Post on 20-May-2020
transcript
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 1 de 37
ANEXO B
INTERFACES Y SOLUCIONES S.A.S
INFORME DE HALLAZGOS IH-SGSI-01
Elaborado Por: Revisado Por: Aprobado Por:
Yasmin Suárez Adriana Moyano
Ing. Jairo Hernández Gutiérrez
Ing. Jorge Pérez Acosta
Fecha: junio 2017 Fecha: junio 2017 Fecha: junio 2017
Cargo: Pasantes a cargo del SGSI
Cargo: Director y Asesor del trabajo de grado
Cargo: Director de Proyectos I&S
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 2 de 37
CONTENIDO
INTRODUCCIÓN ............................................................................................................. 3
RIESGOS Y VULNERABILIDADES EN I&S .................................................................... 4
METODOLOGÍA ........................................................................................................... 5
Inventario de activos ................................................................................................. 6
Valoración de activos ................................................................................................ 9
Análisis de Amenazas ............................................................................................. 13
Valoración del riesgo ............................................................................................... 19
CONCLUSIONES ........................................................................................................... 35
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 3 de 37
INTRODUCCIÓN
Interfaces y Soluciones(I&S) ha apoyado la gestión de sus procesos con recursos
tecnológicos que han facilitado sus operaciones y le han permitido escalar en el
mercado de las integraciones. En sus actividades la información es un activo valioso,
por eso, se ve expuesta a incidentes de seguridad que amenazan la confidencialidad,
integridad y disponibilidad de la misma.
En el presente documento se informa de los hallazgos correspondientes a riesgos y
vulnerabilidades que pueden afectar el buen desempeño del área de Tecnologías de la
Información de la Entidad. Se hace uso de la metodología MAGERIT, para la gestión de
riesgos, a través de la cual se identifican los activos de la organización, las posibles
amenazas y el impacto que puedan ocasionar. Así mismo, se definen los criterios de
clasificación según la probabilidad de ocurrencia e impacto.
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 4 de 37
RIESGOS Y VULNERABILIDADES EN I&S La información es un activo esencial y decisivo para la organización. Es posible encontrarla en diferentes formatos: escrita en papel, impresa, digital, en videos, conversaciones, entre otros. Debido a que se encuentra disponible en diversos ambientes está expuesta a amenazas. Los daños que puede ocasionar una amenaza a la organización están determinados por las vulnerabilidades. Una vulnerabilidad es un defecto o debilidad en el diseño, implementación u operación que facilita la materialización de una amenaza. Tras la evaluación del estado de I&S con respecto a la norma ISO/IEC 27001:2013 y observación directa en la organización se encuentran las siguientes vulnerabilidades:
● No existen documento(s) de políticas, procesos, procedimientos y/o controles de seguridad de SI
● No existen condiciones contractuales de seguridad con terceros y outsourcing ● No existen programas de formación en seguridad para los empleados, clientes y
terceros ● No se revisa la organización de la seguridad periódicamente por una empresa
externa ● No existe un canal y procedimientos claros a seguir en caso de incidente de
seguridad ● No se dispone de una clasificación de la información según la criticidad de la
misma ● No existen procedimientos para clasificar la información ● No existen procedimientos de etiquetado de la información ● No se controla y restringe la asignación y uso de privilegios en entornos multi-
usuario ● No existe una revisión de los derechos de acceso de los usuarios ● No se protege el acceso de los equipos desatendidos ● No existe una política de uso de los servicios de red ● No existe un control de la conexión de redes ● No existe un control del routing de las redes ● No existe una identificación única de usuario y una automática de terminales ● No se ha incorporado medidas de seguridad a la computación móvil
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 5 de 37
● No existen controles criptográficos ● No existe protección frente a fallos en la alimentación eléctrica ● No existe seguridad en el cableado frente a daños e intercepciones ● No existen logs de los fallos detectados ● No se han establecido controles para realizar la gestión de los medios
informáticos(cintas, discos, removibles, informes impresos) ● No se controlan las vulnerabilidades de los equipos ● No están establecidas responsabilidades para asegurar una respuesta rápida,
ordenada y efectiva frente a incidentes de seguridad ● No se realiza gestión de contraseñas de forma segura y periódica
Por lo tanto, como primera medida se debe implementar un modelo de gestión de riesgos. METODOLOGÍA Como metodología para la gestión de riesgos en el plan de implementación del SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información1. MAGERIT presenta los siguientes objetivos:
Directos: 1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) 3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control
Indirectos: 4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.
