INTERFACES Y SOLUCIONES S.A.S INFORME DE HALLAZGOS IH...

ANEXO B - INFORME DE HALLAZGOS

Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 1 de 37

ANEXO B

INTERFACES Y SOLUCIONES S.A.S

INFORME DE HALLAZGOS IH-SGSI-01

Elaborado Por: Revisado Por: Aprobado Por:

Yasmin Suárez Adriana Moyano

Ing. Jairo Hernández Gutiérrez

Ing. Jorge Pérez Acosta

Fecha: junio 2017 Fecha: junio 2017 Fecha: junio 2017

Cargo: Pasantes a cargo del SGSI

Cargo: Director y Asesor del trabajo de grado

Cargo: Director de Proyectos I&S



CONTENIDO

INTRODUCCIÓN ............................................................................................................. 3

RIESGOS Y VULNERABILIDADES EN I&S .................................................................... 4

METODOLOGÍA ........................................................................................................... 5

Inventario de activos ................................................................................................. 6

Valoración de activos ................................................................................................ 9

Análisis de Amenazas ............................................................................................. 13

Valoración del riesgo ............................................................................................... 19

CONCLUSIONES ........................................................................................................... 35



INTRODUCCIÓN

Interfaces y Soluciones(I&S) ha apoyado la gestión de sus procesos con recursos

tecnológicos que han facilitado sus operaciones y le han permitido escalar en el

mercado de las integraciones. En sus actividades la información es un activo valioso,

por eso, se ve expuesta a incidentes de seguridad que amenazan la confidencialidad,

integridad y disponibilidad de la misma.

En el presente documento se informa de los hallazgos correspondientes a riesgos y

vulnerabilidades que pueden afectar el buen desempeño del área de Tecnologías de la

Información de la Entidad. Se hace uso de la metodología MAGERIT, para la gestión de

riesgos, a través de la cual se identifican los activos de la organización, las posibles

amenazas y el impacto que puedan ocasionar. Así mismo, se definen los criterios de

clasificación según la probabilidad de ocurrencia e impacto.



RIESGOS Y VULNERABILIDADES EN I&S La información es un activo esencial y decisivo para la organización. Es posible encontrarla en diferentes formatos: escrita en papel, impresa, digital, en videos, conversaciones, entre otros. Debido a que se encuentra disponible en diversos ambientes está expuesta a amenazas. Los daños que puede ocasionar una amenaza a la organización están determinados por las vulnerabilidades. Una vulnerabilidad es un defecto o debilidad en el diseño, implementación u operación que facilita la materialización de una amenaza. Tras la evaluación del estado de I&S con respecto a la norma ISO/IEC 27001:2013 y observación directa en la organización se encuentran las siguientes vulnerabilidades:

● No existen documento(s) de políticas, procesos, procedimientos y/o controles de seguridad de SI

● No existen condiciones contractuales de seguridad con terceros y outsourcing ● No existen programas de formación en seguridad para los empleados, clientes y

terceros ● No se revisa la organización de la seguridad periódicamente por una empresa

externa ● No existe un canal y procedimientos claros a seguir en caso de incidente de

seguridad ● No se dispone de una clasificación de la información según la criticidad de la

misma ● No existen procedimientos para clasificar la información ● No existen procedimientos de etiquetado de la información ● No se controla y restringe la asignación y uso de privilegios en entornos multi-

usuario ● No existe una revisión de los derechos de acceso de los usuarios ● No se protege el acceso de los equipos desatendidos ● No existe una política de uso de los servicios de red ● No existe un control de la conexión de redes ● No existe un control del routing de las redes ● No existe una identificación única de usuario y una automática de terminales ● No se ha incorporado medidas de seguridad a la computación móvil



● No existen controles criptográficos ● No existe protección frente a fallos en la alimentación eléctrica ● No existe seguridad en el cableado frente a daños e intercepciones ● No existen logs de los fallos detectados ● No se han establecido controles para realizar la gestión de los medios

informáticos(cintas, discos, removibles, informes impresos) ● No se controlan las vulnerabilidades de los equipos ● No están establecidas responsabilidades para asegurar una respuesta rápida,

ordenada y efectiva frente a incidentes de seguridad ● No se realiza gestión de contraseñas de forma segura y periódica

Por lo tanto, como primera medida se debe implementar un modelo de gestión de riesgos. METODOLOGÍA Como metodología para la gestión de riesgos en el plan de implementación del SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información1. MAGERIT presenta los siguientes objetivos:

Directos: 1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) 3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control

