INTERFACES Y SOLUCIONES S.A.S INFORME DE HALLAZGOS IH-SGSI-01

Transcripción

1 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 1 de 37 ANEO B INTERFACES Y SOLUCIONES S.A.S INFORME DE HALLAZGOS IH-SGSI-01 Elaborado Por: Revisado Por: Aprobado Por: Yasmin Suárez Adriana Moyano Ing. Jairo Hernández Gutiérrez Ing. Jorge Pérez Acosta Fecha: junio 2017 Fecha: junio 2017 Fecha: junio 2017 Cargo: Pasantes a cargo del SGSI Cargo: Director y Asesor del trabajo de grado Cargo: Director de Proyectos I&S

2 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 2 de 37 CONTENIDO INTRODUCCIÓN... 3 RIESGOS Y VULNERABILIDADES EN I&S... 4 METODOLOGÍA... 5 Inventario de activos... 6 Valoración de activos... 9 Análisis de Amenazas Valoración del riesgo CONCLUSIONES... 35

3 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 3 de 37 INTRODUCCIÓN Interfaces y Soluciones(I&S) ha apoyado la gestión de sus procesos con recursos tecnológicos que han facilitado sus operaciones y le han permitido escalar en el mercado de las integraciones. En sus actividades la información es un activo valioso, por eso, se ve expuesta a incidentes de seguridad que amenazan la confidencialidad, integridad y disponibilidad de la misma. En el presente documento se informa de los hallazgos correspondientes a riesgos y vulnerabilidades que pueden afectar el buen desempeño del área de Tecnologías de la Información de la Entidad. Se hace uso de la metodología MAGERIT, para la gestión de riesgos, a través de la cual se identifican los activos de la organización, las posibles amenazas y el impacto que puedan ocasionar. Así mismo, se definen los criterios de clasificación según la probabilidad de ocurrencia e impacto.

4 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 4 de 37 RIESGOS Y VULNERABILIDADES EN I&S La información es un activo esencial y decisivo para la organización. Es posible encontrarla en diferentes formatos: escrita en papel, impresa, digital, en videos, conversaciones, entre otros. Debido a que se encuentra disponible en diversos ambientes está expuesta a amenazas. Los daños que puede ocasionar una amenaza a la organización están determinados por las vulnerabilidades. Una vulnerabilidad es un defecto o debilidad en el diseño, implementación u operación que facilita la materialización de una amenaza. Tras la evaluación del estado de I&S con respecto a la norma ISO/IEC 27001:2013 y observación directa en la organización se encuentran las siguientes vulnerabilidades: No existen documento(s) de políticas, procesos, procedimientos y/o controles de seguridad de SI No existen condiciones contractuales de seguridad con terceros y outsourcing No existen programas de formación en seguridad para los empleados, clientes y terceros No se revisa la organización de la seguridad periódicamente por una empresa externa No existe un canal y procedimientos claros a seguir en caso de incidente de seguridad No se dispone de una clasificación de la información según la criticidad de la misma No existen procedimientos para clasificar la información No existen procedimientos de etiquetado de la información No se controla y restringe la asignación y uso de privilegios en entornos multiusuario No existe una revisión de los derechos de acceso de los usuarios No se protege el acceso de los equipos desatendidos No existe una política de uso de los servicios de red No existe un control de la conexión de redes No existe un control del routing de las redes No existe una identificación única de usuario y una automática de terminales No se ha incorporado medidas de seguridad a la computación móvil

5 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 5 de 37 No existen controles criptográficos No existe protección frente a fallos en la alimentación eléctrica No existe seguridad en el cableado frente a daños e intercepciones No existen logs de los fallos detectados No se han establecido controles para realizar la gestión de los medios informáticos(cintas, discos, removibles, informes impresos) No se controlan las vulnerabilidades de los equipos No están establecidas responsabilidades para asegurar una respuesta rápida, ordenada y efectiva frente a incidentes de seguridad No se realiza gestión de contraseñas de forma segura y periódica Por lo tanto, como primera medida se debe implementar un modelo de gestión de riesgos. METODOLOGÍA Como metodología para la gestión de riesgos en el plan de implementación del SGSI se acuerda trabajar con MAGERIT, la cual implementa el Proceso de Gestión de Riesgos dentro de un marco de trabajo para que los órganos de gobierno tomen decisiones teniendo en cuenta los riesgos derivados del uso de tecnologías de la información 1. MAGERIT presenta los siguientes objetivos: Directos: 1. Concienciar a los responsables de las organizaciones de información de la existencia de riesgos y de la necesidad de gestionarlos 2. Ofrecer un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones (TIC) 3. Ayudar a descubrir y planificar el tratamiento oportuno para mantener los riesgos bajo control Indirectos: 4. Preparar a la Organización para procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso. 1 PAe - MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