1 PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 6 de 37
Inventario de activos
Para empezar con la gestión de riesgos se requiere un inventario de activos. Los activos son componentes o funcionalidades de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos2. Entre los hallados en I&S tenemos: Fuente: Elaboración Propia
Tabla 1. Lista de activos
ID Tipo Activo Descripción
ACT_0001 Comunicaciones Internet
Navegador: Chroome Acceso a plataformas: Azure, Amazon, Arvixe Acceso inalámbrico a través de la tarjeta de red de los equipos Servicio contratado con Claro: 5 Megas
ACT_0002 Comunicaciones Intranet
cableado categoría 5E Router suministrado por Claro, sin configuraciones adicionales a las por defecto
ACT_0003 Comunicaciones Telefonía Panasonic KX-UT123
ACT_0004 Datos Backups
Se realizan backups manuales de: - BD GTIntegration (base de datos sistema de integración) - BDI (base de datos intermedia) - Satélites (código fuente) - Generic Transfer Integration (sistema de integración) - Ejecutables y archivos de configuración
ACT_0005 Datos
Código fuente aplicaciones de planta y administrativas
Código en Visual Basic .NET de: - Script estructura GTIntegration - Script datos GTIntegration - Ejecutables y archivos config de los satélites/aplicativos
2 [UNE 71504:2008]
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 7 de 37
ACT_0006 Datos Bases de datos corporativas
Bases con información de: - Usuarios generictransfer.com - Documentos configurados - Información contable - Clientes - Cotizaciones - Proyectos entregados - Proyectos en proceso - Consultorías y Capacitaciones - Conectores - Modelo entidad relación Siesa - Programas - Formatos documentos (manuales, accesos) - Versiones GTI (sistema de integración) y satélites.
ACT_0007 Hardware Router Inalámbrico
Gateway MG6002N(Proporcionado por Claro) WAN 1x10/100 Mbps wan Ethernet USB para 2G/3G/4G USB Modem connectivity LAN 4x10/100/1000 Mbps Ethernet Port
ACT_0008 Hardware Servidor de Correos Gmail empresarial
ACT_0009 Hardware Servidor para pruebas de BD opera con Windows Server 2012 R2
ACT_0010 Hardware Impresoras Epson Expression XP 231
ACT_0011 Hardware Portátiles
Funcionan como estaciones de trabajo para el área de tecnologías de la información. Los equipos son de las siguiente marcas: - Notebook HP 14-ac186la - Intel Core i3-5005U 8 Gigas RAM - Notebook HP 14-v007la - AMD A10- 5745M APU - 8 Gigas RAM - Notebook HP x64-based PC - AMD A10-7300 - 12 Gigas RAM
ACT_0012 Hardware Unidades de CD , DVD y Memorias extraíbles
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 8 de 37
ACT_0013 Hardware
Discos duros de servidores y estaciones de trabajo
ACT_0014 Hardware Discos externos
Con información correspondiente a: - Ejecutables y archivos de configuración de los satélites(programa que consume el Web Service de siesa), aplicaciones, servicios web, GTI
ACT_0015 Hardware UPS
8 tomas. Con autonomía de 5 a 20 min Da soporte a 5 equipos.
ACT_0016 Instalaciones Sedes de operación
Cuenta con dos sedes: - Bogotá - Medellín
ACT_0017 Instalaciones Sala eléctrica Cuarto de suministro eléctrico del edificio
ACT_0018 Instalaciones Sistema de aire acondicionado
Perteneciente al edificio donde funcionan las oficinas de la organización
ACT_0019 Instalaciones oficinas Ubicadas en el 2 piso del edificio
ACT_0020 Recursos Humanos Dirección
Se cuenta con: - Director comercial - Director de proyectos - Administración
ACT_0021 Recursos Humanos Coordinador de proyectos
Se cuenta con: - 2 coordinadores de proyectos de integraciones - 1 líder de proyectos de generictransfer.com
ACT_0022 Recursos Humanos Implementadores
- Se cuenta en total con 7 implementadores
ACT_0023 Recursos Humanos Soporte
- Se cuenta en total con 2 personas de soporte
ACT_0024 Software Antivirus: Avast
ACT_0025 Software
Bases de datos: SQL server 2014 Management Studio
ACT_0026 Software Correo electrónico: Exchange
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 9 de 37
ACT_0027 Software ERP Siesa Enterprise
ACT_0028 Software Paquete Office Microsoft Office Professional Plus 2016
ACT_0029 Software Redmine
Para la Gestión de proyectos: - seguimiento de tareas - cronograma - control de versiones
ACT_0030 Software Sistema operativo Microsoft Windows 10
ACT_0031 Software Skype
ACT_0032 Software Visual Studio .Net Visual Studio Professional 2015
ACT_0033 Software SQl developer SQL Server 2014 Management Studio
ACT_0034 Software Servidor de aplicaciones Opera con Windows Server 2012 R2
ACT_0035 Software Servidor Web Opera con Windows Server 2012 R2
ACT_0036 Software Windows server 2008 R2
ACT_0037 Software Windows server 2012 Fuente: Elaboración Propia
Valoración de activos
Siguiendo la metodología se define una tabla de valoración de activos que depende de tres dimensiones de gran importancia para la seguridad de la información, las cuales son: confidencialidad, integridad y disponibilidad.
