Evaluación de la seguridad de la información del caso estudio

2. LEVANTAMIENTO DE LA INFORMACIÓN Y SITUACIÓN ACTUAL DE LAS

2.1. Evaluación de la seguridad de la información del caso estudio

La metodología Octave Allegro, no sugiere controles durante el desarrollo de su metodología, por tanto se tomaron los dominios de la norma ISO 27000, que permiten gestionar la seguridad de la información en los diferentes procesos de la compañía; estos dominios se incorporan en los activos que se van a proteger, con el fin de garantizar el correcto uso, operatividad y gestión de la información, dentro de los marcos legales.

Los dominios permiten identificar los riesgos, analizarlos y gestionar un plan de acción que permitan mitigarlos, teniendo en cuenta la integridad, disponibilidad y confidencialidad de la información.

Para el análisis del caso estudio se seleccionaron los siguientes dominios de la norma ISO 27000:

• Dominio 5: Políticas de seguridad de la Información.

• Dominiou5 6: Organización de la seguridad de la información. • Dominio 7: Seguridad de los Recursos Humanos.

• Dominio 8: Gestión de recursos.

• Dominio 9: Gestión de acceso de usuario. • Dominio 10: Criptografía.

• Dominio 11: Seguridad física y ambiental. • Dominio 12: Seguridad Operacional.

• Dominio 13: Seguridad de las Comunicaciones. • Dominio 15: Relaciones con los proveedores.

• Dominio 16: Gestión de Incidentes de Seguridad de la Información.

• Dominio 17: Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio.

• Dominio 18: Cumplimiento.

Cada dominio fue seleccionado según el criterio de la analista de riesgos y el ingeniero de infraestructura con el fin de evaluar la situación actual de la fiduciaria en cuanto a seguridad de la información y la seguridad física de la misma.

A continuación, se realiza un análisis de cada uno de los objetivos de control para determinar la situación actual de la fiduciaria en el marco del proyecto:

2.1.1. Dominio 5: Políticas de seguridad de la Información

Las políticas de seguridad son analizadas por la junta directiva en la cual indican claramente las necesidades que tiene la organización, en cuanto a la seguridad de la información, teniendo en cuenta algunos riesgos presentados anteriormente en la compañía, estas políticas van dirigidas a todo el personal de la compañía, una vez elaboradas las políticas deben ser revisados y aprobadas por la junta directiva, a su vez los empleados deben ser informados sobre las mismas y publicadas en la intranet de la organización.

2.1.2. Dominio 6: Organización de la seguridad de la información

En la compañía no se cuenta con una persona o un área que se encargue directamente de la seguridad de la información, solo se cuentan con algunas políticas establecidas por la junta directiva, por lo que es posible que la información del negocio sea vulnerable, hoy en día la compañía cuenta con una plataforma de recaudo y es de suma importancia que la información que se presente en los diferentes portales sea segura y sea confiable.

2.1.3. Dominio 7: Seguridad de los Recursos Humanos

En Acción Fiduciaria, antes de ser contratado el personal se solicitan algunos documentos importantes, como lo son referencias personales, visitas domiciliarias, antecedentes disciplinarios, comprobación de las notas académicas y profesionales, entre otros, para corroborar que la información del personal sea correcta.

Cuando ingresa el personal se le entrega una serie de tareas, responsabilidades y se le proporciona los medios y la información necesaria para que pueda llevarlas a cabo las actividades correspondientes a su cargo, como capacitaciones en herramientas web entre la cual se destaca e-learning en el cual se encuentran cursos relacionados con SARO, SARLAFT, entre otros. Cada tres meses se realiza una capacitación general explicando cada una de las amenazas informáticas o fraudes que se pueden encontrar por medio del correo electrónico.

Cuando un empleado sale de la compañía, muchas veces reportan la salida del mismo varios días después, dejando los permisos del usuario habilitados corriendo el riesgo que pueda existir fuga de información, para este proceso no existen

políticas, solo existe un acuerdo en el que indica que el área de recursos humanos reporta por correo electrónico las salidas definitivas de los empleados.