6 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 6 de 37 Inventario de activos Para empezar con la gestión de riesgos se requiere un inventario de activos. Los activos son componentes o funcionalidades de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos 2. Entre los hallados en I&S tenemos: Tabla 1. Lista de activos ID Tipo Activo Descripción ACT_0001 Comunicaciones Internet ACT_0002 Comunicaciones Intranet Navegador: Chroome Acceso a plataformas: Azure, Amazon, Arvixe Acceso inalámbrico a través de la tarjeta de red de los equipos Servicio contratado con Claro: 5 Megas cableado categoría 5E Router suministrado por Claro, sin configuraciones adicionales a las por defecto ACT_0003 Comunicaciones Telefonía Panasonic K-UT123 ACT_0004 Datos Backups ACT_0005 Datos Código fuente aplicaciones de planta y administrativas Se realizan backups manuales de: - BD GTIntegration (base de datos sistema de integración) - BDI (base de datos intermedia) - Satélites (código fuente) - Generic Transfer Integration (sistema de integración) - Ejecutables y archivos de configuración Código en Visual Basic.NET de: - Script estructura GTIntegration - Script datos GTIntegration - Ejecutables y archivos config de los satélites/aplicativos 2 [UNE 71504:2008]

7 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 7 de 37 ACT_0006 Datos Bases de datos corporativas Bases con información de: - Usuarios generictransfer.com - Documentos configurados - Información contable - Clientes - Cotizaciones - Proyectos entregados - Proyectos en proceso - Consultorías y Capacitaciones - Conectores - Modelo entidad relación Siesa - Programas - Formatos documentos (manuales, accesos) - Versiones GTI (sistema de integración) y satélites. ACT_0007 Hardware Router Inalámbrico Gateway MG6002N(Proporcionado por Claro) WAN 1x10/100 Mbps wan Ethernet USB para 2G/3G/4G USB Modem connectivity LAN 4x10/100/1000 Mbps Ethernet Port ACT_0008 Hardware Servidor de Correos Gmail empresarial ACT_0009 Hardware Servidor para pruebas de BD opera con Windows Server 2012 R2 ACT_0010 Hardware Impresoras Epson Expression P 231 Funcionan como estaciones de trabajo para el área de tecnologías de la información. Los equipos son de las siguiente marcas: ACT_0011 Hardware Portátiles ACT_0012 Hardware Unidades de CD, DVD y Memorias extraíbles - Notebook HP 14-ac186la - Intel Core i3-5005u 8 Gigas RAM - Notebook HP 14-v007la - AMD A M APU - 8 Gigas RAM - Notebook HP x64-based PC - AMD A Gigas RAM

8 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 8 de 37 ACT_0013 Hardware Discos duros de servidores y estaciones de trabajo ACT_0014 Hardware Discos externos ACT_0015 Hardware UPS ACT_0016 Instalaciones Sedes de operación Con información correspondiente a: - Ejecutables y archivos de configuración de los satélites(programa que consume el Web Service de siesa), aplicaciones, servicios web, GTI 8 tomas. Con autonomía de 5 a 20 min Da soporte a 5 equipos. Cuenta con dos sedes: - Bogotá - Medellín ACT_0017 Instalaciones Sala eléctrica Cuarto de suministro eléctrico del edificio ACT_0018 Instalaciones Sistema de aire acondicionado Perteneciente al edificio donde funcionan las oficinas de la organización ACT_0019 Instalaciones oficinas Ubicadas en el 2 piso del edificio ACT_0020 ACT_0021 ACT_0022 ACT_0023 Recursos Humanos Recursos Humanos Recursos Humanos Recursos Humanos Dirección Coordinador de proyectos Implementadores Soporte ACT_0024 Software Antivirus: Avast ACT_0025 ACT_0026 Software Software Bases de datos: SQL server 2014 Management Studio Correo electrónico: Exchange Se cuenta con: - Director comercial - Director de proyectos - Administración Se cuenta con: - 2 coordinadores de proyectos de integraciones - 1 líder de proyectos de generictransfer.com - Se cuenta en total con 7 implementadores - Se cuenta en total con 2 personas de soporte