Valoración de acuerdo a la Confidencialidad La confidencialidad se refiere a que la información debe llegar únicamente a las personas autorizadas. Esta es definida según las características de la información
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 10 de 37
gestionada y procesada por el activo. Para la presente valoración se toma en cuenta los siguientes criterios de clasificación.
Tabla 2. Criterios de valoración de Confidencialidad
Escala de Valoración Valoración Confidencialidad
3 Alto
El activo gestiona y/o procesa Información Reservada, su uso inadecuado puede generar consecuencias graves para la organización.
Información disponible sólo para un proceso de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo de índole legal, operativa, de pérdida de imagen o económica.
2 Medio
El activo gestiona y/o procesa Información Clasificada, su uso inadecuado puede generar medianas consecuencias a la organización, como por ejemplo, reclamaciones de las áreas que soporta.
Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario.
1 Bajo
El activo gestiona y/o procesa Información Pública, no genera consecuencias negativas para la organización.
Información que puede ser entregada o publicada sin restricciones a cualquier persona dentro y fuera de la entidad, sin que esto implique daños a terceros ni a las actividades y procesos de la entidad.
0 No Clasificada
Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados.
Deben ser tratados como activos de INFORMACIÓN RESERVADA hasta el momento en que se defina una valoración entre la escala del 1-3 definida.
Fuente: Elaboración Propia
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 11 de 37
Valoración de acuerdo a la Integridad
La integridad es una característica o propiedad de la información que garantiza que ésta no ha sido alterada (modificada o destruida) de manera no autorizada. Los criterios de valoración de integridad para los activos de I&S se describen a continuación:
Tabla 3. Criterios de valoración de Integridad
Escala de Valoración Valoración Integridad
3 Alto
El activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la entidad. Es información que apoya la toma de decisiones estratégicas de la organización. Los errores deben ser solucionados de inmediato.
2 Medio
El activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada a funcionarios de la entidad. La información gestionada por el activo permite una brecha de errores que pueden ser solucionados a corto plazo.
1 Bajo
El activo gestiona Información cuya pérdida de exactitud y completitud conlleva un impacto no significativo para la entidad o entes externos. Los errores pueden ser solucionados en un mediano plazo
0 No Clasificada
El activo de información debe ser incluido en el inventario y aún no ha sido clasificado. Debe ser tratado como activo de Integridad nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.
Fuente: Elaboración Propia
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 12 de 37
Valoración de acuerdo a la Disponibilidad
La disponibilidad asegura que los usuarios autorizados tienen acceso a la información y activos asociados cuando lo requieren, es decir,con esta propiedad se previene la denegación de acceso a datos y servicios de información autorizados. En la tabla se presentan los criterios de valoración de disponibilidad para los activos de I&S.
Tabla 4. Criterios de valoración de Disponibilidad
Escala de Valoración Valoración Disponibilidad
3 Alto
El activo apoya los procesos críticos de la entidad y se requiere de una recuperación inmediata en caso de falla. Puesto que, la no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos.
2 Medio
El activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo no mayor a 3 días. Puede generar repercusiones económicas, legales o de imagen moderadas.
1 Bajo
El activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo superior a 3 días. La no disponibilidad de la información puede afectar la operación normal de la entidad o entes externos, pero no conlleva a implicaciones legales, económicas o de imagen.
0 No Clasificada
Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados. Deben ser tratados como activos de Disponibilidad de nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.
Fuente: Elaboración Propia
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 13 de 37
Análisis de Amenazas
Las amenazas suelen ser causas potenciales de incidentes que ocasionan daños al sistema de información o a la organización. Tras el análisis de los activos en I&S se detectan las siguientes amenazas. Fuente: Elaboración Propia Tabla 5 Lista de Amenazas
AMENAZA # Activos afectados
Errores de mantenimiento / actualización de programas (software) 14
Fuga de información 12
Errores de configuración 11
Errores de mantenimiento / actualización de equipos (hardware) 9
Ingeniería social 8
Robo 8
Acceso no autorizado 7
Alteración de la información 7
Difusión de software dañino 6
Errores del administrador 6
Abuso de privilegios de acceso 4
Caída del sistema por sobrecarga 4
Corrupción de la información 4
Denegación de servicio 4
Indisponibilidad del personal 4
Degradación de los soportes de almacenamiento de la información 3
Desastres naturales 3
Fuego 3
Corte del suministro eléctrico 2
Errores de los usuarios 2
Extorsión 2
Interceptación de información (escucha) 2
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 14 de 37
Introducción de falsa información 2
Pérdida de equipos 2
Condiciones inadecuadas de temperatura o humedad 1
A continuación se listan las amenazas detectadas para los activos encontrados en I&S.