Indirectos: 4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

1 PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información



Inventario de activos

Para empezar con la gestión de riesgos se requiere un inventario de activos. Los activos son componentes o funcionalidades de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos2. Entre los hallados en I&S tenemos: Fuente: Elaboración Propia

Tabla 1. Lista de activos

ID Tipo Activo Descripción

ACT_0001 Comunicaciones Internet

Navegador: Chroome Acceso a plataformas: Azure, Amazon, Arvixe Acceso inalámbrico a través de la tarjeta de red de los equipos Servicio contratado con Claro: 5 Megas

ACT_0002 Comunicaciones Intranet

cableado categoría 5E Router suministrado por Claro, sin configuraciones adicionales a las por defecto

ACT_0003 Comunicaciones Telefonía Panasonic KX-UT123

ACT_0004 Datos Backups

Se realizan backups manuales de: - BD GTIntegration (base de datos sistema de integración) - BDI (base de datos intermedia) - Satélites (código fuente) - Generic Transfer Integration (sistema de integración) - Ejecutables y archivos de configuración

ACT_0005 Datos

Código fuente aplicaciones de planta y administrativas

Código en Visual Basic .NET de: - Script estructura GTIntegration - Script datos GTIntegration - Ejecutables y archivos config de los satélites/aplicativos

2 [UNE 71504:2008]



ACT_0006 Datos Bases de datos corporativas

Bases con información de: - Usuarios generictransfer.com - Documentos configurados - Información contable - Clientes - Cotizaciones - Proyectos entregados - Proyectos en proceso - Consultorías y Capacitaciones - Conectores - Modelo entidad relación Siesa - Programas - Formatos documentos (manuales, accesos) - Versiones GTI (sistema de integración) y satélites.

ACT_0007 Hardware Router Inalámbrico

Gateway MG6002N(Proporcionado por Claro) WAN 1x10/100 Mbps wan Ethernet USB para 2G/3G/4G USB Modem connectivity LAN 4x10/100/1000 Mbps Ethernet Port

ACT_0008 Hardware Servidor de Correos Gmail empresarial

ACT_0009 Hardware Servidor para pruebas de BD opera con Windows Server 2012 R2

ACT_0010 Hardware Impresoras Epson Expression XP 231

ACT_0011 Hardware Portátiles

Funcionan como estaciones de trabajo para el área de tecnologías de la información. Los equipos son de las siguiente marcas: - Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM - Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM - Notebook HP x64-based PC - AMD A10-7300 - 12 Gigas RAM

ACT_0012 Hardware Unidades de CD , DVD y Memorias extraíbles



ACT_0013 Hardware

Discos duros de servidores y estaciones de trabajo

ACT_0014 Hardware Discos externos

Con información correspondiente a: - Ejecutables y archivos de configuración de los satélites(programa que consume el Web Service de siesa), aplicaciones, servicios web, GTI

ACT_0015 Hardware UPS

8 tomas. Con autonomía de 5 a 20 min Da soporte a 5 equipos.

ACT_0016 Instalaciones Sedes de operación

Cuenta con dos sedes: - Bogotá - Medellín

ACT_0017 Instalaciones Sala eléctrica Cuarto de suministro eléctrico del edificio

ACT_0018 Instalaciones Sistema de aire acondicionado

Perteneciente al edificio donde funcionan las oficinas de la organización

ACT_0019 Instalaciones oficinas Ubicadas en el 2 piso del edificio

ACT_0020 Recursos Humanos Dirección

Se cuenta con: - Director comercial - Director de proyectos - Administración

ACT_0021 Recursos Humanos Coordinador de proyectos

Se cuenta con: - 2 coordinadores de proyectos de integraciones - 1 líder de proyectos de generictransfer.com

ACT_0022 Recursos Humanos Implementadores

- Se cuenta en total con 7 implementadores

ACT_0023 Recursos Humanos Soporte

- Se cuenta en total con 2 personas de soporte

ACT_0024 Software Antivirus: Avast

ACT_0025 Software

Bases de datos: SQL server 2014 Management Studio

ACT_0026 Software Correo electrónico: Exchange



ACT_0027 Software ERP Siesa Enterprise

ACT_0028 Software Paquete Office Microsoft Office Professional Plus 2016

ACT_0029 Software Redmine

Para la Gestión de proyectos: - seguimiento de tareas - cronograma - control de versiones

ACT_0030 Software Sistema operativo Microsoft Windows 10

ACT_0031 Software Skype

ACT_0032 Software Visual Studio .Net Visual Studio Professional 2015

ACT_0033 Software SQl developer SQL Server 2014 Management Studio

ACT_0034 Software Servidor de aplicaciones Opera con Windows Server 2012 R2

ACT_0035 Software Servidor Web Opera con Windows Server 2012 R2

ACT_0036 Software Windows server 2008 R2

ACT_0037 Software Windows server 2012 Fuente: Elaboración Propia

Valoración de activos

Siguiendo la metodología se define una tabla de valoración de activos que depende de tres dimensiones de gran importancia para la seguridad de la información, las cuales son: confidencialidad, integridad y disponibilidad.