9 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 9 de 37 ACT_0027 Software ERP Siesa Enterprise ACT_0028 Software Paquete Office Microsoft Office Professional Plus 2016 ACT_0029 Software Redmine Para la Gestión de proyectos: - seguimiento de tareas - cronograma - control de versiones ACT_0030 Software Sistema operativo Microsoft Windows 10 ACT_0031 Software Skype ACT_0032 Software Visual Studio.Net Visual Studio Professional 2015 ACT_0033 Software SQl developer SQL Server 2014 Management Studio ACT_0034 Software Servidor de aplicaciones Opera con Windows Server 2012 R2 ACT_0035 Software Servidor Web Opera con Windows Server 2012 R2 ACT_0036 Software Windows server 2008 R2 ACT_0037 Software Windows server 2012 Valoración de activos Siguiendo la metodología se define una tabla de valoración de activos que depende de tres dimensiones de gran importancia para la seguridad de la información, las cuales son: confidencialidad, integridad y disponibilidad. Valoración de acuerdo a la Confidencialidad La confidencialidad se refiere a que la información debe llegar únicamente a las personas autorizadas. Esta es definida según las características de la información

10 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 10 de 37 gestionada y procesada por el activo. Para la presente valoración se toma en cuenta los siguientes criterios de clasificación. Tabla 2. Criterios de valoración de Confidencialidad Escala de Valoración Valoración Confidencialidad 3 Alto El activo gestiona y/o procesa Información disponible sólo para un proceso de Información Reservada, su la entidad y que en caso de ser conocida por uso inadecuado puede terceros sin autorización puede conllevar un generar consecuencias graves impacto negativo de índole legal, operativa, de para la organización. pérdida de imagen o económica. 2 Medio El activo gestiona y/o procesa Información Clasificada, su uso inadecuado puede generar medianas consecuencias a la organización, como por ejemplo, reclamaciones de las áreas que soporta. Información disponible para todos los procesos de la entidad y que en caso de ser conocida por terceros sin autorización puede conllevar un impacto negativo para los procesos de la misma. Esta información es propia de la entidad o de terceros y puede ser utilizada por todos los funcionarios de la entidad para realizar labores propias de los procesos, pero no puede ser conocida por terceros sin autorización del propietario. 1 Bajo El activo gestiona y/o procesa Información que puede ser entregada o Información Pública, no publicada sin restricciones a cualquier persona genera consecuencias dentro y fuera de la entidad, sin que esto negativas para la implique daños a terceros ni a las actividades y organización. procesos de la entidad. 0 No Clasificada Activos de Información que Deben ser tratados como activos de deben ser incluidos en el INFORMACIÓN RESERVADA hasta el momento inventario y que aún no han en que se defina una valoración entre la escala sido clasificados. del 1-3 definida.

11 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 11 de 37 Valoración de acuerdo a la Integridad La integridad es una característica o propiedad de la información que garantiza que ésta no ha sido alterada (modificada o destruida) de manera no autorizada. Los criterios de valoración de integridad para los activos de I&S se describen a continuación: Tabla 3. Criterios de valoración de Integridad Escala de Valoración Valoración Integridad 3 Alto El activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas de la entidad. Es información que apoya la toma de decisiones estratégicas de la organización. Los errores deben ser solucionados de inmediato. 2 Medio El activo gestiona Información cuya pérdida de exactitud y completitud puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdida de imagen moderada a funcionarios de la entidad. La información gestionada por el activo permite una brecha de errores que pueden ser solucionados a corto plazo. 1 Bajo El activo gestiona Información cuya pérdida de exactitud y completitud conlleva un impacto no significativo para la entidad o entes externos. Los errores pueden ser solucionados en un mediano plazo 0 No Clasificada El activo de información debe ser incluido en el inventario y aún no ha sido clasificado. Debe ser tratado como activo de Integridad nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.

12 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 12 de 37 Valoración de acuerdo a la Disponibilidad La disponibilidad asegura que los usuarios autorizados tienen acceso a la información y activos asociados cuando lo requieren, es decir,con esta propiedad se previene la denegación de acceso a datos y servicios de información autorizados. En la tabla se presentan los criterios de valoración de disponibilidad para los activos de I&S. Tabla 4. Criterios de valoración de Disponibilidad Escala de Valoración Valoración Disponibilidad 3 Alto 2 Medio 1 Bajo 0 No Clasificada El activo apoya los procesos críticos de la entidad y se requiere de una recuperación inmediata en caso de falla. Puesto que, la no disponibilidad de la información puede conllevar un impacto negativo de índole legal o económica, retrasar sus funciones, o generar pérdidas de imagen severas a entes externos. El activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo no mayor a 3 días. Puede generar repercusiones económicas, legales o de imagen moderadas. El activo apoya los procesos no críticos de la entidad y permite su recuperación en un tiempo superior a 3 días. La no disponibilidad de la información puede afectar la operación normal de la entidad o entes externos, pero no conlleva a implicaciones legales, económicas o de imagen. Activos de Información que deben ser incluidos en el inventario y que aún no han sido clasificados. Deben ser tratados como activos de Disponibilidad de nivel 3 hasta el momento en que se defina una valoración entre la escala del 1-3 definida.