● Amenazas para activos de Comunicaciones Fuente: Elaboración Propia Activos de Comunicaciones
Amenaza Internet Intranet Red de telefonía
Alteración de la información X
Difusión de software dañino X X
Fuga de información X X
Ingeniería social X X
Interceptación de información (escucha) X X
Introducción de falsa información X X
Suma total 5 5 1
● Amenazas para activos de Datos
Fuente: Elaboración Propia Activos de Datos
Amenaza
Backups de usuarios
corporativos
Bases de datos
corporativas
Código fuente aplicaciones de
planta y administrativas
Acceso no autorizado X X X
Alteración de la información X X
Corrupción de la información X X X
Denegación de servicio X
Difusión de software dañino X
Fuga de información X X X
Suma total 3 4 6
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 15 de 37
● Amenazas para activos de Hardware
Fuente: Elaboración Propia Activos de Hardware P1
Amenaza
Discos duros de servidores y estaciones
de trabajo
Discos externos
información de backups
Equipos de comunicacione
s
Alteración de la información X
Caída del sistema por sobrecarga
Corrupción de la información X
Corte del suministro eléctrico
Errores de mantenimiento / actualización de equipos (hardware) X X X
Extorsión X
Fuga de información X X
Ingeniería social X
Pérdida de equipos X
Robo X X X
Suma total 5 5 3 Fuente: Elaboración Propia Activos de Hardware P2
Amenaza Impresoras Portátile
s Router Inalámbrico
Alteración de la información
Caída del sistema por sobrecarga X
Corrupción de la información
Corte del suministro eléctrico
Errores de mantenimiento / actualización de equipos (hardware) X X X
Extorsión X
Fuga de información
Ingeniería social X
Pérdida de equipos X
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 16 de 37
Robo X X X
Suma total 2 5 3 Fuente: Elaboración Propia
Activos de Hardware P3
Amenaza Servidor de
Correos
Unidades de CD , DVD y Memorias
extraíbles UPS
Alteración de la información X
Caída del sistema por sobrecarga X
Corrupción de la información
Corte del suministro eléctrico X
Errores de mantenimiento / actualización de equipos (hardware) X X X
Extorsión
Fuga de información X
Ingeniería social
Pérdida de equipos
Robo X X
Suma total 6 2 1
● Amenazas para activos de Instalaciones
Fuente: Elaboración Propia Activos de Instalaciones
Amenaza
Centro de procesamiento de datos principal
Sala eléctrica
Sistema de aire acondicionado
Ubicación local de infraestructura y comunicaciones
Condiciones inadecuadas de temperatura o humedad X
Corte del suministro eléctrico X
Desastres naturales X X X
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 17 de 37
Fuego X X X
Suma total 2 3 1 2
● Amenazas para activos de Recursos Humanos Fuente: Elaboración Propia Activos de Recursos Humanos
Amenaza Analistas funcionales Desarrolladores
Director de informática
Técnicos de operación
Abuso de privilegios de acceso X X X X
Fuga de información X X X X
Indisponibilidad del personal X X X X
Ingeniería social X X X X
Suma total 4 4 4 4
● Amenazas para activos de Software
Fuente: Elaboración Propia Activos de Software P1
Amenaza Antivirus:
Avast
Bases de datos: SQL server 20X4 Management
Studio
Correo electrónico: Exchange
Windows server 2008
R2
Acceso no autorizado X X
Alteración de la información
Caída del sistema por sobrecarga
Degradación de los soportes de almacenamiento de la información X
Denegación de servicio X
Difusión de software dañino X
Errores de configuración X X
Errores de los usuarios
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 18 de 37
Errores de mantenimiento / actualización de programas (software) X X X X
Errores del administrador X X
Suma total 2 5 3 3
Fuente: Elaboración Propia Activos de Software P2
Amenaza Servidor de aplicaciones
ERP : Siesa Enterprise
Paquete Office
Acceso no autorizado X
Alteración de la información X
Caída del sistema por sobrecarga X
Degradación de los soportes de almacenamiento de la información X
Denegación de servicio X
Difusión de software dañino X
Errores de configuración X X
Errores de los usuarios X
Errores de mantenimiento / actualización de programas (software) X X X
Errores del administrador
Suma total 8 3 1 Fuente: Elaboración Propia
Activos de Software P3
Amenaza Servidor
Web
Sistema operativo Microsoft Windows Skype
Windows server 20X2
Acceso no autorizado X
Alteración de la información X
Caída del sistema por sobrecarga X
Degradación de los soportes de almacenamiento de la información X
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 19 de 37
Denegación de servicio X
Difusión de software dañino X
Errores de configuración X X X X
Errores de mantenimiento / actualización de programas (software) X X X X
Errores del administrador X X
Suma total 8 3 2 3 Fuente: Elaboración Propia Activos de Software P4
Amenaza
Redmine (Gestión de proyectos) SQl developer
Visual Studio .Net
Acceso no autorizado
Alteración de la información
Caída del sistema por sobrecarga
Degradación de los soportes de almacenamiento de la información
Denegación de servicio
Difusión de software dañino
Errores de configuración X X X
Errores de los usuarios X
Errores de mantenimiento / actualización de programas (software) X X X
Errores del administrador X X
Suma total 4 3 2
Valoración del riesgo
La valoración del riesgo permite estimar la magnitud de los riesgos a los que está expuesta la organización. La materialización de una amenaza consta de dos elementos: probabilidad e impacto, estos determinan el nivel del riesgo.