Valoración de acuerdo a la Confidencialidad La confidencialidad se refiere a que la información debe llegar únicamente a las personas autorizadas. Esta es definida según las características de la información



gestionada y procesada por el activo. Para la presente valoración se toma en cuenta los siguientes criterios de clasificación.

Tabla 2. Criterios de valoración de Confidencialidad

Escala de Valoración Valoración Confidencialidad

3 Alto

El activo gestiona y/o procesa Información Reservada, su uso inadecuado puede generar consecuencias graves para la organización.

Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.

2 Medio

El activo gestiona y/o procesa Información Clasificada, su uso inadecuado puede generar medianas consecuencias a la organización, como por ejemplo, reclamaciones de las áreas que soporta.

Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.

1 Bajo

El activo gestiona y/o procesa Información Pública, no genera consecuencias negativas para la organización.

Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.

0 No Clasificada

Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados.

Deben ser tratados como activos de INFORMACIÓN RESERVADA hasta el momento en que se defina una valoración entre la escala del 1-3 definida.

Fuente: Elaboración Propia



Valoración de acuerdo a la Integridad

La integridad es una característica o propiedad de la información que garantiza que ésta no ha sido alterada (modificada o destruida) de manera no autorizada. Los criterios de valoración de integridad para los activos de I&S se describen a continuación:

Tabla 3. Criterios de valoración de Integridad

Escala de Valoración Valoración Integridad

3 Alto

El activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la entidad. Es información que apoya la toma de decisiones estratégicas de la organización. Los errores deben ser solucionados de inmediato.

2 Medio

El activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada a funcionarios de la entidad. La información gestionada por el activo permite una brecha de errores que pueden ser solucionados a corto plazo.

1 Bajo

El activo gestiona Información cuya pérdida de exactitud y completitud conlleva un impacto no significativo para la entidad o entes externos. Los errores pueden ser solucionados en un mediano plazo

0 No Clasificada

El activo de información debe ser incluido en el inventario y aún no ha sido clasificado. Debe ser tratado como activo de Integridad nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.




Valoración de acuerdo a la Disponibilidad

La disponibilidad asegura que los usuarios autorizados tienen acceso a la información y activos asociados cuando lo requieren, es decir,con esta propiedad se previene la denegación de acceso a datos y servicios de información autorizados. En la tabla se presentan los criterios de valoración de disponibilidad para los activos de I&S.

Tabla 4. Criterios de valoración de Disponibilidad

Escala de Valoración Valoración Disponibilidad

3 Alto

El activo apoya los procesos críticos de la entidad y se requiere de una recuperación inmediata en caso de falla. Puesto que, la no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.

2 Medio

El activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo no mayor a 3 días. Puede generar repercusiones económicas, legales o de imagen moderadas.

1 Bajo

El activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo superior a 3 días. La no disponibilidad de la información puede afectar la operación normal de la entidad o entes externos, pero no conlleva a implicaciones legales, económicas o de imagen.

0 No Clasificada

Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados. Deben ser tratados como activos de Disponibilidad de nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.




Análisis de Amenazas

Las amenazas suelen ser causas potenciales de incidentes que ocasionan daños al sistema de información o a la organización. Tras el análisis de los activos en I&S se detectan las siguientes amenazas. Fuente: Elaboración Propia Tabla 5 Lista de Amenazas

AMENAZA # Activos afectados

Errores de mantenimiento / actualización de programas (software) 14

Fuga de información 12

Errores de configuración 11

Errores de mantenimiento / actualización de equipos (hardware) 9

Ingeniería social 8

Robo 8

Acceso no autorizado 7

Alteración de la información 7

Difusión de software dañino 6

Errores del administrador 6

Abuso de privilegios de acceso 4

Caída del sistema por sobrecarga 4

Corrupción de la información 4

Denegación de servicio 4

Indisponibilidad del personal 4

Degradación de los soportes de almacenamiento de la información 3

Desastres naturales 3

Fuego 3

Corte del suministro eléctrico 2

Errores de los usuarios 2

Extorsión 2

Interceptación de información (escucha) 2



Introducción de falsa información 2

Pérdida de equipos 2

Condiciones inadecuadas de temperatura o humedad 1

A continuación se listan las amenazas detectadas para los activos encontrados en I&S.

