ANÁLISIS DE LOS RIESGOS QUE CAUSAN LA FUGA DE INFORMACIÓN EN

LA EMPRESA ASESORIAS CONTABLES Y REVISORIA FISCAL JAA SAS.

JUAN CARLOS BELTRÁN BEJARANO

ANDREA KATERINE PINEDA CONEJO

ANDRÉS FELIPE QUEVEDO VEGA

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

BOGOTÁ D.C – 2016

ANÁLISIS DE LOS RIESGOS QUE CAUSAN LA FUGA DE INFORMACIÓN EN

LA EMPRESA ASESORIAS CONTABLES Y REVISORIA FISCAL JAA SAS.

JUAN CARLOS BELTRÁN BEJARANO

ANDREA KATERINE PINEDA CONEJO

ANDRÉS FELIPE QUEVEDO VEGA

Trabajo de grado para obtener el título de especialista en Seguridad de la información.

ASESOR: HECTOR DARIO JAIMES PRADA

INGENIERO DE SISTEMAS

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

BOGOTÁ D.C - 2016

Nota de aceptación

______________________________________

______________________________________

______________________________________

______________________________________

Presidente del Jurado

______________________________________

Jurado

______________________________________

Jurado

Bogotá D.C., noviembre de 2016.

Dedicatoria

Dedicamos este proyecto a Dios por ser nuestro guía en cada uno de nuestros pasos, a

nuestros padres por ser nuestro apoyo y fortaleza en cada nuevo reto que tomamos en nuestras

vidas y con los que contamos en todo momento; a nuestros esposos(a), quienes nos han apoyado

de manera incondicional en el desarrollo de nuestra especialización; y a todos los profesores que

compartieron su inmenso conocimiento con nosotros cuyo trabajo y dedicación nos ayuda en la

formación como especialistas en seguridad de la información.

Agradecimientos

Este trabajo de grado es el consolidado de un proceso de crecimiento personal, intelectual y

profesional en nuestras vidas. Agradecemos a Dios el creador del universo que me permite

construir otros mundos mentales.

A nuestras familias por el apoyo incondicional y su acompañamiento en este proceso de

crecimiento.

A los profesores de la especialización, que con su profesionalismo lograron transmitir sus mejores

conocimientos.

Al ingeniero Hector Jaimes, por su apoyo y colaboración en la consolidación de los conocimientos

adquiridos en este trabajo de grado.

A todas aquellas personas que de una u otra manera participaron y nos acompañaron en este

proceso tan significativo para nosotros.

TABLA DE CONTENIDO

INTRODUCCIÓN ................................................................................................................................ 13

1 GENERALIDADES DEL TRABAJO DE GRADO ................................................................... 14

1.1 LÍNEA DE INVESTIGACIÓN ................................................................................................................ 14

1.2 PLANTEAMIENTO DEL PROBLEMA .................................................................................................... 14

1.2.1 Antecedentes del problema .................................................................................................... 14

1.2.2 Pregunta de investigación ..................................................................................................... 15

1.3 JUSTIFICACIÓN ................................................................................................................................. 16

1.4 OBJETIVOS ....................................................................................................................................... 17

1.4.1 Objetivo general .................................................................................................................... 17

1.4.2 Objetivos específicos ............................................................................................................. 17

2 MARCOS DE REFERENCIA .................................................................................................... 18

2.1 MARCO CONCEPTUAL ...................................................................................................................... 18

2.2 MARCO TEÓRICO ............................................................................................................................. 21

2.2.1 OCTAVE ................................................................................................................................ 22

2.2.2 METODOLOGÍA MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS

DE IT) 23

2.2.3 ISO/IEC 27001:2013 ............................................................................................................. 26

2.2.4 ISO 31000:2009..................................................................................................................... 27

2.3 MARCO JURIDICO ......................................................................................................................... 29

3 METODOLOGÍA ........................................................................................................................ 32

3.1 FASES DEL TRABAJO DE GRADO ....................................................................................................... 32

3.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS ............................................................................... 32

4 DESARROLLO (NUMERALES PROPIOS DEL DESARROLLO) ......................................... 33

4.1 LEVANTAMIENTO DE INFORMACIÓN ................................................................................... 33

4.1.1 ESTRUCTURA ORGANIZACIONAL .................................................................................... 34

4.1.2 MAPA DE PROCESOS ......................................................................................................... 35

4.1.3 ENTREVISTA. ....................................................................................................................... 35

4.2 CARACTERIZACIÓN DE ACTIVOS. .......................................................................................... 39

4.2.1 DEPENDENCIA ENTRE ACTIVOS ...................................................................................... 41

4.3 CARACTERIZACIÓN AMENAZAS ........................................................................................................ 42

4.4 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD ACTUALES ASOCIADAS A LA

PREVENCIÓN DE LA FUGA DE INFORMACIÓN. ........................................................................................... 43

4.5 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS ................................................................................... 44

4.5.1 RIESGOS IDENTIFICADOS ................................................................................................. 45

4.5.2 VALORACIÓN DE RIESGOS ............................................................................................... 46

4.5.3 RIESGO VALORACION Y CONTROLES ............................................................................. 47

4.5.4 RESULTADOS DEL ANALISIS ............................................................................................. 52

5 CONCLUSIONES Y RECOMENDACIONES ........................................................................... 55

6 BIBLIOGRAFÍA ......................................................................................................................... 58

LISTA DE FIGURAS

FIGURA 2.1 MAPA CONCEPTUAL .................................................................................................................................. 18

FIGURA 2.2 MARCO TEÓRICO ....................................................................................................................................... 21

FIGURA 2.3 FASES METODOLOGÍA OCTAVE .............................................................................................................. 22

FIGURA 2.4 METODOLOGÍA MAGERIT. “TOMADA DE ................................................................................................ 23

FIGURA 2.5 ISO 27001:2013 ........................................................................................................................................ 27

FIGURA 2.6 ISO 31000. “TOMADA DE

HTTP://WWW.ISACA.ORG/CHAPTERS8/MONTEVIDEO/CIGRAS/DOCUMENTS/CIGRAS2011-CSERRA-

PRESENTACION1%20MODO%20DE%20COMPATIBILIDAD.PDF” .......................................................................... 28

FIGURA 2.7 MARCO JURÍDICO ...................................................................................................................................... 29

FIGURA 4.1 ESTRUCTURA ORGANIZACIONAL ............................................................................................................... 34

FIGURA 4.2 MAPA DE PROCESOS .................................................................................................................................. 35

FIGURA 4.3 DEPENDENCIA ENTRE ACTIVOS TOMADA DE LA HERRAMIENTA PILAR VERSIÓN 5.4.9 LICENCIA DE

EVALUACIÓN ....................................................................................................................................................... 41

FIGURA 4.4 FACTORES DE FUGA DE INFORMACIÓN ...................................................................................................... 53

FIGURA 4.5 CANTIDAD DE RIESGOS ............................................................................................................................. 53

FIGURA 4.6 CONTROLES POR RIESGO ........................................................................................................................... 54