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 20 de 37
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 21 de 37
Probabilidad La probabilidad indica la posibilidad de que algún hecho se produzca3, por lo tanto, se puede definir, medir o determinar de forma objetiva o subjetiva, cualitativa o cuantitativamente, en términos generales o de forma matemática y según el caso bajo un periodo de tiempo dado. De acuerdo a la probabilidad de ocurrencia de las amenazas se determinan los siguientes criterios de valoración:
Tabla 6. Valoración de Probabilidad
Identificador Escala de Valoración Valoración Descripción
A 3 Alto La amenaza se puede materializar mínimo una vez al mes
M 2
Medio La amenaza se puede materializar a lo sumo una vez en el semestre
B 1 Bajo La amenaza se puede materializar a lo sumo una vez al año
Fuente: Elaboración Propia Impacto El impacto hace referencia a las consecuencias sobre los activos resultantes de la materialización de una amenaza. Según el impacto se determinan los siguientes criterios de valoración: Fuente: Elaboración Propia
Tabla 7. Valoración de Impacto
Identificador Escala de Valoración
Valoración Descripción
A 3 Alto La ocurrencia del evento tiene impacto a nivel de confidencialidad, integridad y/o disponibilidad de la información poniendo en riesgo la reputación de la empresa y/o inconvenientes legales.
M 2 Medio La ocurrencia del evento tiene impacto a nivel de confidencialidad, integridad y/o disponibilidad de la información sin poner en riesgo la reputación de la empresa o necesidad de medidas legales.
B 1 Bajo La ocurrencia del evento no tiene consecuencias relevantes para la organización.
3 Magerit v3
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 22 de 37
Estimación del Riesgo Para la gestión del riesgo en I&S se modela el impacto, probabilidad y riesgo por medio de escalas cualitativas, como se evidencio en las tablas anteriores. Así, por la combinación probabilidad - impacto se define el siguiente mapa con el que se estima el nivel o estado de riesgo.
Fuente: Elaboración Propia MAPA DE RIESGO
Probabilidad
Alta RM RC RC
Media RB RM RC
Baja RB RB RM
Bajo Medio Alto
Impacto
A continuación se describe con mayor claridad a qué corresponde la valoración del riesgo: Fuente: Elaboración Propia
Tabla 8. Estimación del Riesgo
Identificador Escala de
Valoración Valoración Descripción
RC 3 Riesgo Crítico
Indica que el riesgo supera el nivel de aceptación de la organización. Por lo tanto, se deben priorizar las medidas para mitigación y planes de acción de forma inmediata.
RM 2 Riesgo Moderado
Indica un riesgo elevado que puede estar en los niveles de aceptación de la entidad. Sin embargo, requiere medidas de mitigación dentro de un límite de tiempo determinado y preferiblemente a mediano plazo.
RA 1
Riesgo Bajo
Indica un nivel de riesgo normal, en donde la relación de impacto y probabilidad es baja y pueden ser gestionados con procedimientos rutinarios. No se deben descartar acciones que permitan mitigar al máximo su ocurrencia.
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 23 de 37
Tras la valoración, de ocurrencia e impacto de las amenazas sobre los activos, de forma general se obtuvieron los siguientes resultados en la estimación del riesgo para los tipos de activos hallados en I&S:
Tabla 9. Resumen Valoración del riesgo
Tipo de Activo Amenaza
# Activos en Riesgo Crítico
# Activos en Riesgo
Moderado # Activos en Riesgo Bajo
# Activos Afectados
Comunicaciones Alteración de la información 1 1
Comunicaciones Introducción de falsa información 2 2
Comunicaciones Fuga de información 2 2
Comunicaciones Difusión de software dañino 2 2
Comunicaciones Ingeniería social 2 2
Comunicaciones Interceptación de información (escucha) 1 1 2
Datos Alteración de la información 2 2
Datos Acceso no autorizado 1 2 3
Datos Fuga de información 2 1 3
Datos Corrupción de la información 1 2 3
Datos Denegación de servicio 1 1
Datos Difusión de software dañino 1 1
Hardware Corrupción de la información 1 1
Hardware Pérdida de equipos 2 2
Hardware Extorsión 2 2
Hardware Alteración de la información 1 1 2
Hardware Corte del suministro eléctrico 1 1
Hardware Fuga de información 2 1 3
Hardware Robo 4 4 8
Hardware Ingeniería social 1 1 2
Hardware Caída del sistema por sobrecarga 1 1 2
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 24 de 37
Hardware
Errores de mantenimiento / actualización de equipos (hardware) 3 4 2 9
Instalaciones Fuego 3 3
Instalaciones Condiciones inadecuadas de temperatura o humedad 1 1
Instalaciones Corte del suministro eléctrico 1 1
Instalaciones Desastres naturales 3 3