● Amenazas para activos de Comunicaciones Fuente: Elaboración Propia Activos de Comunicaciones

Amenaza Internet Intranet Red de telefonía

Alteración de la información X

Difusión de software dañino X X

Fuga de información X X

Ingeniería social X X

Interceptación de información (escucha) X X

Introducción de falsa información X X

Suma total 5 5 1

● Amenazas para activos de Datos

Fuente: Elaboración Propia Activos de Datos

Amenaza

Backups de usuarios

corporativos

Bases de datos

corporativas

Código fuente aplicaciones de

planta y administrativas

Acceso no autorizado X X X

Alteración de la información X X

Corrupción de la información X X X

Denegación de servicio X

Difusión de software dañino X

Fuga de información X X X

Suma total 3 4 6



● Amenazas para activos de Hardware

Fuente: Elaboración Propia Activos de Hardware P1

Amenaza

Discos duros de servidores y estaciones

de trabajo

Discos externos

información de backups

Equipos de comunicacione

s


Caída del sistema por sobrecarga

Corrupción de la información X

Corte del suministro eléctrico

Errores de mantenimiento / actualización de equipos (hardware) X X X

Extorsión X

Fuga de información X X

Ingeniería social X

Pérdida de equipos X

Robo X X X

Suma total 5 5 3 Fuente: Elaboración Propia Activos de Hardware P2

Amenaza Impresoras Portátile

s Router Inalámbrico

Alteración de la información

Caída del sistema por sobrecarga X

Corrupción de la información

Corte del suministro eléctrico


Extorsión X

Fuga de información

Ingeniería social X

Pérdida de equipos X



Robo X X X

Suma total 2 5 3 Fuente: Elaboración Propia

Activos de Hardware P3

Amenaza Servidor de

Correos

Unidades de CD , DVD y Memorias

extraíbles UPS



Corrupción de la información

Corte del suministro eléctrico X


Extorsión

Fuga de información X

Ingeniería social

Pérdida de equipos

Robo X X

Suma total 6 2 1

● Amenazas para activos de Instalaciones

Fuente: Elaboración Propia Activos de Instalaciones

Amenaza

Centro de procesamiento de datos principal

Sala eléctrica

Sistema de aire acondicionado

Ubicación local de infraestructura y comunicaciones

Condiciones inadecuadas de temperatura o humedad X

Corte del suministro eléctrico X

Desastres naturales X X X



Fuego X X X

Suma total 2 3 1 2

● Amenazas para activos de Recursos Humanos Fuente: Elaboración Propia Activos de Recursos Humanos

Amenaza Analistas funcionales Desarrolladores

Director de informática

Técnicos de operación

Abuso de privilegios de acceso X X X X

Fuga de información X X X X

Indisponibilidad del personal X X X X

Ingeniería social X X X X

Suma total 4 4 4 4

● Amenazas para activos de Software

Fuente: Elaboración Propia Activos de Software P1

Amenaza Antivirus:

Avast

Bases de datos: SQL server 20X4 Management

Studio

Correo electrónico: Exchange

Windows server 2008

R2

Acceso no autorizado X X



Degradación de los soportes de almacenamiento de la información X



Errores de configuración X X

Errores de los usuarios



Errores de mantenimiento / actualización de programas (software) X X X X

Errores del administrador X X

Suma total 2 5 3 3

Fuente: Elaboración Propia Activos de Software P2

Amenaza Servidor de aplicaciones

ERP : Siesa Enterprise

Paquete Office

Acceso no autorizado X






Errores de configuración X X

Errores de los usuarios X

Errores de mantenimiento / actualización de programas (software) X X X

Errores del administrador

Suma total 8 3 1 Fuente: Elaboración Propia

Activos de Software P3

Amenaza Servidor

Web

Sistema operativo Microsoft Windows Skype

Windows server 20X2

Acceso no autorizado X








Errores de configuración X X X X

Errores de mantenimiento / actualización de programas (software) X X X X


Suma total 8 3 2 3 Fuente: Elaboración Propia Activos de Software P4

Amenaza

Redmine (Gestión de proyectos) SQl developer

Visual Studio .Net

Acceso no autorizado



Degradación de los soportes de almacenamiento de la información

Denegación de servicio

Difusión de software dañino

Errores de configuración X X X

Errores de los usuarios X

Errores de mantenimiento / actualización de programas (software) X X X


Suma total 4 3 2

Valoración del riesgo

La valoración del riesgo permite estimar la magnitud de los riesgos a los que está expuesta la organización. La materialización de una amenaza consta de dos elementos: probabilidad e impacto, estos determinan el nivel del riesgo.



