa que puede conllevar a pérdidas monetarias. Inestabilidad en los equipos para realizar el trabajo diario de parte de los miembros de la empresa. |
4. | No se realiza control sobre redes que van directamente a internet | Confidencialidad Integridad Autenticidad | Carencia de controles que permitan filtrar el tráfico web al que acceden los empleados.
Se han abierto brechas de seguridad que permiten a usuarios no autorizados el uso de correos corporativos para envío masivo. (SPAM) | Pérdidas reputacionales debido a mal nombre en que puede incurrir la empresa.
Multas o sanciones por uso indebido de medios informáticos que permitan suplantar identidad de una corporación.
Probabilidades altas de que amenazas informáticas penetren la red interna. Uso indebido y acceso a sitios o portales no permitidos por parte de los usuarios; que permiten extraer sin previo permiso archivos críticos de la empresa a través de medios como almacenaje en la nube o correos públicos. |
5. | Ausencia de control de acceso a información confidencial, ni protección adecuada de la misma | Confidencialidad Integridad | Ausencia de controles sobre roles y permisos que deben tener los empleados según su función.
Carencia de procedimientos de protección de la información confidencial para el uso de la misma. | Filtración de información de clientes a la competencia.
Uso indebido de información de clientes que permita acciones ilegales sobre la misma como su venta. Divulgación de información confidencial de la organización |
6. | Problemas de seguridad y control de acceso a locaciones.
Falta de medios como evidencia para afrontar situaciones de seguridad. | Confidencialidad Trazabilidad Autenticidad | Ausencia de controles suficientes para atender riesgos relacionados con acceso a locaciones.
Carencia de procedimientos para el cambio/reparación de elementos críticos de seguridad como las grabaciones de cámaras. | Es posible que personas no autorizadas ingresen de manera irregular a zonas protegidas de la empresa.
Robo de información debido a falta de control.
Imposibilidad de aportar evidencias en procesos de investigación relacionados con eventos de seguridad. |
7. | Procesos de trazabilidad de información no están implementados completamente ni mantenidos. | Confidencialidad Autenticidad | Ausencia de controles para el mantenimiento de elementos críticos de seguridad perimetral.
Ausencia de procedimientos implementados para la trazabilidad de la información que se maneja al interior de la empresa. | Pérdidas monetarias debido al robo de fórmulas químicas propias y/o productos.
Pérdida de ventajas competitivas de los productos producidos.
Imposibilidad de detectar a personal interno o externo que esté realizando actividades indebidas dentro de la empresa. |
8. | Ausencia de políticas y procedimientos de control a procesos críticos con terceros. | Confidencialidad | Carencia de controles para verificar que los terceros estén manejando la información crítica de forma segura.
Ausencia de plan de auditorías programadas y/o procedimientos para realizar controles sobre la forma cómo los terceros acceden o manipulan información interna de la empresa (Confidencial o no confidencial) | Pérdidas monetarias debido al robo de fórmulas químicas propias y/o productos que puedan ser copiadas por empresas del sector.
Pérdida de ventajas competitivas de los productos producidos que lleven al cierre o insostenibilidad de la empresa.
Falta de control a procesos realizados por terceros que lleven a poner en riesgo la calidad de los productos producidos. |
9. | Carencia de actualización periódica a documentos relacionados con la seguridad de la información | Integridad Auditoría | Inexistencia de procedimientos para la revisión periódica de documentación interna de la empresa.
Ausencia de responsables para la revisión periódica de documentos de seguridad y aprobación de cambios. | Capacitaciones incompletas que dejen temas de seguridad sin ser de conocimiento del personal.
Información proveniente de procesos nuevos implementados durante los últimos 3 años pueden ser objeto de malos usos o tratamiento.
Procedimientos de producción de nuevos productos químicos pueden llevar a accidentes laborales por desconocimiento de normas.
El uso indebido de materiales químicos que no estén actualizados según normas internacionales puede llevar a ser sujeto de sanciones por entidades como Superintendencias. |
10. | Ausencia de procedimientos en el mantenimiento de elementos tecnológicos de seguridad. | Confidencialidad Integridad Disponibilidad | Ausencia de responsables en el manejo de elementos tecnológicos de seguridad. Y si existen, se evidencia carencia de políticas y procedimientos que permitan su funcionamiento correcto. | Pérdida o indisponibilidad de elementos internos debido a la infección por virus.
Debido a los diferentes tipos de virus existentes, existe el riesgo de perder información valiosa ya sea por destrucción de la misma o robo.
Puede presentarse fuga de información debido a aplicaciones no autorizadas ejecutándose en los equipos.
Inestabilidad de los medios de trabajo del personal.
Gastos monetarios en el alquiler/compra de equipos para reemplazar elementos con fallas rápidamente. |
11. | Carencia de políticas o procedimientos de Compliance implementados dentro de la empresa | Disponibilidad Confidencialidad | Ausencia de definición de responsables para la entrega de información de cara a auditorías de la superintendencia.
Ausencia de políticas, procedimientos y controles que permitan estar al día con procesos de auditoría y entregar información de forma eficiente. | Riesgos reputacionales debido a sanciones.
Multas de tipo económico a la empresa impuestas por la Superintendiencia.
Imposibilidad de operar como productor de químicos debido a sanciones. |
12. | Ausencia de control y de permisos adecuados que permiten la instalación de software no apropiado. | Auditoría Integridad | Ausencia de procedimientos o herramientas de control de programas instalados dentro de la empresa.
Carencia de controles adecuados para otorgar permisos de tipo administrador a usuarios finales. | No disponibilidad de elementos de trabajo debido a instalación de software no autorizado que provoque inestabilidad de sistema operativo.
Reproceso al área de Tecnología debido a la revisión de equipos que deberían estar controlados.
Gastos monetarios en el alquiler/compra de equipos para reemplazar elementos con fallas rápidamente. |
...