2.1.4 Dominio 8: Gestión de recursos

El inventario está a cargo del área de sistemas, quien debe elaborar y mantener actualizado el inventario de los equipos de hardware y software, que poseen cada una de las áreas y las sedes de la organización.

Algunas características que se deben registrar en el inventario son clasificación, valoración, ubicación y acceso de la información. Existen una gran variedad de activos de información tales como las bases de datos, documentación del sistema, manuales de usuario, procedimientos operativos, registros de auditoría. Activos de software, activos físicos garantizando la integridad y confidencialidad de la información.

La clasificación de la información se basa según el valor, criticidad y sensibilidad a la divulgación o modificación de la misma, determinando la forma en que se debe manejar y los niveles de protección que debe tener.

Estos niveles se tienen en cuenta según la integridad y confidencialidad de la información sin poner en riesgo la imagen de la compañía, debido a que cada nivel de protección se basa en el cargo y área en cual se desempeña el personal de la organización estos niveles son divulgados y oficializados a los usuarios.

El uso de dispositivos de almacenamiento externo está prohibido dentro de la compañía este con el fin de evitar fuga de información, toda la información que se necesite ser expuesta fuera de la compañía debe ser tramitada con autorización del jefe inmediato y en unidades de CD o DVD, si algunos de los documentos que se necesitan están en servidores de almacenamiento (la nube) tales como Drive, Dropbox, Wetransfer deben ser descargados por el área de sistemas con autorización del jefe inmediato.

2.1.5 Dominio 9: Gestión de acceso de usuario.

El área de recursos humanos de Acción Fiduciaria envía al área de sistemas un formato de vinculación de nuevo usuario o cambio de permisos, en cual especifica cuáles son las aplicaciones a las que el nuevo funcionario debe tener acceso, se informa por correo electrónico el usuario y contraseña de cada una de las aplicaciones a las cuales se les dio acceso, cuando el funcionario se retira de la compañía se le inhabilita el usuario en cada una de las aplicaciones y se elimina la cuenta de correo electrónico.

Para el acceso se establecen políticas de complejidad de contraseña, así mismo se realiza control de intentos fallidos.

La responsabilidad del usuario colocar claves seguras, personales e intransferibles a los sistemas de información y abstenerse de ingresarlas cuando algún compañero este presente mientras se ingresa al sistema.

El hacer buen uso de los equipos que están al servicio del usuario tales como computadores, impresoras papelería entre otras., es decir debe velar por mantener los recursos en buen estado, óptimas condiciones esto le ayudara a desempeñar las funciones sin contratiempos.

Es responsabilidad del usuario cuando se ausente de su puesto de trabajo bloquear la sesión del equipo, de lo contrario apague el equipo, así evitara que compañeros de trabajo pueda robar información sensible que puede afectar las funciones y/o desempeño laboral.

2.1.6 Dominio 10: Criptografía

En Acción Fiduciaria no se cuentan con sistemas de encriptación, los documentos de los clientes tales como extractos, estados de cuenta, plan de pagos, rendición de cuentas son encriptados por bases de datos y exportados a pdf estos documentos pueden ser abiertos solo con el número de identificación, pero al no tener un sistema de encriptación seguro es posible que la confidencialidad e integridad de la información pueda ser vulnerable.

2.1.7 Dominio: 11: Seguridad física y ambiental

En Acción fiduciaria se cuenta con seguridad en la puerta principal, allí también se ubica una cámara de seguridad y un sensor que permite abrir la puerta, en el tercer piso se encuentra una cerca eléctrica y varias cámaras alrededor de la propiedad, en el parqueadero se encuentra una puerta que se maneja a control remoto, este acceso es solo para guardar los vehículos, en el Datacenter se encuentra una puerta con la cual se abre con una clave y una sensor de huella, cada una de las esquinas de los pisos se encuentran cámaras y algunas de estas captan imágenes con el sensor de movimiento.

El centro de computo y la mesa de dinero, son áreas que poseen un acceso restringido, es decir para acceder a ellas se debe tener registrado la huella digital y una contraseña de acceso, a estas áreas solo tiene acceso personal capacitado.

No se cuentan con planes de contingencia en caso de inundaciones, terremotos, explosiones, tampoco se realizan simulaciones contra desastres naturales, en caso de corte de energía se cuenta con una planta, en caso de incendio no se cuenta con detectores de humo, solo en el centro de cómputo se cuenta con un extinguidor.