LISTA DE TABLAS

TABLA 2.1 MAR.1 CARACTERIZACIÓN DE ACTIVOS - METODOLOGÍA MAGERIT ...................................................... 24

TABLA 2.2 MAR.2 CARACTERIZACIÓN DE AMENAZAS - METODOLOGÍA MAGERIT ................................................... 25

TABLA 2.3 MAR.3 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD – METODOLOGÍA MAGERIT ................................... 25

TABLA 2.4 MAR.4 ESTIMACIÓN DEL RIESGO – METODOLOGÍA MAGERIT ................................................................ 26

TABLA 4.1 CARACTERIZACIÓN DE LOS ACTIVOS. ......................................................................................................... 40

TABLA 4.2 CARACTERIZACIÓN DE LOS ACTIVOS. ......................................................................................................... 41

TABLA 4.3 CUADRO COMPARATIVO VULNERABILIDADES – AMENAZAS. ...................................................................... 43

TABLA 4.4 RIESGOS IDENTIFICADOS. ........................................................................................................................... 45

TABLA 4.5 MATRIZ DE VALORACIÓN DE RIESGOS........................................................................................................ 46

TABLA 4.6 CONSECUENCIA. ......................................................................................................................................... 46

TABLA 4.7 PROBABILIDAD. .......................................................................................................................................... 46

TABLA 4.8 RIESGO, VALORACIÓN Y CONTROLES. ........................................................................................................ 51

11

RESUMEN

La seguridad de la información es un tema que concierne no solo a grandes empresas, sino

a medianas y pequeñas empresas ya que su afectación puede causar daños que repercuten

directamente a la confidencialidad, a la integridad y la disponibilidad de la información causando

un impacto en la imagen y reputación que conlleva a pérdidas económicas.

La fuga de información es un tema muy importante que afecta directamente la

confidencialidad de la información y que de forma directa o indirecta las compañías están

expuestas a amenazas cuyo origen puede ser interno o externo. La identificación de los riesgos a

través de un análisis de riesgos permite minimizar el impacto que conlleva la fuga de información

si se toman los controles preventivos, detectivos y correctivos adecuados que estén alineados con

los objetivos del negocio y aplicando las mejores prácticas de acuerdo a la norma ISO 27001.

Palabras clave: Fuga de información, riesgos, amenazas, vulnerabilidades, activos.

ABSTRACT

Information security is an issue that concerns not only large companies, but also small and

medium-sized enterprises, as their impact can cause damage that directly affects the

confidentiality, integrity and availability of information causing an impact on the image and

reputation that leads to loss of type economic.

The leak of information is a very important issue that directly affects the confidentiality of

information and that directly or indirectly companies are exposed to threats that may be internal

or external. Identifying risks through risk analysis minimizes the impact of information leakage by

taking appropriate preventive, detective and corrective controls that are aligned with business

objectives.

Keywords: Leak of information, risks, threats, vulnerabilities, assets.

12

13

INTRODUCCIÓN

Uno de los activos más importantes en una compañía es la información. En los últimos

tiempos las compañías están conectadas con todo el mundo a través de la integración de la

tecnología, esto genera un alto riesgo para la confidencialidad, integridad y disponibilidad de la

Información.

En la actualidad, las compañías han experimentado un alto crecimiento en la fuga de

información, donde documentos de carácter confidencial son expuestos al exterior de la compañía.

En el año 2010, se presentó hasta hoy la catalogada como la mayor fuga de información en

Wikileaks. Este hecho hizo que en el mundo evidenciara la gran dificultad de mantener la

confidencialidad de la información y por ello grandes compañías con herramientas robustas y

personal especializado han sido víctimas de este tipo de divulgación, lo que presume que cualquier

compañía puede ser víctima de fuga de información. (AMAYA, 08)

El mayor desafío para controlar la fuga de información en las compañías, son los

colaboradores, dado que voluntaria o involuntariamente, causan fuga de información, el eslabón

más débil en la cadena de la seguridad es el humano.

Esto genera una mala imagen o reputación corporativa, dado que es cuestionable la

incapacidad de controlar ataques o fuga de información crítica.

La seguridad de la información depende de tres factores o elementos muy importantes, las

herramientas tecnológicas, los procesos y las personas. La mayoría de compañías suele invertir

mucho dinero en herramientas tecnológicas, que garanticen la protección frente a los ataques o

fuga de información, sin embargo esto no es suficiente, si no se establecen políticas de seguridad

y se realizan sesiones de capacitación para sensibilizar al usuario en cuanto a la seguridad de la

compañía.

14

1 GENERALIDADES DEL TRABAJO DE GRADO

1.1 LÍNEA DE INVESTIGACIÓN

Este trabajo de investigación se torna alrededor de la necesidad de conocer la evolución

que las empresas u organizaciones colombianas se encuentran en el tema de seguridad de la

información, basados en el gran nivel de desarrollo del país, esta temática se inscribe en la línea

de “Software inteligente y convergencia tecnológica” avalada por la Universidad Católica de

Colombia, toda vez que al realizar este estudio, se pueden identificar diferentes variables que desde

el mismo, posibilitan tomar acciones preventivas y correctivas en el ámbito técnico, tecnológico y

financiero para buscar en un proceso de mejora la satisfacción del cliente y el posicionamiento

competitivo.

1.2 PLANTEAMIENTO DEL PROBLEMA

1.2.1 Antecedentes del problema

Asesorías contables y revisoría fiscal JAA SAS es una empresa que presta servicios

financieros de revisoría fiscal, auditoria externa e interna y soluciones contables, legales y

tributarias de alta calidad. Tiene clientes en sectores de petróleo, comercio, turismo, manufactura

y telecomunicaciones.

Dentro de las responsabilidades y políticas de la organización se encuentra, ofrecer

confidencialidad en el manejo de la información de los clientes dentro y fuera de la compañía y

cumpliendo los estándares de calidad para ofrecer un buen servicio.

Con 20 años de funcionamiento, Asesorías contables y revisoría fiscal JAA SAS requiere

los servicios de seguridad de la información enfocado al análisis de los riesgos que pueden causar

la fuga de información y que ponga en peligro la confidencialidad, la integridad y la disponibilidad

15

de los datos manejados, esto con el fin de tomar las acciones pertinentes para el fortalecimiento de

la seguridad dentro de la compañía.

Con base a la problemática planteada, es importante realizar esta investigación ya que la

información es uno de los activos más valiosos en las organizaciones y de ella depende tanto los

procesos internos como externos de negocio. Por ello es importante el aseguramiento de la misma

haciendo uso de mecanismos y herramientas que ayuden a resguardar la información ya que en

caso de caer en manos incorrectas podía ocasionar daños a la imagen y credibilidad.

En el mismo contexto, el desarrollo de esta investigación beneficiará a la empresa

Asesorías contables y revisoría fiscal JAA SAS como usuario final, ya que le permitirá a la misma

tomar decisiones de carácter importante sobre el estado de seguridad de su información y generar

medidas que garanticen el manejo seguro de la misma, evitando demandas y pérdidas financieras.