Recursos Humanos Fuga de información 4 4
Recursos Humanos
Abuso de privilegios de acceso 4 4
Recursos Humanos Indisponibilidad del personal 4 4
Recursos Humanos Ingeniería social 4 4
Software Caída del sistema por sobrecarga 1 1 2
Software
Degradación de los soportes de almacenamiento de la información 3 3
Software Acceso no autorizado 2 2 4
Software Errores de configuración 2 9 11
Software Difusión de software dañino 1 2 3
Software Denegación de servicio 2 1 3
Software Errores de los usuarios 1 1 2
Software Alteración de la información 1 1 2
Software Errores del administrador 1 5 6
Software
Errores de mantenimiento / actualización de programas (software) 1 4 9 14
Suma Total 27 49 54 Fuente: Elaboración Propia
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 25 de 37
A continuación se presenta el análisis de riesgos con su respectiva valoración. Tabla 10 Análisis de riesgos Fuente: Elaboración Propia
ID ACTIVO ACTIVO AMENAZA PROBABILIDA
D IMPACTO RIESGO
ACT_0001 Internet Difusión de software dañino M M RM
ACT_0001 Internet Interceptación de información (escucha) M A RC
ACT_0001 Internet Fuga de información A A RC
ACT_0001 Internet Introducción de falsa información M A RC
ACT_0001 Internet Ingeniería social B A RM
ACT_0002 Intranet Fuga de información A A RC
ACT_0002 Intranet Difusión de software dañino M M RM
ACT_0002 Intranet Alteración de la información M A RC
ACT_0002 Intranet Introducción de falsa información M A RC
ACT_0002 Intranet Ingeniería social B A RM
ACT_0003 Red de telefonía
Interceptación de información (escucha) B M RA
ACT_0004
Backups de usuarios corporativos Fuga de información M A RC
ACT_0004
Backups de usuarios corporativos Acceso no autorizado M M RM
ACT_0004
Backups de usuarios corporativos Corrupción de la información M A RC
ACT_0005
Código fuente aplicaciones de planta y administrativas Fuga de información A M RC
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 26 de 37
ACT_0005
Código fuente aplicaciones de planta y administrativas Denegación de servicio B B RA
ACT_0005
Código fuente aplicaciones de planta y administrativas Corrupción de la información M M RM
ACT_0005
Código fuente aplicaciones de planta y administrativas Acceso no autorizado M M RM
ACT_0005
Código fuente aplicaciones de planta y administrativas Difusión de software dañino B M RA
ACT_0005
Código fuente aplicaciones de planta y administrativas Alteración de la información M M RM
ACT_0006 Bases de datos corporativas Corrupción de la información B A RM
ACT_0006 Bases de datos corporativas Fuga de información B A RM
ACT_0006 Bases de datos corporativas Alteración de la información B A RM
ACT_0006 Bases de datos corporativas Acceso no autorizado M A RC
ACT_0007 Router Inalámbrico
Caída del sistema por sobrecarga A B RM
ACT_0007 Router Inalámbrico
Errores de mantenimiento / actualización de equipos (hardware) M B RA
ACT_0007 Router Inalámbrico Robo M B RA
ACT_0008 Servidor de Correos Robo B M RA
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 27 de 37
ACT_0008 Servidor de Correos
Caída del sistema por sobrecarga M B RA
ACT_0008 Servidor de Correos Corte del suministro eléctrico M B RA
ACT_0008 Servidor de Correos Fuga de información M B RA
ACT_0008 Servidor de Correos
Errores de mantenimiento / actualización de equipos (hardware) A B RM
ACT_0008 Servidor de Correos Alteración de la información M M RM
ACT_0009 Equipos de comunicaciones Robo M B RA
ACT_0009 Equipos de comunicaciones Ingeniería social B B RA
ACT_0009 Equipos de comunicaciones
Errores de mantenimiento / actualización de equipos (hardware) A B RM
ACT_0010 Impresoras
Errores de mantenimiento / actualización de equipos (hardware) B B RA
ACT_0010 Impresoras Robo B B RA
ACT_0011 Portátiles Ingeniería social B A RM
ACT_0011 Portátiles Robo B A RM
ACT_0011 Portátiles Pérdida de equipos B A RM
ACT_0011 Portátiles
Errores de mantenimiento / actualización de equipos (hardware) A A RC
ACT_0011 Portátiles Extorsión B A RM
ACT_0012
Unidades de CD , DVD y Memorias extraíbles
Errores de mantenimiento / actualización de equipos (hardware) M M RM
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 28 de 37
ACT_0012
Unidades de CD , DVD y Memorias extraíbles Robo B A RM
ACT_0013
Discos duros de servidores y estaciones de trabajo
Errores de mantenimiento / actualización de equipos (hardware) A A RC
ACT_0013
Discos duros de servidores y estaciones de trabajo Fuga de información A A RC
ACT_0013
Discos duros de servidores y estaciones de trabajo Extorsión B A RM
ACT_0013
Discos duros de servidores y estaciones de trabajo Robo B A RM
ACT_0013
Discos duros de servidores y estaciones de trabajo Pérdida de equipos B A RM