13 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 13 de 37 Análisis de Amenazas Las amenazas suelen ser causas potenciales de incidentes que ocasionan daños al sistema de información o a la organización. Tras el análisis de los activos en I&S se detectan las siguientes amenazas. Tabla 5 Lista de Amenazas AMENAZA # Activos afectados actualización de programas (software) 14 Fuga de información 12 Errores de configuración 11 actualización de equipos (hardware) 9 Ingeniería social 8 Robo 8 Acceso no autorizado 7 Alteración de la información 7 Difusión de software dañino 6 Errores del administrador 6 Abuso de privilegios de acceso 4 Caída del sistema por sobrecarga 4 Corrupción de la información 4 Denegación de servicio 4 Indisponibilidad del personal 4 Degradación de los soportes de almacenamiento de la información 3 Desastres naturales 3 Fuego 3 Corte del suministro eléctrico 2 Errores de los usuarios 2 Extorsión 2 Interceptación de información (escucha) 2

14 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 14 de 37 Introducción de falsa información 2 Pérdida de equipos 2 Condiciones inadecuadas de temperatura o humedad 1 A continuación se listan las amenazas detectadas para los activos encontrados en I&S. Amenazas para activos de Comunicaciones Activos de Comunicaciones Amenaza Internet Intranet Red de telefonía Alteración de la información Difusión de software dañino Fuga de información Ingeniería social Interceptación de información (escucha) Introducción de falsa información Suma total Amenazas para activos de Datos Amenaza Backups de usuarios corporativos Activos de Datos Bases de datos corporativas Código fuente aplicaciones de planta y administrativas Acceso no autorizado Alteración de la información Corrupción de la información Denegación de servicio Difusión de software dañino Fuga de información Suma total 3 4 6

15 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 15 de 37 Amenazas para activos de Hardware Amenaza Discos duros de servidores y estaciones de trabajo Activos de Hardware P1 Discos externos información de backups Equipos de comunicacione s Alteración de la información Caída del sistema por sobrecarga Corrupción de la información Corte del suministro eléctrico actualización de equipos (hardware) Extorsión Fuga de información Ingeniería social Pérdida de equipos Robo Suma total Amenaza Alteración de la información Impresoras Activos de Hardware P2 Portátile s Router Inalámbrico Caída del sistema por sobrecarga Corrupción de la información Corte del suministro eléctrico actualización de equipos (hardware) Extorsión Fuga de información Ingeniería social Pérdida de equipos

16 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 16 de 37 Robo Suma total Amenaza Alteración de la información Caída del sistema por sobrecarga Corrupción de la información Servidor de Correos Activos de Hardware P3 Unidades de CD, DVD y Memorias extraíbles UPS Corte del suministro eléctrico actualización de equipos (hardware) Extorsión Fuga de información Ingeniería social Pérdida de equipos Robo Suma total Amenazas para activos de Instalaciones Activos de Instalaciones Amenaza Condiciones inadecuadas de temperatura o humedad Corte del suministro eléctrico Centro de procesamiento de datos principal Sala eléctrica Sistema de aire acondicionado Ubicación local de infraestructura y comunicaciones Desastres naturales

17 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 17 de 37 Fuego Suma total Amenazas para activos de Recursos Humanos Amenaza Analistas funcionales Activos de Recursos Humanos Desarrolladores Director de informática Técnicos de operación Abuso de privilegios de acceso Fuga de información Indisponibilidad del personal Ingeniería social Suma total Amenazas para activos de Software Amenaza Antivirus: Avast Activos de Software P1 Bases de datos: SQL server 204 Management Studio Correo electrónico: Exchange Windows server 2008 R2 Acceso no autorizado Alteración de la información Caída del sistema por sobrecarga Degradación de los soportes de almacenamiento de la información Denegación de servicio Difusión de software dañino Errores de configuración Errores de los usuarios

18 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 18 de 37 actualización de programas (software) Errores del administrador Suma total Acceso no autorizado Amenaza Alteración de la información Caída del sistema por sobrecarga Degradación de los soportes de almacenamiento de la información Denegación de servicio Difusión de software dañino Servidor de aplicaciones Activos de Software P2 ERP : Siesa Enterprise Paquete Office Errores de configuración Errores de los usuarios actualización de programas (software) Errores del administrador Suma total Activos de Software P3 Amenaza Servidor Web Sistema operativo Microsoft Windows Skype Windows server 202 Acceso no autorizado Alteración de la información Caída del sistema por sobrecarga Degradación de los soportes de almacenamiento de la información