Por otro lado, beneficiará a todas aquellas empresas, grupos, sociedades, entre otras

organizaciones, que podrán basarse en el análisis generado para crear conciencia del estado de

seguridad de su información.

1.2.2 Pregunta de investigación

¿Cómo mitigar los riesgos que causan la fuga de información en la empresa Asesorías

contables y revisoría fiscal JAA SAS?

16

1.3 JUSTIFICACIÓN

La fuga de información es un problema que ha venido tomando fuerza en la actualidad.

Uno de los incidentes presentados por este evento, fue en el año 2007 donde se vio comprometido

un centro médico de Bilbao en España debido a un error accidental de un empleado que publico

alrededor de 11300 historias clínicas donde 400 de ellas son casos de aborto. Esta fuga de

información causo que el centro médico fuera multado pagando la suma de 150.000 euros. Una

vez detectada esta falencia, la compañía fortaleció sus controles de seguridad. (Moyano, 2007)

El desarrollo del presente proyecto, busca establecer las fuentes que permiten la

manifestación de este incidente de seguridad que cada día va tomando más fuerza y trae mayor

impacto en las compañías. Al identificar y entender las diferentes causas que pueden usarse para

llevar a cabo la fuga de información, se podrán utilizar los mecanismos adecuados para la

prevención, manejo y concientización a los empleados de las organizaciones para disminuir este

riesgo.

Al evidenciar cuales son los riesgos que causan la fuga de información en Asesorías

contables y revisoría fiscal JAA SAS, se lograra establecer procedimientos, mecanismos,

herramientas y controles que eviten que la información establecida como confidencial salga de la

compañía sin autorización.

El proceso de investigación beneficiara a la compañía, dado que, al encontrar las fuentes

de fuga de información, se podrán tomar controles para evitar que la información confidencial

caiga en manos no deseadas que utilicen esta información inadecuadamente, causando demandas

y pérdidas financieras que afecten directamente el buen nombre de Asesorías contables y revisoría

fiscal JAA SAS.

17

1.4 OBJETIVOS

1.4.1 Objetivo general

Realizar un análisis de riesgos para identificar las causas que generan fuga de información

en la empresa Asesorías contables y revisoría fiscal JAA SAS.

1.4.2 Objetivos específicos

Caracterización de activos y amenazas en la empresa Asesorías contables y revisoría fiscal

JAA SAS.

Caracterización de las medidas de seguridad asociadas a la prevención de la fuga de

información.

Evaluar los riesgos encontrados con el fin de establecer su nivel de criticidad.

Presentar los resultados del análisis de los principales factores de fuga de información en

la empresa Asesorías contables y revisoría fiscal JAA SAS.

18

2 MARCOS DE REFERENCIA

2.1 MARCO CONCEPTUAL

Figura 2.1 Mapa conceptual

19

En este trabajo de grado se utilizan conceptos que aquí se definirán para ayudar a entender

el enfoque y la temática del mismo.

Software. “Software es todo programa o aplicación creada o desarrollada para realizar una

tarea específica”.1

Hardware. El hardware hace referencia a cualquier componente físico que interactúa de

alguna manera con el computador.

Seguridad Informática. Se refiere a las características y condiciones de sistemas de

procesamiento de datos y su almacenamiento, para garantizar su confidencialidad,

integridad y disponibilidad.

Seguridad de la información. Cuando existe una información y la misma tiene una

relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

Fuga de información. Es el incidente que pone en poder de una persona ajena a la

organización, información confidencial y que sólo debería estar disponible para integrantes

de la misma (tanto todos como un grupo reducido)” (BORTNIK, 2010)

Riesgo informático. Un riesgo es un problema potencial que puede ocurrir en un proceso

de la organización o entidad.

Tecnología. “Es la aplicación coordinada de un conjunto de conocimientos (ciencia) y

habilidades (técnica) con el fin de crear una solución (tecnológica) que permita al ser

humano satisfacer sus necesidades o resolver sus problemas". (Areatecnología)

Activo: Se considera un activo a aquello que es de alta validez y que contiene información

de vital la cual es importante proteger.

Amenaza: Se define como un peligro potencial a la información a sistema. Una amenaza

se presenta cuando un atacante identifica una vulnerabilidad sobre un activo y es usada

para generar daños que afectan la compañía.

Vulnerabilidad: Una vulnerabilidad es una debilidad a nivel de software, hardware,

procedimientos o error humano que permite a un atacante aprovecharla para causar daño.

La vulnerabilidad de caracteriza por ausencia en controles de seguridad que permite ser

explotada.

20

Por ejemplo, una vulnerabilidad a nivel de software se puede presentar a nivel de sistema

operativo, en donde la no actualización a últimas versiones o instalaciones de parches

permiten generar huecos de seguridad que son aprovechados por un atacante.

Riesgo: Grado de exposición de un activo que cual permite la materialización de una

amenaza ocasionando daños a la compañía

Probabilidad: Estimación de ocurrencia de una evento el cual está relacionado a

características de las vulnerabilidades presentadas y el origen de la amenaza.

E-mail: Sistema que permite el intercambio de mensajes entre distintas computadoras

interconectadas a través de una red interna o internet.

Impacto: consecuencia generada a partir de la materialización de una amenaza. El impacto

es clasificado de acuerdo al daño que produce sobre el activo la cual puede ser alta, media

o baja.

Política de seguridad: Reglas establecidas, de acuerdo al comportamiento de los usuarios

y de los atacantes que permiten minimizar ataques hacia los activos de la información. Las

políticas van de la mano con el modelo de seguridad corporativo y son independientes de

las demás organizaciones ya que su objetivo es cubrir las necesidades y requerimientos

específicos de cada empresa.

Controles: Son aquellos mecanismos utilizados para monitorear y controlar acciones que

son consideradas sospechosas y que pueden afectar de alguna manera los bienes de la

compañía.

Riesgo residual: Se denomina riesgo residual al riesgo remanente como resultado de la

aplicación de medidas de seguridad sobre el activo.

Contramedida: Practica que reducen los riesgos identificados sobre los activos, Estas

acciones permiten disminuir el impacto a la probabilidad de ocurrencia. Generalmente

consiste en la instalación de dispositivos que mitiguen las amenazas, y mediante la

configuración adecuada de parámetros permiten establecer un nivel de seguridad.

Análisis de riesgos: Método que permite la identificación de las amenazas y

vulnerabilidades que ponen en riesgo los activos de información, y estima los posibles

riesgos que pueden causar si una amenaza llega a materializarse.

Tratamiento del riesgo: Aplicación de las medidas adecuadas que permitan minimizar o

mitigar el grado de los riesgos encontrados en un análisis de riesgos realizado previamente.

21

2.2 MARCO TEÓRICO

Para poder identificar cuáles son los riesgos que causan la fuga de información, es necesario

seguir una metodología que permita una adecuada gestión de la seguridad de la información.

Actualmente existe las normas OCTAVE, MAGERIT ISO 27001:2013 y la norma ISO 31000.