Probabilidad La probabilidad indica la posibilidad de que algún hecho se produzca3, por lo tanto, se puede definir, medir o determinar de forma objetiva o subjetiva, cualitativa o cuantitativamente, en términos generales o de forma matemática y según el caso bajo un periodo de tiempo dado. De acuerdo a la probabilidad de ocurrencia de las amenazas se determinan los siguientes criterios de valoración:

Tabla 6. Valoración de Probabilidad

Identificador Escala de Valoración Valoración Descripción

A 3 Alto La amenaza se puede materializar mínimo una vez al mes

M 2

Medio La amenaza se puede materializar a lo sumo una vez en el semestre

B 1 Bajo La amenaza se puede materializar a lo sumo una vez al año

Fuente: Elaboración Propia Impacto El impacto hace referencia a las consecuencias sobre los activos resultantes de la materialización de una amenaza. Según el impacto se determinan los siguientes criterios de valoración: Fuente: Elaboración Propia

Tabla 7. Valoración de Impacto

Identificador Escala de Valoración

Valoración Descripción

A 3 Alto La ocurrencia del evento tiene impacto a nivel de confidencialidad, integridad y/o disponibilidad de la información poniendo en riesgo la reputación de la empresa y/o inconvenientes legales.

M 2 Medio La ocurrencia del evento tiene impacto a nivel de confidencialidad, integridad y/o disponibilidad de la información sin poner en riesgo la reputación de la empresa o necesidad de medidas legales.

B 1 Bajo La ocurrencia del evento no tiene consecuencias relevantes para la organización.

3 Magerit v3



Estimación del Riesgo Para la gestión del riesgo en I&S se modela el impacto, probabilidad y riesgo por medio de escalas cualitativas, como se evidencio en las tablas anteriores. Así, por la combinación probabilidad - impacto se define el siguiente mapa con el que se estima el nivel o estado de riesgo.

Fuente: Elaboración Propia MAPA DE RIESGO

Probabilidad

Alta RM RC RC

Media RB RM RC

Baja RB RB RM

Bajo Medio Alto

Impacto

A continuación se describe con mayor claridad a qué corresponde la valoración del riesgo: Fuente: Elaboración Propia

Tabla 8. Estimación del Riesgo

Identificador Escala de

Valoración Valoración Descripción

RC 3 Riesgo Crítico

Indica que el riesgo supera el nivel de aceptación de la organización. Por lo tanto, se deben priorizar las medidas para mitigación y planes de acción de forma inmediata.

RM 2 Riesgo Moderado

Indica un riesgo elevado que puede estar en los niveles de aceptación de la entidad. Sin embargo, requiere medidas de mitigación dentro de un límite de tiempo determinado y preferiblemente a mediano plazo.

RA 1

Riesgo Bajo

Indica un nivel de riesgo normal, en donde la relación de impacto y probabilidad es baja y pueden ser gestionados con procedimientos rutinarios. No se deben descartar acciones que permitan mitigar al máximo su ocurrencia.



Tras la valoración, de ocurrencia e impacto de las amenazas sobre los activos, de forma general se obtuvieron los siguientes resultados en la estimación del riesgo para los tipos de activos hallados en I&S:

Tabla 9. Resumen Valoración del riesgo

Tipo de Activo Amenaza

# Activos en Riesgo Crítico

# Activos en Riesgo

Moderado # Activos en Riesgo Bajo

# Activos Afectados

Comunicaciones Alteración de la información 1 1

Comunicaciones Introducción de falsa información 2 2

Comunicaciones Fuga de información 2 2

Comunicaciones Difusión de software dañino 2 2

Comunicaciones Ingeniería social 2 2

Comunicaciones Interceptación de información (escucha) 1 1 2

Datos Alteración de la información 2 2

Datos Acceso no autorizado 1 2 3

Datos Fuga de información 2 1 3

Datos Corrupción de la información 1 2 3

Datos Denegación de servicio 1 1

Datos Difusión de software dañino 1 1

Hardware Corrupción de la información 1 1

Hardware Pérdida de equipos 2 2

Hardware Extorsión 2 2

Hardware Alteración de la información 1 1 2

Hardware Corte del suministro eléctrico 1 1

Hardware Fuga de información 2 1 3

Hardware Robo 4 4 8

Hardware Ingeniería social 1 1 2

Hardware Caída del sistema por sobrecarga 1 1 2



Hardware

Errores de mantenimiento / actualización de equipos (hardware) 3 4 2 9

Instalaciones Fuego 3 3

Instalaciones Condiciones inadecuadas de temperatura o humedad 1 1

Instalaciones Corte del suministro eléctrico 1 1

Instalaciones Desastres naturales 3 3

Recursos Humanos Fuga de información 4 4

Recursos Humanos

Abuso de privilegios de acceso 4 4

Recursos Humanos Indisponibilidad del personal 4 4

Recursos Humanos Ingeniería social 4 4

Software Caída del sistema por sobrecarga 1 1 2

Software

Degradación de los soportes de almacenamiento de la información 3 3

Software Acceso no autorizado 2 2 4

Software Errores de configuración 2 9 11

Software Difusión de software dañino 1 2 3

Software Denegación de servicio 2 1 3

Software Errores de los usuarios 1 1 2

Software Alteración de la información 1 1 2

Software Errores del administrador 1 5 6

Software

Errores de mantenimiento / actualización de programas (software) 1 4 9 14

Suma Total 27 49 54 Fuente: Elaboración Propia



A continuación se presenta el análisis de riesgos con su respectiva valoración. Tabla 10 Análisis de riesgos Fuente: Elaboración Propia

ID ACTIVO ACTIVO AMENAZA PROBABILIDA

D IMPACTO RIESGO

ACT_0001 Internet Difusión de software dañino M M RM

ACT_0001 Internet Interceptación de información (escucha) M A RC

ACT_0001 Internet Fuga de información A A RC

ACT_0001 Internet Introducción de falsa información M A RC

ACT_0001 Internet Ingeniería social B A RM

ACT_0002 Intranet Fuga de información A A RC

ACT_0002 Intranet Difusión de software dañino M M RM

ACT_0002 Intranet Alteración de la información M A RC

ACT_0002 Intranet Introducción de falsa información M A RC

ACT_0002 Intranet Ingeniería social B A RM

ACT_0003 Red de telefonía

Interceptación de información (escucha) B M RA

ACT_0004

Backups de usuarios corporativos Fuga de información M A RC

ACT_0004

Backups de usuarios corporativos Acceso no autorizado M M RM

ACT_0004

Backups de usuarios corporativos Corrupción de la información M A RC

ACT_0005

Código fuente aplicaciones de planta y administrativas Fuga de información A M RC



ACT_0005

Código fuente aplicaciones de planta y administrativas Denegación de servicio B B RA

ACT_0005

Código fuente aplicaciones de planta y administrativas Corrupción de la información M M RM

ACT_0005

Código fuente aplicaciones de planta y administrativas Acceso no autorizado M M RM

ACT_0005

Código fuente aplicaciones de planta y administrativas Difusión de software dañino B M RA

ACT_0005

Código fuente aplicaciones de planta y administrativas Alteración de la información M M RM