19 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 19 de 37 Denegación de servicio Difusión de software dañino Errores de configuración actualización de programas (software) Errores del administrador Amenaza Suma total Redmine (Gestión de proyectos) Activos de Software P4 SQl developer Visual Studio.Net Acceso no autorizado Alteración de la información Caída del sistema por sobrecarga Degradación de los soportes de almacenamiento de la información Denegación de servicio Difusión de software dañino Errores de configuración Errores de los usuarios actualización de programas (software) Errores del administrador Suma total Valoración del riesgo La valoración del riesgo permite estimar la magnitud de los riesgos a los que está expuesta la organización. La materialización de una amenaza consta de dos elementos: probabilidad e impacto, estos determinan el nivel del riesgo.

20 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 20 de 37

21 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 21 de 37 Probabilidad La probabilidad indica la posibilidad de que algún hecho se produzca 3, por lo tanto, se puede definir, medir o determinar de forma objetiva o subjetiva, cualitativa o cuantitativamente, en términos generales o de forma matemática y según el caso bajo un periodo de tiempo dado. De acuerdo a la probabilidad de ocurrencia de las amenazas se determinan los siguientes criterios de valoración: Tabla 6. Valoración de Probabilidad Identificador Escala de Valoración Valoración Descripción A 3 Alto La amenaza se puede materializar mínimo una vez al mes M 2 Medio La amenaza se puede materializar a lo sumo una vez en el semestre B 1 Bajo La amenaza se puede materializar a lo sumo una vez al año Impacto El impacto hace referencia a las consecuencias sobre los activos resultantes de la materialización de una amenaza. Según el impacto se determinan los siguientes criterios de valoración: Tabla 7. Valoración de Impacto Identificador Escala de Valoración Valoración Descripción A 3 Alto La ocurrencia del evento tiene impacto a nivel de confidencialidad, integridad y/o disponibilidad de la información poniendo en riesgo la reputación de la empresa y/o inconvenientes legales. M 2 Medio La ocurrencia del evento tiene impacto a nivel de confidencialidad, integridad y/o disponibilidad de la información sin poner en riesgo la reputación de la empresa o necesidad de medidas legales. B 1 Bajo La ocurrencia del evento no tiene consecuencias relevantes para la organización. 3 Magerit v3

22 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 22 de 37 Estimación del Riesgo Para la gestión del riesgo en I&S se modela el impacto, probabilidad y riesgo por medio de escalas cualitativas, como se evidencio en las tablas anteriores. Así, por la combinación probabilidad - impacto se define el siguiente mapa con el que se estima el nivel o estado de riesgo. MAPA DE RIESGO Alta RM RC RC Media RB RM RC Probabilidad Baja RB RB RM Bajo Medio Alto Impacto A continuación se describe con mayor claridad a qué corresponde la valoración del riesgo: Tabla 8. Estimación del Riesgo Identificador Escala de Valoración Valoración Descripción RC 3 Riesgo Crítico RM 2 Riesgo Moderado Indica que el riesgo supera el nivel de aceptación de la organización. Por lo tanto, se deben priorizar las medidas para mitigación y planes de acción de forma inmediata. Indica un riesgo elevado que puede estar en los niveles de aceptación de la entidad. Sin embargo, requiere medidas de mitigación dentro de un límite de tiempo determinado y preferiblemente a mediano plazo. RA 1 Riesgo Bajo Indica un nivel de riesgo normal, en donde la relación de impacto y probabilidad es baja y pueden ser gestionados con procedimientos rutinarios. No se deben descartar acciones que permitan mitigar al máximo su ocurrencia.

23 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 23 de 37 Tras la valoración, de ocurrencia e impacto de las amenazas sobre los activos, de forma general se obtuvieron los siguientes resultados en la estimación del riesgo para los tipos de activos hallados en I&S: Tipo de Activo Tabla 9. Resumen Valoración del riesgo Amenaza # Activos en Riesgo Crítico # Activos en Riesgo Moderado # Activos en Riesgo Bajo # Activos Afectados Comunicaciones Alteración de la información 1 1 Comunicaciones Introducción de falsa información 2 2 Comunicaciones Fuga de información 2 2 Comunicaciones Difusión de software dañino 2 2 Comunicaciones Ingeniería social 2 2 Comunicaciones Interceptación de información (escucha) Datos Alteración de la información 2 2 Datos Acceso no autorizado Datos Fuga de información Datos Corrupción de la información Datos Denegación de servicio 1 1 Datos Difusión de software dañino 1 1 Hardware Corrupción de la información 1 1 Hardware Pérdida de equipos 2 2 Hardware Extorsión 2 2 Hardware Alteración de la información Hardware Corte del suministro eléctrico 1 1 Hardware Fuga de información Hardware Robo Hardware Ingeniería social Hardware Caída del sistema por sobrecarga 1 1 2