Figura 2.2 Marco Teórico

22

2.2.1 OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), es una técnica

de planificación y consultoría estratégica basada en riesgos cuyo enfoque está orientado a los

riesgos operativos, estado a nivel de tecnología y las prácticas de seguridad. (Huerta, 2012)

Muchas veces el análisis de riesgos es enfocado a la identificación y control de los riesgos de

la infraestructura y no se tienen en cuenta otros parámetros que también son causales de riesgos

y que tienen el mismo impacto para los activos. Octave centra sus estudios en los riesgos

organizacionales dentro de las compañías, verificando todos los aspectos que interactúan con

los bienes de gran valor minuciosamente lo que conlleva a un seguimiento diario de los

procesos. De esta forma, Octave verifica el funcionamiento de los bienes, analiza cómo está

constituida la infraestructura y como esta es usada para la protección de los activos y valida

las políticas de seguridad existentes con la finalidad de cumplir los objetivos de las empresas.

FASES

El método OCTAVE maneja tres fases para examinar la estructura de la organización y la

tecnología permitiendo la comprensión de las necesidades en la seguridad de la información.

A continuación, se describe en que consiste las fases del método OCTAVE:

Figura 2.3 Fases Metodología OCTAVE

23

2.2.2 METODOLOGÍA MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE

RIESGOS DE IT)

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el consejo superior

de administración electrónica, que investiga los riesgos que soportan los sistemas de

información y el entorno asociado. Con base a esto, se realiza un análisis de riesgos donde se

realiza una evaluación del impacto que puede causar la materialización de una amenaza sobre

el sistema de información y así determinar la vulnerabilidad que es aprovechada para ser

explotada. (PAe)

Los resultados obtenidos del análisis de riesgos permitirán la generación de recomendaciones

de acuerdo a las mejores prácticas en seguridad cuyo objetivo es la prevención, mitigación,

reducción o evitar los riesgos identificados previamente minimizando daños.

Figura 2.4 Metodología MAGERIT. “Tomada de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_M

agerit.html#.WC0gW_rhDIU”

24

Método de Análisis de Riesgos:

Este método consta de 4 fases generales:

MAR.1 caracterización de los activos: Se identifican los activos más críticos de la organización

verificando su relación entre los activos y su valor.

Tabla 2.1 MAR.1 Caracterización de activos - Metodología MAGERIT

MAR.2 Caracterización de las amenazas: Identificación y valorización de amenazas La

categorización se realiza de acuerdo al impacto y la probabilidad de ocurrencia. Como

resultado, se obtiene un mapa de riesgos.

25

Tabla 2.2 MAR.2 Caracterización de amenazas - Metodología MAGERIT

MAR.3 Caracterización de las medidas de seguridad: Identificación y valoración de las medidas

de seguridad existentes proporcionando una calificación por su efectividad frente a las

amenazas. Esta actividad comprende la aplicabilidad de cada una de las tecnologías de

seguridad para la prevención de amenazas e identificación de deficiencias en el sistema.

Tabla 2.3 MAR.3 Caracterización medidas de seguridad – metodología MAGERIT

MAR. 4 Estimación del estado del riesgo: Resultados de las actividades que determinan el

estado de riesgo (impacto, probabilidad), y las deficiencias encontradas en las medidas de

seguridad establecidas.

26

Tabla 2.4 MAR.4 Estimación del Riesgo – Metodología MAGERIT

2.2.3 ISO/IEC 27001:2013

ISO 27001 es una norma desarrollada por la ISO y la IEC que proporciona un modelo para la

organización de un sistema de gestión de seguridad de la información en las organizaciones el cual

se rige por un conjunto de procesos para establecer, implementar, mantener y mejorar el SGSI de

las empresas. (ISO 27000)

La norma ISO 27001 surge a partir de la norma BS 7799 -1 creada en 1995 donde su enfoque es

mostrar las buenas prácticas para la gestión de la seguridad de la información.

Hacia el año 1998 fue publicada la norma BS 7799 -2 que establece una serie de requisitos que un

sistema de gestión de seguridad de la información debe cumplir para obtener la certificación por

una entidad externa. En el año 2005 se integraron las dos partes de la norma BS 7799 para definir

el estándar ISO 27001

A través del uso de la presente norma, podremos formular contramedidas para el aseguramiento

de la información en las organizaciones. LA norma ISO 27002:2013 se encuentra alrededor de 133

controles con los cuales podemos guiarnos para dar recomendaciones teniendo en cuenta en lo

estipulado en la norma y no en la experiencia.

27

Figura 2.5 ISO 27001:2013

2.2.4 ISO 31000:2009

La norma ISO 31000 está orientada para proporcionar los principios integrales y directivas

correspondientes con la finalidad de dar gestión al riesgo a partir de un análisis y evaluación

de los mismos, así mismo, la norma brinda las mejores prácticas de gestión para garantizar la

protección y seguridad de la información en las organizaciones.

La presente norma busca mejorar la eficiencia corporativa, incentivando la gestión proactiva

en todas las áreas del negocio con el fin de minimizar las pérdidas.

28

Figura 2.6 ISO 31000. “Tomada de

http://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-

presentacion1%20modo%20de%20compatibilidad.pdf”

Para efectos de nuestro proyecto, vamos a realizar el análisis de riesgos basado la

metodología MAGERIT con el fin de realizar el análisis y gestión de los riesgos.

29

2.3 MARCO JURIDICO

Figura 2.7 Marco Jurídico

Para garantizar una viabilidad normativa, la ejecución de este análisis de riesgos debe estar

acorde con los requisitos legales y normativos de la actualidad.

La normatividad en la cual nos basamos para ejecutar este análisis de riesgos de la manera

más adecuada es la siguiente:

Privacidad y confidencialidad: Cualquier investigación que contenga datos de carácter

personal tiene que cumplir con la legislación de protección de datos, en Colombia las leyes que

regulan estos aspectos son:

30

Protección de Datos Personales

Ley 1581 de 2012

“La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las

personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en

bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se

refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado

en el artículo 20 de la misma”. (Congreso de la republica, 2012)

Derechos de autor

Ley 23 de 1982

Los autores de obras literarias, científicas y artísticas gozarán de protección para sus obras

en la forma prescrita por la presente Ley y, en cuanto fuere compatible con ella, por el derecho

común. También protege esta Ley a los intérpretes o ejecutantes, a los productores de programas

y a los organismos de radiodifusión, en sus derechos conexos a los del autor. (Alcaldia de Bogotá,

1982)

Ley 1403 de 2010

Por la cual se adiciona la Ley 23 de 1982, sobre Derechos de Autor, se establece una

remuneración por comunicación pública a los artistas, intérpretes o ejecutantes de obras y

grabaciones audiovisuales o “Ley Fanny Mikey”.

Desde el momento en que los artistas, intérpretes o ejecutantes autoricen la incorporación

de su interpretación o ejecución en una fijación de imagen o de imágenes y sonidos, no tendrán

aplicación las disposiciones contenidas en los apartes b) y c) del artículo 166 y c) del artículo 167

anterior. (Alcaldia de Bogotá, 1982)

31

Delitos Informáticos

Ley 1273 de 2009

El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273

“Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –

denominado “De la Protección de la información y de los datos”- y se preservan integralmente los

sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras

disposiciones”.

Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos

personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar

incurrir en alguno de estos tipos penales.

Privacidad y confidencialidad: Cualquier investigación que contenga datos de carácter

personal tiene que cumplir con la legislación de protección de datos, en Colombia la ley que regula

estos aspectos es

32

3 METODOLOGÍA

3.1 FASES DEL TRABAJO DE GRADO

Para lograr cumplir el desarrollo de esta investigación y con ello su alcance, se han definido

las siguientes fases: la fase de planeación, la fase de ejecución y la de verificación y control. En la

primera fase se desarrolla la propuesta y el anteproyecto los cuales, siendo aprobados, dan vía a la

segunda fase que se consolida en el desarrollo de las tareas para cumplir cada uno de los objetivos

planteados. La fase final correspondiente a la verificación y mejora es una fase que se aplica desde

la fase de planeación con el fin de tomar acciones correctivas sobre el desarrollo de las tareas que

así lo exijan.

3.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS

Las técnicas e instrumentos que se implementan para realizar esta investigación y lograr

desarrollar cada uno de los objetivos es el análisis de los procesos de la empresa y la

documentación asociada al tema de la problemática. Lo anterior se debe a que la información es

obtenida mediante la indagación y la observación de los procesos de Asesorías contables y

revisoría fiscal JAA SAS y otros estudios realizados. También se realizarán reuniones puntuales

para conocer los procesos de la empresa y entrevistas para observar como asumen los empleados

los procesos. Por último, se realizará el análisis y gestión de riesgos basándonos en la metodología

Magerit v.3 y para la formulación de contramedidas, nos guiaremos bajos las recomendaciones y

mejores prácticas de la norma ISO 27001:2013.

33

4 DESARROLLO (NUMERALES PROPIOS DEL DESARROLLO)

Para dar cumplimiento a los objetivos definidos en el proyecto de grado, realizamos un

levantamiento de información acerca de los procesos, procedimientos, inventarios y demás

información con el fin de realizar la caracterización de los activos e identificar las amenazas

asociadas a los mismos.

Para ello, tomamos como base la metodología MAGERIT para llevar a cabo la

caracterización de los activos donde es de suma importancia la información recolectada.

4.1 LEVANTAMIENTO DE INFORMACIÓN

A continuación, se relacionan los documentos entregados por Asesorías Contables y

Revisoría Fiscal JAA SAS para llevar a cabo la actividad:

Estructura Organizacional

Procesos y procedimientos contabilidad

Procesos y procedimientos declaración de renta.

Inventario

Procedimiento para el mantenimiento de equipos.

Manual políticas de protección de datos personales.

Mapa de procesos.

Política de seguridad informática

Procedimiento servicios de auditoría y revisoría fiscal

Entrevista

34

4.1.1 ESTRUCTURA ORGANIZACIONAL

En la figura 4.1 se encuentra la estructura organizacional de la compañía:

Nivel estratégico Nivel Táctico Nivel Operativo

Figura 4.1 Estructura Organizacional

35

4.1.2 MAPA DE PROCESOS

El mapa de procesos de JAA SAS establece los procesos que la empresa tiene

establecidos para el cumplimiento de los objetivos. En la figura 4.2 se encuentra el

diagrama de procesos:

Figura 4.2 Mapa de Procesos

4.1.3 ENTREVISTA.

Durante el levantamiento de información, se llevó a cabo entrevistas con el administrador

y jefe de sistemas para aclarar inquietudes y conocer en detalle el funcionamiento de la compañía

y como fortalecen la seguridad de la información a través de procesos, procedimientos y

mecanismos. Referente a estos temas, el Ingeniero José Moreno nos brindó la siguiente

información:

36

A que se dedican: Servicios de auditoría, contabilidad, revisoría fiscal y servicio tributario.

Cantidad de empleados: 43 empleados

Normatividad: Se rigen por la ley 1581 de 2012 (Protección de datos personales), el

decreto 1377 y control de calidad a través de la ISO 9000.

Área de sistemas:

Encargada de realizar mantenimiento y backup.

Manejan formatos de privacidad.

Políticas y acuerdos de confidencialidad.

En el contrato de trabajo especifican los roles, funciones y responsabilidades.

Maneja una política de interna de seguridad, pero no está formalizada.

No hay programas de concientización enfocada a los empleados y de acuerdo al rol que

desempeñan.

1 persona realiza todas las labores, en caso de enfermedad o cualquier evento no

planeado, no tiene personal de apoyo (backup).

EQUIPOS INFORMATICOS

Servidor de datos, telefonía y cámaras.

37

EQUIPOS TELECOMUNICACIONES

Firewall DLINK

Consola Antivirus: Control de navegación.

Switch (No hay controles de seguridad habilitados. Asignación de IPs de manera

estática).

Equipo Backup (Servidor espejo)

No hay controlador de dominio

Equipos con sistema operativo Windows XP, Windows vista (home, profesional,

Premium). No cuentan con permisos de administrador.

Realizan auditorías internas y externas para proceso crítico (contabilidad)

Roles y perfiles: Los usuarios pueden visualizar la información de todas las carpetas.

No hay trazabilidad de lo que hacen los usuarios con la información.

Impresora: Solicita usuario y contraseña para sacar copias a documentos, pero no para

imprimir.

Red Inalámbrica

Tienen definidos 2 SSID que son utilizados de la siguiente manera:

SSID Corporativa: Utilizada por gerentes y computadores portátiles autorizados.

38

SSID Invitados: Red con salida a internet diferente a la corporativa. Utilizada para

dispositivos móviles y visitantes (Todos los dispositivos móviles sin excepción se conectan al

SSID en mención).

ACCESO REMOTO

No manejan VPNs, utilizan la funcionalidad de escritorio remoto nativa del servidor y se

conectan por la dirección IP pública.

PROCESOS CRITICOS

Programa contable

INFRAESTRUCTURA:

Empresa ubicada en el tercer piso. Acceso a las instalaciones es a través de la recepción

(solicitan documento, persona a quien visita.) Ingreso a través de tarjeta inteligente.

Ingreso a las oficinas: recepción JAA SAS

CENTRO DE DATOS

A nivel físico se observa que las condiciones físicas del centro de datos no son adecuadas:

Puerta de acceso de madera con cerradura tipo pomo Dublín.

La pared no está construida hasta el techo por tanto es un punto de ingreso.

No hay techo falso.

39

Se encuentra una escalera sobre la pared de acceso al centro de datos.

El rack de comunicaciones no tiene la puerta instalada por temas de calentamiento de

equipos.

No hay sistema de refrigeración en el centro de datos.

En caso de falla de impresora principal se deja abierto el ingreso al centro de datos para

que los usuarios puedan imprimir, sin realizar ningún tipo de registro de acceso.