ACT_0006 Bases de datos corporativas Corrupción de la información B A RM

ACT_0006 Bases de datos corporativas Fuga de información B A RM

ACT_0006 Bases de datos corporativas Alteración de la información B A RM

ACT_0006 Bases de datos corporativas Acceso no autorizado M A RC

ACT_0007 Router Inalámbrico

Caída del sistema por sobrecarga A B RM

ACT_0007 Router Inalámbrico

Errores de mantenimiento / actualización de equipos (hardware) M B RA

ACT_0007 Router Inalámbrico Robo M B RA

ACT_0008 Servidor de Correos Robo B M RA



ACT_0008 Servidor de Correos

Caída del sistema por sobrecarga M B RA

ACT_0008 Servidor de Correos Corte del suministro eléctrico M B RA

ACT_0008 Servidor de Correos Fuga de información M B RA

ACT_0008 Servidor de Correos

Errores de mantenimiento / actualización de equipos (hardware) A B RM

ACT_0008 Servidor de Correos Alteración de la información M M RM

ACT_0009 Equipos de comunicaciones Robo M B RA

ACT_0009 Equipos de comunicaciones Ingeniería social B B RA

ACT_0009 Equipos de comunicaciones


ACT_0010 Impresoras

Errores de mantenimiento / actualización de equipos (hardware) B B RA

ACT_0010 Impresoras Robo B B RA

ACT_0011 Portátiles Ingeniería social B A RM

ACT_0011 Portátiles Robo B A RM

ACT_0011 Portátiles Pérdida de equipos B A RM

ACT_0011 Portátiles

Errores de mantenimiento / actualización de equipos (hardware) A A RC

ACT_0011 Portátiles Extorsión B A RM

ACT_0012

Unidades de CD , DVD y Memorias extraíbles

Errores de mantenimiento / actualización de equipos (hardware) M M RM



ACT_0012

Unidades de CD , DVD y Memorias extraíbles Robo B A RM

ACT_0013

Discos duros de servidores y estaciones de trabajo


ACT_0013

Discos duros de servidores y estaciones de trabajo Fuga de información A A RC

ACT_0013

Discos duros de servidores y estaciones de trabajo Extorsión B A RM

ACT_0013

Discos duros de servidores y estaciones de trabajo Robo B A RM

ACT_0013

Discos duros de servidores y estaciones de trabajo Pérdida de equipos B A RM

ACT_0014

Discos externos información de backups Alteración de la información M A RC

ACT_0014

Discos externos información de backups Corrupción de la información M A RC

ACT_0014

Discos externos información de backups Robo B A RM

ACT_0014

Discos externos información de backups


ACT_0014

Discos externos información de backups Fuga de información M A RC



ACT_0015 UPS


ACT_0016

Centro de procesamiento de datos principal Fuego B B RA

ACT_0016

Centro de procesamiento de datos principal Desastres naturales B B RA

ACT_0017 Sala eléctrica Fuego B B RA

ACT_0017 Sala eléctrica Corte del suministro eléctrico B B RA

ACT_0017 Sala eléctrica Desastres naturales B B RA

ACT_0018 Sistema de aire acondicionado

Condiciones inadecuadas de temperatura o humedad B B RA

ACT_0019

Ubicación local de infraestructura y comunicaciones Desastres naturales B B RA

ACT_0019

Ubicación local de infraestructura y comunicaciones Fuego B B RA

ACT_0020 Analistas funcionales Ingeniería social B A RM

ACT_0020 Analistas funcionales Indisponibilidad del personal M M RM

ACT_0020 Analistas funcionales

Abuso de privilegios de acceso M A RC

ACT_0020 Analistas funcionales Fuga de información M A RC

ACT_0021 Desarrolladores Abuso de privilegios de acceso M A RC

ACT_0021 Desarrolladores Fuga de información M A RC



ACT_0021 Desarrolladores Ingeniería social B A RM

ACT_0021 Desarrolladores Indisponibilidad del personal M M RM

ACT_0022 Director de informática Indisponibilidad del personal M M RM

ACT_0022 Director de informática


ACT_0022 Director de informática Ingeniería social B A RM

ACT_0022 Director de informática Fuga de información M A RC

ACT_0023 Técnicos de operación Fuga de información M A RC

ACT_0023 Técnicos de operación Ingeniería social B A RM

ACT_0023 Técnicos de operación


ACT_0023 Técnicos de operación Indisponibilidad del personal M M RM

ACT_0024 Antivirus: Avast Errores de configuración A B RM

ACT_0024 Antivirus: Avast

Errores de mantenimiento / actualización de programas (software) A M RC

ACT_0025

Bases de datos: SQL server 2014 Management Studio Denegación de servicio M B RA

ACT_0025


Degradación de los soportes de almacenamiento de la información M B RA



ACT_0025

Bases de datos: SQL server 2014 Management Studio Errores del administrador M B RA

ACT_0025

Bases de datos: SQL server 2014 Management Studio Acceso no autorizado M M RM

ACT_0025


Errores de mantenimiento / actualización de programas (software) A B RM

ACT_0026

Correo electrónico: Exchange


ACT_0026

Correo electrónico: Exchange Acceso no autorizado B B RA

ACT_0026

Correo electrónico: Exchange Difusión de software dañino M M RM

ACT_0027 ERP : Siesa Enterprise Errores de los usuarios M B RA

ACT_0027 ERP : Siesa Enterprise Errores de configuración M B RA

ACT_0027 ERP : Siesa Enterprise


ACT_0028 Paquete Office

Errores de mantenimiento / actualización de programas (software) M B RA



ACT_0029

Redmine (Gestión de proyectos) Errores del administrador A B RM

ACT_0029

Redmine (Gestión de proyectos) Errores de los usuarios A B RM

ACT_0029

Redmine (Gestión de proyectos)