24 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 24 de 37 Hardware actualización de equipos (hardware) Instalaciones Fuego 3 3 Instalaciones Condiciones inadecuadas de temperatura o humedad 1 1 Instalaciones Corte del suministro eléctrico 1 1 Instalaciones Desastres naturales 3 3 Recursos Humanos Fuga de información 4 4 Recursos Humanos Abuso de privilegios de acceso 4 4 Recursos Humanos Indisponibilidad del personal 4 4 Recursos Humanos Ingeniería social 4 4 Software Software Caída del sistema por sobrecarga Degradación de los soportes de almacenamiento de la información 3 3 Software Acceso no autorizado Software Errores de configuración Software Difusión de software dañino Software Denegación de servicio Software Errores de los usuarios Software Alteración de la información Software Errores del administrador Software actualización de programas (software) Suma Total

25 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 25 de 37 A continuación se presenta el análisis de riesgos con su respectiva valoración. Tabla 10 Análisis de riesgos ID ACTIVO ACTIVO AMENAZA PROBABILIDA D IMPACTO RIESGO ACT_0001 Internet Difusión de software dañino M M RM ACT_0001 Internet Interceptación de información (escucha) M A RC ACT_0001 Internet Fuga de información A A RC ACT_0001 Internet Introducción de falsa información M A RC ACT_0001 Internet Ingeniería social B A RM ACT_0002 Intranet Fuga de información A A RC ACT_0002 Intranet Difusión de software dañino M M RM ACT_0002 Intranet Alteración de la información M A RC ACT_0002 Intranet Introducción de falsa información M A RC ACT_0002 Intranet Ingeniería social B A RM ACT_0003 ACT_0004 ACT_0004 ACT_0004 ACT_0005 Red telefonía de Interceptación de información (escucha) B M RA Backups de usuarios corporativos Fuga de información M A RC Backups de usuarios corporativos Acceso no autorizado M M RM Backups de usuarios corporativos Corrupción de la información M A RC Código fuente aplicaciones de planta y administrativas Fuga de información A M RC

26 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 26 de 37 ACT_0005 ACT_0005 ACT_0005 ACT_0005 ACT_0005 ACT_0006 ACT_0006 ACT_0006 ACT_0006 ACT_0007 ACT_0007 ACT_0007 ACT_0008 Código fuente aplicaciones de planta y administrativas Denegación de servicio B B RA Código fuente aplicaciones de planta y administrativas Corrupción de la información M M RM Código fuente aplicaciones de planta y administrativas Acceso no autorizado M M RM Código fuente aplicaciones de planta y administrativas Difusión de software dañino B M RA Código fuente aplicaciones de planta y administrativas Alteración de la información M M RM Bases de datos corporativas Corrupción de la información B A RM Bases de datos corporativas Fuga de información B A RM Bases de datos corporativas Alteración de la información B A RM Bases de datos corporativas Acceso no autorizado M A RC Router Inalámbrico Router Inalámbrico Caída del sistema por sobrecarga A B RM actualización de equipos (hardware) M B RA Router Inalámbrico Robo M B RA Servidor de Correos Robo B M RA

27 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 27 de 37 ACT_0008 ACT_0008 Servidor Correos de Caída del sistema por sobrecarga M B RA Servidor de Correos Corte del suministro eléctrico M B RA ACT_0008 ACT_0008 ACT_0008 ACT_0009 ACT_0009 Servidor de Correos Fuga de información M B RA Servidor Correos de actualización de equipos (hardware) A B RM Servidor de Correos Alteración de la información M M RM Equipos de comunicaciones Robo M B RA Equipos de comunicaciones Ingeniería social B B RA ACT_0009 Equipos de comunicaciones actualización de equipos (hardware) A B RM ACT_0010 Impresoras actualización de equipos (hardware) B B RA ACT_0010 Impresoras Robo B B RA ACT_0011 Portátiles Ingeniería social B A RM ACT_0011 Portátiles Robo B A RM ACT_0011 Portátiles Pérdida de equipos B A RM ACT_0011 Portátiles actualización de equipos (hardware) A A RC ACT_0011 Portátiles Extorsión B A RM ACT_0012 Unidades de CD, DVD y Memorias extraíbles actualización de equipos (hardware) M M RM