2.1.8 Dominio 12: Seguridad Operacional

El área de sistemas de Acción fiduciaria se encarga entre otras cosas de asegurar que los equipos del personal cuenten con antivirus actualizados para prevención de Malware, actualmente no se cuenta con un proceso de Backup definido oficialmente, se sacan copias periódicas de información la cual en algunas ocasiones al intentar ser usada ya se encuentra inservible lo cual ha significado grandes pérdidas de información.

La instalación de cualquier producto y/o servicio también es responsabilidad del área de sistemas, actualmente no se cuenta con sistemas espejos y finalmente Acción fiduciaria se encuentra implementando un sistema que le permita tener documentadas sus vulnerabilidades para saber cuál es la mejor forma de atacarlas.

2.1.9. Dominio 13: Seguridad de las Comunicaciones

Acción fiduciaria cuenta con un Data Center, con control de acceso en el que se cuenta con un área refrigerada para los servidores, así como una UPS, que permite asegurar que los equipos se puedan apagar de manera correcta, a este cuarto solo puede acceder personal autorizado, mediante un sistema biométrico. También se encuentra segregada la red, para las diferentes áreas de la compañía, como lo son administrativas, contabilidad, sistemas, entre otras.

2.1.10 Dominio 15: Relaciones con los proveedores

Acción fiduciaria maneja el contrato con los proveedores de manera legal, estableciendo compromisos y sanciones por incumplimiento, así mismo como fechas de entregables, compromisos y responsabilidades adquiridas, estos contratos están supervisados por abogados contratados por prestación de servicio por la compañía.

En cuanto a los ambientes de desarrollo, son los proveedores quienes deben solventar todos sus ambientes y Acción Fiduciaria recibe al final de la fecha establecida de entrega, el producto finalizado para realizar pruebas funcionales, y reportar las irregularidades encontradas o dar el visto bueno del producto recibido.

En caso de llegar a establecer un contrato con un proveedor que requiera tener acceso a servidores expuestos por Acción fiduciaria no existen políticas establecidas para uso y control de VPNs.

2.1.11. Dominio 16: Gestión de Incidentes de Seguridad de la Información

Acción fiduciaria, no cuenta con políticas de seguridad establecidas que indiquen cuál es el procedimiento a seguir en caso de presentarse un ataque a la seguridad de cualquier servidor o sistema, si llega a presentarse algún incidente de este tipo se responde de manera correctiva, más no se tiene un plan preventivo.

2.1.12. Dominio 17: Aspectos de Seguridad de la Información de la gestión de la continuidad del negocio

Acción fiduciaria no cuenta con planes de contingencia para dar continuidad al negocio, no ha implementado, por ejemplo: pararrayos, detectores de humo entre otras. No se cuenta con un plan para restablecer la operación de la compañía luego de un desastre natural.

2.1.13. Dominio 18: Cumplimiento

Acción fiduciaria cuenta con un área de auditoría, en donde se busca asegurar que las políticas establecidas estén siendo cumplidas, así como los estándares de calidad de servicio al cliente, y compromisos con clientes y proveedores.

De la misma manera todas las fiducias deben cumplir con la norma establecida por el gobierno colombiano llamada SARO, en donde esta asegura el cumplimiento y la mitigación de los riesgos operacionales a nivel de negocio.

Para los riesgos informáticos se realizan auditorías internas, para asegurar que se estén cumpliendo con las políticas de seguridad establecidas, y se esté llevando a cabo el registro y seguimiento de los incidentes reportados por los clientes.

Acción Fiduciaria junto con el área de auditoria, está realizando mejoras y monitoreos constantes con el fin de garantizar la seguridad de la información, implementando procesos, capacitando al personal, realizando y mejorando los manuales de las aplicaciones, para así evitar riesgos que puedan afectar tanto la información como cualquier activo.

3. MODELO DE ANÁLISIS Y GESTIÓN DE RIESGOS PARA LAS ENTIDADES

In document Modelo de gestión de riesgos aplicando metodología octave allegro en entidades del sector fiduciario (página 52-59)