ACT_0014
Discos externos información de backups Alteración de la información M A RC
ACT_0014
Discos externos información de backups Corrupción de la información M A RC
ACT_0014
Discos externos información de backups Robo B A RM
ACT_0014
Discos externos información de backups
Errores de mantenimiento / actualización de equipos (hardware) A A RC
ACT_0014
Discos externos información de backups Fuga de información M A RC
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 29 de 37
ACT_0015 UPS
Errores de mantenimiento / actualización de equipos (hardware) A B RM
ACT_0016
Centro de procesamiento de datos principal Fuego B B RA
ACT_0016
Centro de procesamiento de datos principal Desastres naturales B B RA
ACT_0017 Sala eléctrica Fuego B B RA
ACT_0017 Sala eléctrica Corte del suministro eléctrico B B RA
ACT_0017 Sala eléctrica Desastres naturales B B RA
ACT_0018 Sistema de aire acondicionado
Condiciones inadecuadas de temperatura o humedad B B RA
ACT_0019
Ubicación local de infraestructura y comunicaciones Desastres naturales B B RA
ACT_0019
Ubicación local de infraestructura y comunicaciones Fuego B B RA
ACT_0020 Analistas funcionales Ingeniería social B A RM
ACT_0020 Analistas funcionales Indisponibilidad del personal M M RM
ACT_0020 Analistas funcionales
Abuso de privilegios de acceso M A RC
ACT_0020 Analistas funcionales Fuga de información M A RC
ACT_0021 Desarrolladores Abuso de privilegios de acceso M A RC
ACT_0021 Desarrolladores Fuga de información M A RC
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 30 de 37
ACT_0021 Desarrolladores Ingeniería social B A RM
ACT_0021 Desarrolladores Indisponibilidad del personal M M RM
ACT_0022 Director de informática Indisponibilidad del personal M M RM
ACT_0022 Director de informática
Abuso de privilegios de acceso M A RC
ACT_0022 Director de informática Ingeniería social B A RM
ACT_0022 Director de informática Fuga de información M A RC
ACT_0023 Técnicos de operación Fuga de información M A RC
ACT_0023 Técnicos de operación Ingeniería social B A RM
ACT_0023 Técnicos de operación
Abuso de privilegios de acceso M A RC
ACT_0023 Técnicos de operación Indisponibilidad del personal M M RM
ACT_0024 Antivirus: Avast Errores de configuración A B RM
ACT_0024 Antivirus: Avast
Errores de mantenimiento / actualización de programas (software) A M RC
ACT_0025
Bases de datos: SQL server 2014 Management Studio Denegación de servicio M B RA
ACT_0025
Bases de datos: SQL server 2014 Management Studio
Degradación de los soportes de almacenamiento de la información M B RA
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 31 de 37
ACT_0025
Bases de datos: SQL server 2014 Management Studio Errores del administrador M B RA
ACT_0025
Bases de datos: SQL server 2014 Management Studio Acceso no autorizado M M RM
ACT_0025
Bases de datos: SQL server 2014 Management Studio
Errores de mantenimiento / actualización de programas (software) A B RM
ACT_0026
Correo electrónico: Exchange
Errores de mantenimiento / actualización de programas (software) A B RM
ACT_0026
Correo electrónico: Exchange Acceso no autorizado B B RA
ACT_0026
Correo electrónico: Exchange Difusión de software dañino M M RM
ACT_0027 ERP : Siesa Enterprise Errores de los usuarios M B RA
ACT_0027 ERP : Siesa Enterprise Errores de configuración M B RA
ACT_0027 ERP : Siesa Enterprise
Errores de mantenimiento / actualización de programas (software) A B RM
ACT_0028 Paquete Office
Errores de mantenimiento / actualización de programas (software) M B RA
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 32 de 37
ACT_0029
Redmine (Gestión de proyectos) Errores del administrador A B RM
ACT_0029
Redmine (Gestión de proyectos) Errores de los usuarios A B RM
ACT_0029
Redmine (Gestión de proyectos)
Errores de mantenimiento / actualización de programas (software) B B RA
ACT_0029
Redmine (Gestión de proyectos) Errores de configuración A B RM
ACT_0030
Sistema operativo Microsoft Windows Difusión de software dañino B M RA
ACT_0030
Sistema operativo Microsoft Windows Errores de configuración M B RA
ACT_0030
Sistema operativo Microsoft Windows
Errores de mantenimiento / actualización de programas (software) B M RA
ACT_0031 Skype
Errores de mantenimiento / actualización de programas (software) M B RA
ACT_0031 Skype Errores de configuración M B RA
ACT_0032 Visual Studio .Net
Errores de mantenimiento / actualización de programas (software) M B RA
ACT_0032 Visual Studio .Net Errores de configuración M B RA
ACT_0033 SQl developer Errores del administrador M B RA
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 33 de 37
ACT_0033 SQl developer Errores de configuración M B RA