28 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 28 de 37 ACT_0012 ACT_0013 ACT_0013 ACT_0013 ACT_0013 ACT_0013 ACT_0014 Unidades de CD, DVD y Memorias extraíbles Robo B A RM Discos duros de servidores y estaciones de actualización de equipos trabajo (hardware) A A RC Discos duros de servidores y estaciones de trabajo Fuga de información A A RC Discos duros de servidores y estaciones de trabajo Extorsión B A RM Discos duros de servidores y estaciones de trabajo Robo B A RM Discos duros de servidores y estaciones de trabajo Pérdida de equipos B A RM Discos externos información de backups Alteración de la información M A RC ACT_0014 ACT_0014 ACT_0014 ACT_0014 Discos externos información de backups Corrupción de la información M A RC Discos externos información de backups Robo B A RM Discos externos información de actualización de equipos backups (hardware) A A RC Discos externos información de backups Fuga de información M A RC

29 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 29 de 37 ACT_0015 ACT_0016 ACT_0016 UPS actualización de equipos (hardware) A B RM Centro de procesamiento de datos principal Fuego B B RA Centro de procesamiento de datos principal Desastres naturales B B RA ACT_0017 Sala eléctrica Fuego B B RA ACT_0017 Sala eléctrica Corte del suministro eléctrico B B RA ACT_0017 Sala eléctrica Desastres naturales B B RA ACT_0018 ACT_0019 ACT_0019 ACT_0020 ACT_0020 ACT_0020 ACT_0020 ACT_0021 Sistema de aire acondicionado Condiciones inadecuadas de temperatura o humedad B B RA Ubicación local de infraestructura y comunicaciones Desastres naturales B B RA Ubicación local de infraestructura y comunicaciones Fuego B B RA Analistas funcionales Ingeniería social B A RM Analistas funcionales Indisponibilidad del personal M M RM Analistas funcionales Abuso de privilegios de acceso M A RC Analistas funcionales Fuga de información M A RC Desarrolladores Abuso de privilegios de acceso M A RC ACT_0021 Desarrolladores Fuga de información M A RC

30 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 30 de 37 ACT_0021 Desarrolladores Ingeniería social B A RM ACT_0021 Desarrolladores Indisponibilidad del personal M M RM ACT_0022 ACT_0022 ACT_0022 ACT_0022 ACT_0023 ACT_0023 ACT_0023 ACT_0023 Director de informática Indisponibilidad del personal M M RM Director informática de Abuso de privilegios de acceso M A RC Director de informática Ingeniería social B A RM Director de informática Fuga de información M A RC Técnicos de operación Fuga de información M A RC Técnicos de operación Ingeniería social B A RM Técnicos operación de Abuso de privilegios de acceso M A RC Técnicos de operación Indisponibilidad del personal M M RM ACT_0024 Antivirus: Avast Errores de configuración A B RM ACT_0024 ACT_0025 ACT_0025 Antivirus: Avast actualización de programas (software) A M RC Bases de datos: SQL server 2014 Management Studio Denegación de servicio M B RA Bases de datos: SQL server 2014 Management Studio Degradación de los soportes de almacenamiento de la información M B RA

31 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 31 de 37 ACT_0025 ACT_0025 ACT_0025 ACT_0026 Bases de datos: SQL server 2014 Management Studio Errores del administrador M B RA Bases de datos: SQL server 2014 Management Studio Acceso no autorizado M M RM Bases de datos: SQL server 2014 Management Studio actualización de programas (software) A B RM Correo electrónico: Exchange actualización de programas (software) A B RM ACT_0026 ACT_0026 ACT_0027 ACT_0027 ACT_0027 Correo electrónico: Exchange Acceso no autorizado B B RA Correo electrónico: Exchange Difusión de software dañino M M RM ERP : Siesa Enterprise Errores de los usuarios M B RA ERP : Siesa Enterprise Errores de configuración M B RA ERP : Siesa Enterprise actualización de programas (software) A B RM ACT_0028 Paquete Office actualización de programas (software) M B RA