4.2 CARACTERIZACIÓN DE ACTIVOS.

Realizamos el análisis de la información recolectada, con el fin de identificar los activos

de JAA SAS. En las tablas 4.3 y 4.4 se encuentran los activos relacionados:

PROCESOS PERSONAS

Planeación Estratégica Gerente General

Dirección Gerencial Gerente Administrativo y Financiero

Mejoramiento de Calidad Director de Servicio de Auditoria y Revisoría

Fiscal

Desarrollo Comercial Director de Servicio de Contabilidad

Servicio de Auditoria y Revisoría Fiscal Líder de Servicio de Contabilidad

Servicio de Contabilidad Asistente de Servicio de Contabilidad

Servicio Asesoría Tributaria y Legal Auxiliar de Servicio de Contabilidad

Declaración de renta Director Servicios Tributaria y Legales

Talento Humano Líder de Servicios Tributarios y Legales

Administrativo Asistente de Servicios Tributarios y Legales

Control Interno Usuarios de Computo

40

Administrador redes seguridad y soporte técnico

Ingeniero de sistemas

Auditor sénior

Auditor Junior

Psicóloga

Abogado Líder

Abogado Junior

Tabla 4.1 Caracterización de los Activos.

EQUIPOS E

INFORMACIÓN INFORMACIÓN SOFTWARE

Equipos de Cómputo

(computadores, teléfonos) Sistemas de Información Software de contabilidad

Equipos Comunicaciones

(router, switch, Access point) Datos de información.

Software de documentación.

(Excel, Word, PowerPoint)

Centro de monitoreo

(Cámaras, servidor de

cámaras).

Bases de datos Software antivirus.

Centro de Comunicaciones

Documentos físicos

(contratos, balances,

folios)

Software de Comunicación.

Servidores (Datos, voz) Carta a la gerencia Software de circuito cerrado de

cámaras.

Centro de Datos Dictamen

Unidades externas de

información

41

Tabla 4.2 Caracterización de los Activos.

4.2.1 DEPENDENCIA ENTRE ACTIVOS

Se hace una valoración “rápida y aproximada” común para todos los activos en el dominio.

Es más rápido que la valoración por dependencias. Usando este método, todos los activos en el

dominio reciben los mismos valores.

Los activos definidos dependen directamente de los dominios definidos en este caso todos

los procesos que se manejan en la compañía Asesorías Contables y Revisoría Fiscal JAA SAS.

Figura 4.3 Dependencia entre activos Tomada de la Herramienta Pilar versión 5.4.9

Licencia de evaluación

42

4.3 CARACTERIZACIÓN AMENAZAS

Para realizar la caracterización de las amenazas, es necesario conocer las vulnerabilidades

asociadas a los activos de información. En la tabla 4.3 se encuentra relacionadas las

vulnerabilidades encontradas y las amenazas que puede aprovechar un atacante con fines

maliciosos

VULNERABILIDADES AMENAZAS

El servidor y los equipos de Comunicaciones

se encuentran en un área de fácil acceso. Acceso no autorizado a equipos e información.

Ausencia de logs de las operaciones de

usuarios Uso no autorizado de equipos

No hay directorio activo ni controlador de

dominio. Uso no autorizado de equipos

Ausencia de políticas de contraseña. Contraseñas débiles.

Falta de concientización de los empleados. Las sesiones de los computadores no son bloqueadas

por los usuarios al levantarse de los equipos

No hay autenticación para imprimir

información. Impresiones no autorizadas

La información no está clasificada de acuerdo

a su nivel de criticidad. Acceso no autorizado

No se cifra la información que es enviada a

través del correo electrónico corporativo. Interceptación de la información.

No hay registro de las carpetas físicas de los

clientes prestadas a los empleados. Hurto de medios o documentos

Falta de concientización de los empleados. Divulgación de información confidencial.

Presencia de correo basura Inyección de malware

Los equipos informáticos no manejan cifrado. Hurto de equipos

43

Hay un único administrador de tecnología. Manipulación de la información sin supervisión.

Tabla 4.3 Cuadro comparativo vulnerabilidades – amenazas.

4.4 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD ACTUALES ASOCIADAS A

LA PREVENCIÓN DE LA FUGA DE INFORMACIÓN.

Validando con el administrador de sistemas las medidas de seguridad actuales que se

encuentran implementadas en JAA SAS se encuentran:

Antivirus: Herramienta cuya funcionalidad mitiga la ejecución de software malicio en los

equipos corporativos de la compañía y evita su propagación.

Control de Dispositivos: Ino de los medios más propensos para la propagación de virus y

malware son los dispositivos extraíbles. Al utilizar una herramienta de control de dispositivos, se

asegura los equipos conectados a la red ya que bloquea los dispositivos USB de almacenamiento

Extraíble

Control de Navegación: Evita que los usuarios a través de los exploradores de Internet

ingresen a sitios catalogados como malintencionados por la herramienta, adicionalmente bloquea

categorías específicas de navegación, como correo web, evitando que los usuarios compartan

información a través de sitios web o a través de sus correos personales.

Controles de acceso al servidor de Archivos: Se tienen controles de acceso lógico y

perfiles de acceso a la información compartida en las carpetas del servidor de archivos.

Controles de acceso a los equipos: Todos los usuarios cuentan con un usuario y

contraseña para el acceso a los equipos.

44

Acuerdo de Confidencialidad: se establece la información confidencial y hasta que

niveles cada empleado la puede acceder.

Firewall: Permite el Bloqueo de acceso no autorizado desde fuera de la Compañía.

Acceso biométrico a las instalaciones de la compañía a través de registro (toma de huella

y foto) e ingreso a las instalaciones por medio de lectura de huella.

4.5 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS

Una vez identificados los activos y las amenazas, procedemos con la identificación de los

riesgos, Para ello; es importante mencionar que el riesgo es la probabilidad de que se materialice

una amenaza, afectando el logro de los objetivos y metas de una organización.

R RIESGO Es la probabilidad de que se materialice una amenaza

C= CONSECUENCIA

P= PROBABILIDAD

R=CXP

Materialización del Riesgo = Fuga de Información

45

4.5.1 RIESGOS IDENTIFICADOS

RIESGOS IDENTIFICADOS

Fuga de Información por impresión de información confidencial realizada por usuarios no autorizados.

Fuga de Información por no tener trazabilidad de las operaciones de usuarios.

Fuga de Información por uso inadecuado de contraseñas.

Fuga de Información por no tener trazabilidad de la información impresa por parte de los usuarios.

Fuga de Información por no tener trazabilidad de las carpetas físicas que se prestan a los empleados

Fuga de Información por acceso sin restricción al centro de datos por parte de los empleados de la

compañía.

Fuga de Información por no clasificación de la información de acuerdo a su criticidad.

Fuga de Información por utilización de sistema operativo (WXP) que ya no es soportado por el fabricante

Fuga de Información por no cifrar la información que es enviada a través del correo electronico

corporativo.

Fuga de Información por no cifrado de información alojada en los computadores de la compañía.

Fuga de Información por el no bloqueo de la sesión del computador, al levantarse de los puestos de

trabajo.

Fuga de Información porque no se cuenta con módulos anti spam dedicados 2C.

Tabla 4.4 Riesgos Identificados.