ACT_0033 SQl developer
Errores de mantenimiento / actualización de programas (software) M B RA
ACT_0034 Servidor de aplicaciones Alteración de la información M B RA
ACT_0034 Servidor de aplicaciones
Degradación de los soportes de almacenamiento de la información M B RA
ACT_0034 Servidor de aplicaciones Errores de configuración M B RA
ACT_0034 Servidor de aplicaciones Acceso no autorizado B M RA
ACT_0034 Servidor de aplicaciones Difusión de software dañino B B RA
ACT_0034 Servidor de aplicaciones Denegación de servicio A B RM
ACT_0034 Servidor de aplicaciones
Caída del sistema por sobrecarga A B RM
ACT_0034 Servidor de aplicaciones
Errores de mantenimiento / actualización de programas (software) B B RA
ACT_0035 Servidor Web Errores del administrador M B RA
ACT_0035 Servidor Web Denegación de servicio A B RM
ACT_0035 Servidor Web Errores de configuración M B RA
ACT_0035 Servidor Web Alteración de la información B A RM
ACT_0035 Servidor Web
Degradación de los soportes de almacenamiento de la información B M RA
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 34 de 37
ACT_0035 Servidor Web Acceso no autorizado B A RM
ACT_0035 Servidor Web Caída del sistema por sobrecarga A M RC
ACT_0035 Servidor Web
Errores de mantenimiento / actualización de programas (software) M M RM
ACT_0036 Windows server 2008 R2 Errores del administrador M B RA
ACT_0036 Windows server 2008 R2
Errores de mantenimiento / actualización de programas (software) M B RA
ACT_0036 Windows server 2008 R2 Errores de configuración M B RA
ACT_0037 Windows server 2012 Errores del administrador M B RA
ACT_0037 Windows server 2012 Errores de configuración M B RA
ACT_0037 Windows server 2012
Errores de mantenimiento / actualización de programas (software) M B RA
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 35 de 37
CONCLUSIONES
Interfaces y Soluciones ha estado trabajando en sus procesos de forma empírica, basados en el sentido común y la experiencia; elementos que han permitido el crecimiento de la organización. Sin embargo, el estado actual de la entidad en la que se gestiona gran cantidad de información contable, financiera, comercial, procesos de producción, datos de clientes y proveedores, entre otros, exige un mayor compromiso y estandarización de los procesos de seguridad. Uno de los pasos fundamentales para mejorar la seguridad en la organización está relacionada con la gestión de riesgos, que incluye la identificación de activos con su correspondiente valoración, identificación de amenazas y valoración de riesgo. En los procesos del área de Tecnologías de la Información- según el alcance del SGSI - se identifican 37 grupos de activos clasificados en 6 tipos: Instalaciones, Comunicaciones, Hardware, Datos, Software y Recursos Humanos.
Tabla 11 Tipo de Activos Fuente: Elaboración Propia
Tipo de Activo # Activos
Comunicaciones 3
Datos 3
Hardware 9
Instalaciones 4
Recursos Humanos 4
Software 14
Total 37
Las vulnerabilidades de la organización se encuentran asociadas principalmente a la carencia de políticas, controles, y/o procedimientos de seguridad de los Sistemas de Información. Así, tras la evaluación de los activos se identifican 25 amenazas relacionadas con factores ambientales, errores humanos, falencias en configuración de software, redes, entre otros. Las amenazas detectadas sobre cada uno de los activos se convierten en un riesgo. Estos presentan una probabilidad de ocurrencia e impacto. Por lo tanto, se hace un análisis de cada uno
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 36 de 37
de los activos, amenazas y se estima el riesgo. Se definieron 3 niveles de riesgo: Riesgo Bajo, riesgo moderado y riesgo crítico. De forma que se obtuvo lo siguiente:
Tabla 12 Valoración del riesgo Fuente: Elaboración Propia
Valoración del Riesgo # Activos # Amenazas
Riesgo Crítico 14 10
Riesgo Moderado 24 17
Riesgo Bajo 23 19 Fuente: Elaboración Propia
Los activos que se encuentran en riesgo crítico y moderado requieren medidas prontas para la mitigación del riesgo- el tiempo debe ser determinado por la organización- puesto que pueden ocurrir con una frecuencia alta y un impacto bastante negativo a nivel económico, legal y/o reputacional. 24 de los 37 activos evaluados tienen algún factor de amenaza que los deja entre riesgo crítico y moderado. A nivel porcentual se observa que estos corresponden cerca del 60 por ciento de la combinación resultante de activos y amenazas, por lo tanto, se necesita una intervención urgente.
ANEXO B - INFORME DE HALLAZGOS
Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 37 de 37
Fuente: Elaboración Propia