Errores de mantenimiento / actualización de programas (software) B B RA

ACT_0029

Redmine (Gestión de proyectos) Errores de configuración A B RM

ACT_0030

Sistema operativo Microsoft Windows Difusión de software dañino B M RA

ACT_0030

Sistema operativo Microsoft Windows Errores de configuración M B RA

ACT_0030

Sistema operativo Microsoft Windows

Errores de mantenimiento / actualización de programas (software) B M RA

ACT_0031 Skype


ACT_0031 Skype Errores de configuración M B RA

ACT_0032 Visual Studio .Net


ACT_0032 Visual Studio .Net Errores de configuración M B RA

ACT_0033 SQl developer Errores del administrador M B RA



ACT_0033 SQl developer Errores de configuración M B RA

ACT_0033 SQl developer


ACT_0034 Servidor de aplicaciones Alteración de la información M B RA

ACT_0034 Servidor de aplicaciones

Degradación de los soportes de almacenamiento de la información M B RA

ACT_0034 Servidor de aplicaciones Errores de configuración M B RA

ACT_0034 Servidor de aplicaciones Acceso no autorizado B M RA

ACT_0034 Servidor de aplicaciones Difusión de software dañino B B RA

ACT_0034 Servidor de aplicaciones Denegación de servicio A B RM


Caída del sistema por sobrecarga A B RM


Errores de mantenimiento / actualización de programas (software) B B RA

ACT_0035 Servidor Web Errores del administrador M B RA

ACT_0035 Servidor Web Denegación de servicio A B RM

ACT_0035 Servidor Web Errores de configuración M B RA

ACT_0035 Servidor Web Alteración de la información B A RM

ACT_0035 Servidor Web

Degradación de los soportes de almacenamiento de la información B M RA



ACT_0035 Servidor Web Acceso no autorizado B A RM

ACT_0035 Servidor Web Caída del sistema por sobrecarga A M RC

ACT_0035 Servidor Web

Errores de mantenimiento / actualización de programas (software) M M RM

ACT_0036 Windows server 2008 R2 Errores del administrador M B RA

ACT_0036 Windows server 2008 R2


ACT_0036 Windows server 2008 R2 Errores de configuración M B RA

ACT_0037 Windows server 2012 Errores del administrador M B RA

ACT_0037 Windows server 2012 Errores de configuración M B RA

ACT_0037 Windows server 2012




CONCLUSIONES

Interfaces y Soluciones ha estado trabajando en sus procesos de forma empírica, basados en el sentido común y la experiencia; elementos que han permitido el crecimiento de la organización. Sin embargo, el estado actual de la entidad en la que se gestiona gran cantidad de información contable, financiera, comercial, procesos de producción, datos de clientes y proveedores, entre otros, exige un mayor compromiso y estandarización de los procesos de seguridad. Uno de los pasos fundamentales para mejorar la seguridad en la organización está relacionada con la gestión de riesgos, que incluye la identificación de activos con su correspondiente valoración, identificación de amenazas y valoración de riesgo. En los procesos del área de Tecnologías de la Información- según el alcance del SGSI - se identifican 37 grupos de activos clasificados en 6 tipos: Instalaciones, Comunicaciones, Hardware, Datos, Software y Recursos Humanos.

Tabla 11 Tipo de Activos Fuente: Elaboración Propia

Tipo de Activo # Activos

Comunicaciones 3

Datos 3

Hardware 9

Instalaciones 4

Recursos Humanos 4

Software 14

Total 37

Las vulnerabilidades de la organización se encuentran asociadas principalmente a la carencia de políticas, controles, y/o procedimientos de seguridad de los Sistemas de Información. Así, tras la evaluación de los activos se identifican 25 amenazas relacionadas con factores ambientales, errores humanos, falencias en configuración de software, redes, entre otros. Las amenazas detectadas sobre cada uno de los activos se convierten en un riesgo. Estos presentan una probabilidad de ocurrencia e impacto. Por lo tanto, se hace un análisis de cada uno



de los activos, amenazas y se estima el riesgo. Se definieron 3 niveles de riesgo: Riesgo Bajo, riesgo moderado y riesgo crítico. De forma que se obtuvo lo siguiente:

Tabla 12 Valoración del riesgo Fuente: Elaboración Propia

Valoración del Riesgo # Activos # Amenazas

Riesgo Crítico 14 10

Riesgo Moderado 24 17

Riesgo Bajo 23 19 Fuente: Elaboración Propia

Los activos que se encuentran en riesgo crítico y moderado requieren medidas prontas para la mitigación del riesgo- el tiempo debe ser determinado por la organización- puesto que pueden ocurrir con una frecuencia alta y un impacto bastante negativo a nivel económico, legal y/o reputacional. 24 de los 37 activos evaluados tienen algún factor de amenaza que los deja entre riesgo crítico y moderado. A nivel porcentual se observa que estos corresponden cerca del 60 por ciento de la combinación resultante de activos y amenazas, por lo tanto, se necesita una intervención urgente.

INTERFACES Y SOLUCIONES S.A.S INFORME DE HALLAZGOS IH...

Documents

Transcript of INTERFACES Y SOLUCIONES S.A.S INFORME DE HALLAZGOS IH...