46

4.5.2 VALORACIÓN DE RIESGOS

Matriz de valoración de riesgos

1 2 3 4 5

No ha ocurrido en

la industria

Ha ocurrido en

la Industria

Ha ocurrido en

la empresa

Sucede varias

veces por año en la

empresa

Sucede varias

veces por año en el

área

5 5 10 15 20 25

4 4 8 12 16 20

3 3 6 9 12 15

2 2 4 6 8 10

1 1 2 3 4 5

0 0 0 0 0 0

Tabla 4.5 Matriz de Valoración de Riesgos.

CONSECUENCIA

No. Descripción

0 Ninguna afectación

1 Fuga de un documento

2 Fuga de Información publica

3 Fuga de Información reservada

4 Fuga de información confidencial

5 Fuga de información ultra secreta

Tabla 4.6 Consecuencia.

PROBABILIDAD

1 No ha ocurrido en la industria

2 Ha ocurrido en la Industria

3 Ha ocurrido en la empresa

4 Sucede varias veces por año en la empresa

5 Sucede varias veces por año en el área

Tabla 4.7 Probabilidad.

47

Para la valorización de los riesgos se toman los siguientes valores

Si la calificación del riesgo esta de 0 a 4 el riesgo es Bajo

Si la calificación del riesgo esta de 5 a 14 es Medio

Si la calificación del riesgo esta de 15 a 24 es Alto

Si la calificación del riesgo es 25 es Muy Alto

4.5.3 RIESGO VALORACION Y CONTROLES

De acuerdo a la escala definida para realizar la valoración de riesgos, en la tabla 4.8 se

encuentra relacionada el riesgo, el nivel de criticidad y los controles recomendaos de acuerdo a las

mejores prácticas de la norma ISO 27001.

RIESGO - VALORACIÓN – CONTROLES

ID RIESGO VALORACIÓN CRITICIDAD CONTROLES ISO

27001 CONTROLES

RI-ADM-

001

Fuga de Información por impresión de información

confidencial realizada por

empleados de la Compañía

25 Muy Alto

Implementar autenticación para la impresión

de documentos.

Data Loss Prevention

48

A 7.2.3

Se debe contar con un proceso formal, el cual

debe ser comunicado, para

emprender acciones contra empleados que hayan cometido una violación

a la seguridad de la información.

RI-ADM-

002

Fuga de Información por no

tener trazabilidad de las operaciones de usuarios.

15 Alto

Implementación de Directorio Activo

A 12.4.1

Se deben elaborar, conservar y revisar regularmente los registros

acerca de actividades del usuario,

excepciones, fallas y eventos de seguridad de la información.

A 12.4.3

Las actividades del administrador y del

operador del sistema se deben registrar, y los registros se deben proteger y

revisar con regularidad.

A 12.4.2

Las instalaciones y la información de registro

se deben proteger contra alteración y acceso no autorizado.

A 12.4.4

Los relojes de todos los sistemas de procesamiento de información

pertinentes dentro de una organización o

ámbito de seguridad se deben sincronizar con una única fuente de referencia

de tiempo.

RI-ADM-003

Fuga de Información por uso inadecuado de contraseñas.

15 Alto

Implementación Directorio Activo

A 9.4.3

Los sistemas de gestión de contraseñas deben

ser interactivos y deben

asegurar la calidad de las contraseñas.

RI-ADM-

004

Fuga de Información por no tener trazabilidad de la

información impresa por parte

de los usuarios.

15 Alto

Configuración en las Impresoras los usuarios

asociados a los números de documento y generación de log de trazabilidad

49

Fuga de Información por no

tener trazabilidad de las carpetas físicas que se prestan

a los empleados

15 Alto Establecer Planilla de Registros con firma de entrega y devolución

RI-ADM-005

Fuga de Información por

acceso sin restricción al centro de datos por parte de los

empleados de la compañía.

10 Medio

A 11.1.1

Se deben definir y usar perímetros de seguridad, y usarlos para proteger áreas

que contengan información confidencial o

crítica, e instalaciones de manejo de información.

A 11.1.2

Las áreas seguras se deben proteger mediante

controles de acceso

apropiados para asegurar que solo se permite el acceso a personal

autorizado

RI-ADM-

006

Fuga de Información por no clasificación de la información

de acuerdo a su criticidad.

10 Medio

A 8.2.1

La información se debe clasificar en función

de los requisitos legales, valor,

criticidad y susceptibilidad a divulgación o a modificación no autorizada

A 8.1.3

Se deben identificar, documentar e implementar reglas para el uso aceptable de

información y de activos asociados con

información e instalaciones de procesamiento de información.

A 8.2.2

Se debe desarrollar e implementar un conjunto adecuado de procedimientos para el

etiquetado de la información, de acuerdo con

el esquema de clasificación de información adoptado por la organización.

50

A 8.2.3

Se deben desarrollar e implementar

procedimientos para el manejo de activos, de acuerdo con el esquema de clasificación de

información adoptado por la organización.

RI-ADM-

007

Fuga de Información por

utilización de sistema

operativo (WXP) que ya no es

soportado por el fabricante

10 Medio Aislarlos de la red corporativa o actualizarlos a una versión de Windows que tenga

actualizaciones a la fecha

RI-ADM-

008

Fuga de Información por no cifrar la información que es

enviada a través del correo

electrónico corporativo.

10 Medio

emplear herramienta de cifrado ejemplo(

Winrar Con contraseña), o la que se desee utilizar

A 10.1.1

Se debe desarrollar e implementar una política

sobre el uso de controles criptográficos para la protección de la

información.

A 13.2.3

Se debe proteger adecuadamente la

información incluida en la mensajería

electrónica.

RI-ADM-

009

Fuga de Información por no

cifrado de información alojada

en los computadores de la compañía.

10 Medio

Emplear herramienta de Cifrado de Discos

duros( Windows trae BitLocker) o la que se

dese utilizar

A 10.1.1

Se debe desarrollar e implementar una política

sobre el uso de controles

criptográficos para la protección de la información.

51

RI-ADM-

010

Fuga de Información por el no bloqueo de la sesión del

computador, al levantarse de los puestos de trabajo.

4 Bajo

A 7.2.1

Todos los empleados de la organización, y en

donde sea pertinente, los

contratistas, deben recibir la educación y la formación en toma de

conciencia apropiada, y actualizaciones

regulares sobre las políticas y procedimientos de la organización pertinentes

para su cargo.

A 7.2.2 La dirección debe exigir a todos los

empleados y contratistas la aplicación de la seguridad de la información de acuerdo

con las políticas y

procedimientos establecidos por la organización.

A 11.2.9 Se debe adoptar una política de escritorio limpio para los papeles y medios

de almacenamiento removibles, y una política

de pantalla limpia en las instalaciones de procesamiento de

información.

Tabla 4.8 Riesgo, Valoración y Controles.

52

4.5.4 RESULTADOS DEL ANALISIS

Al realizar esta investigación, y después de haber evaluado los riesgos, relacionamos los

resultados del análisis de riesgos realizado.

El factor más alto que genera el riesgo de fuga de información en la compañía Asesorías

contables y revisoría fiscal JAA SAS:

Fuga de Información por impresión de información confidencial realizada por empleados

de la Compañía.

Esto se presenta debido a que no se cuenta con ningún control que permita monitorear las

impresiones que realizan los empleados, en las cuales puede presentarse impresiones de

documentos confidenciales y así salir de la compañía, sin que se presente ninguna trazabilidad.

Adicionalmente también se identifican también 4 riesgos altos que pueden generar que se

presente fuga de información en alto grado.

53

A continuación, relacionamos las gráficas de los factores de fuga de Información

en la compañía.

Figura 4.4 Factores de Fuga de Información

Figura 4.5 Cantidad de Riesgos

Factores de Fuga de Informacion

Riesgo Muy Alto Riesgo Alto Riesgo Medio Riesgo Bajo

1

4

5

1

Cantidad de Riesgos

Muy alto Alto Medio Bajo

54

Controles Sugeridos para cada Riesgo

Figura 4.6 Controles por Riesgo

3

9

12

3

Controles Por Riesgos

Muy Alto Alto Medio Bajo

55

5 CONCLUSIONES Y RECOMENDACIONES

Asesorías Contables y Revisoría Fiscal JAA SAS, cuenta con algunos controles para evitar

la fuga de información en la compañía, pero estos no garantizan un alto nivel de

efectividad, dado que algunos son muy poco efectivos o simplemente no se están

ejecutando.

Asesorías contables y Revisoría Fiscal JAA SAS, piensa que al ser una empresa pequeña

no está expuesta a ningún ataque externo o no presentara algún tipo de fuga de información

interna, pero al contrario si son exitosos los ataques contra grandes compañías, que poseen

infraestructuras de seguridad robustas, en mayor medida contra entidades con poca

infraestructura de seguridad, además cualquier compañía siempre estará expuesta a que un

empleado comparta por correo electrónico, imprima, coloque en un sitio web, o transfiera

a sus dispositivos de almacenamiento extraíble USB, información confidencial de la

compañía.

En Colombia las pequeñas y medianas empresa no invierten en soluciones para fortalecer

la seguridad de la información, dado que al no ser el Core de negocio y como no realizan

un seguimiento acerca de los incidentes de seguridad críticos en los que tengan afectación

de tipo económico o de reputación no tienen forma de identificar de forma eficiente los

riesgos a los que están expuestos. Por esta razón, las empresas siguen trabajando con lo

que se tiene, exponiéndose a que se puedan presentar fugas de información.

Se recomienda fortalecer la política de seguridad que maneja la compañía realizando

ajustes enfocados a los objetivos de negocio.

Se recomienda realizar sesiones de concientización en seguridad de la información con los

empleados de la compañía.

56

Se recomienda realizar una clasificación de la información de acuerdo a su sensibilidad y

criticidad.

Se recomienda revisar la posibilidad de la implantación de un sistema Software DLP (Data

Loss Prevention), que garantice que la información clasificada como confidencial, no sea

enviada fuera de la compañía por funcionarios no autorizados.

Se recomienda reforzar las medidas de control de acceso físico para ingreso al centro de

datos, colocando un sistema biométrico y llevando un control de los empleados

autorizados.

Es importante realizar la configuración del servicio de directorio activo con el fin de tener

una trazabilidad de los movimientos que realizan los usuarios al consultar información de

la compañía. Al realizar este proceso de forma manual, se puede presentar errores de

asignación y retiro de privilegios sobre la información contenida en el servidor.

Es importante hacer cumplir la política de seguridad, ya que su no cumplimiento puede

ocasionar perdidas de imagen y de reputación del negocio.

Es importante que se realice un monitoreo, seguimiento y aplicación de las actualizaciones

tanto de sistema operativo de los equipos, como actualizaciones de aplicación y software

contable para evitar que un atacante pueda aprovechar estas brechas de seguridad y se lleve

a cabo la fuga de información.

Es importante realizar actualizaciones programadas y periódicas de las firmas de antivirus,

antispyware y demás aplicaciones que ayuden en la prevención de amenazas potenciales.

Es importante que por parte de la gerencia general y el administrador de tecnología no

pierdan de vista que la fuga de información se puede mitigar si toman los controles

57

necesarios para su aseguramiento y no olvidar que el eslabón más débil son las personas;

por tanto, no hay que perder de vista las acciones de los empleados dentro de la empresa.

58

6 BIBLIOGRAFÍA

Alcaldia de Bogotá, S. (28 de 01 de 1982). alcaldiabogota.gov.co. Recuperado el 16 de 10 de

2016, de LEY 23 DE 1982:

http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3431

AMAYA, C. G. (2015 de 01 de 08). welivesecurity. Recuperado el 15 de 03 de 2016, de

http://www.welivesecurity.com: http://www.welivesecurity.com/la-es/2015/01/08/10-

anos-fuga-de-informacion

Areatecnología. (s.f.). www.areatecnología.com. Recuperado el 29 de 04 de 2016, de

www.areatecnología.com: http://www.areatecnologia.com/que-es-tecnologia.html

BORTNIK, S. (13 de 04 de 2010). www.welivesecurity.com. Recuperado el 28 de 04 de 2016, de

www.welivesecurity.com: http://www.welivesecurity.com/la-es/2010/04/13/que-es-la-

fuga-de-informacion/

CHAMPAGNAT. (s.f.). Recuperado el 29 de 04 de 2016, de CHAMPAGNAT Dinamismos en los

sitios Web: http://www.champagnat.org/000.php?p=36

CHAMPAGNAT. (s.f.). CHAMPAGNAT Historias de las conferencias generales Web.

Recuperado el 29 de 04 de 2016, de http://www.champagnat.org/000.php?p=36

Congreso de Colombia. (04 de 01 de 2009). MINTIC. Recuperado el 25 de 09 de 2016, de

http://www.mintic.gov.co/portal/604/w3-article-3705.html

59

Congreso de la republica. (18 de 10 de 2012). secretariasenado.gov.co. Recuperado el 10 de 10

de 2016, de Ley 1581 2012:

http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html

ESTUDIOSEIJO. (s.f.). www.estudioseijo.com. Recuperado el 29 de 04 de 2016, de

http://www.estudioseijo.com/noticias/web-10-web-20-y-web-30.htm

Huerta, A. (02 de 04 de 2012). www.securityartwork.e. Recuperado el 29 de 04 de 2016, de

Introducción al análisis de riesgos – Metodologías (II):

http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-

%E2%80%93-metodologias-ii/

ISO 27000. (s.f.). http://www.iso27000.es/. Recuperado el 10 de 05 de 2016, de

http://www.iso27000.es/

Moyano, A. C. (2007). segu-info. Recuperado el 21 de 05 de 2016, de http://blog.segu-

info.com.ar/2013/04/fuga-de-informacion-la-mayor-amenaza.html

PAe, P. (s.f.). http://administracionelectronica.gob.es. Recuperado el 06 de 05 de 2016, de

MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de

Información:

http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/p

ae_Magerit.html