32 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 32 de 37 ACT_0029 ACT_0029 ACT_0029 ACT_0029 ACT_0030 ACT_0030 ACT_0030 Redmine (Gestión de proyectos) Errores del administrador A B RM Redmine (Gestión de proyectos) Errores de los usuarios A B RM Redmine (Gestión proyectos) de actualización de programas (software) B B RA Redmine (Gestión de proyectos) Errores de configuración A B RM Sistema operativo Microsoft Windows Difusión de software dañino B M RA Sistema operativo Microsoft Windows Errores de configuración M B RA Sistema operativo Microsoft Windows actualización de programas (software) B M RA ACT_0031 Skype actualización de programas (software) M B RA ACT_0031 Skype Errores de configuración M B RA ACT_0032 ACT_0032 Visual.Net Studio actualización de programas (software) M B RA Visual Studio.Net Errores de configuración M B RA ACT_0033 SQl developer Errores del administrador M B RA

33 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 33 de 37 ACT_0033 SQl developer Errores de configuración M B RA ACT_0033 ACT_0034 ACT_0034 ACT_0034 ACT_0034 SQl developer actualización de programas (software) M B RA Servidor de aplicaciones Alteración de la información M B RA Servidor de aplicaciones Degradación de los soportes de almacenamiento de la información M B RA Servidor de aplicaciones Errores de configuración M B RA Servidor de aplicaciones Acceso no autorizado B M RA ACT_0034 ACT_0034 ACT_0034 Servidor de aplicaciones Difusión de software dañino B B RA Servidor de aplicaciones Denegación de servicio A B RM Servidor de aplicaciones Caída del sistema por sobrecarga A B RM ACT_0034 Servidor aplicaciones de actualización de programas (software) B B RA ACT_0035 Servidor Web Errores del administrador M B RA ACT_0035 Servidor Web Denegación de servicio A B RM ACT_0035 Servidor Web Errores de configuración M B RA ACT_0035 Servidor Web Alteración de la información B A RM ACT_0035 Servidor Web Degradación de los soportes de almacenamiento de la información B M RA

34 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 34 de 37 ACT_0035 Servidor Web Acceso no autorizado B A RM ACT_0035 ACT_0035 Servidor Web Servidor Web Caída del sistema por sobrecarga A M RC actualización de programas (software) M M RM ACT_0036 ACT_0036 ACT_0036 ACT_0037 Windows server 2008 R2 Errores del administrador M B RA Windows server 2008 R2 actualización de programas (software) M B RA Windows server 2008 R2 Errores de configuración M B RA Windows server 2012 Errores del administrador M B RA ACT_0037 ACT_0037 Windows server 2012 Errores de configuración M B RA Windows server 2012 actualización de programas (software) M B RA

35 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 35 de 37 CONCLUSIONES Interfaces y Soluciones ha estado trabajando en sus procesos de forma empírica, basados en el sentido común y la experiencia; elementos que han permitido el crecimiento de la organización. Sin embargo, el estado actual de la entidad en la que se gestiona gran cantidad de información contable, financiera, comercial, procesos de producción, datos de clientes y proveedores, entre otros, exige un mayor compromiso y estandarización de los procesos de seguridad. Uno de los pasos fundamentales para mejorar la seguridad en la organización está relacionada con la gestión de riesgos, que incluye la identificación de activos con su correspondiente valoración, identificación de amenazas y valoración de riesgo. En los procesos del área de Tecnologías de la Información- según el alcance del SGSI - se identifican 37 grupos de activos clasificados en 6 tipos: Instalaciones, Comunicaciones, Hardware, Datos, Software y Recursos Humanos. Tabla 11 Tipo de Activos Tipo de Activo # Activos Comunicaciones 3 Datos 3 Hardware 9 Instalaciones 4 Recursos Humanos 4 Software 14 Total 37 Las vulnerabilidades de la organización se encuentran asociadas principalmente a la carencia de políticas, controles, y/o procedimientos de seguridad de los Sistemas de Información. Así, tras la evaluación de los activos se identifican 25 amenazas relacionadas con factores ambientales, errores humanos, falencias en configuración de software, redes, entre otros. Las amenazas detectadas sobre cada uno de los activos se convierten en un riesgo. Estos presentan una probabilidad de ocurrencia e impacto. Por lo tanto, se hace un análisis de cada uno

36 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 36 de 37 de los activos, amenazas y se estima el riesgo. Se definieron 3 niveles de riesgo: Riesgo Bajo, riesgo moderado y riesgo crítico. De forma que se obtuvo lo siguiente: Tabla 12 Valoración del riesgo Valoración del Riesgo # Activos # Amenazas Riesgo Crítico Riesgo Moderado Riesgo Bajo Los activos que se encuentran en riesgo crítico y moderado requieren medidas prontas para la mitigación del riesgo- el tiempo debe ser determinado por la organización- puesto que pueden ocurrir con una frecuencia alta y un impacto bastante negativo a nivel económico, legal y/o reputacional. 24 de los 37 activos evaluados tienen algún factor de amenaza que los deja entre riesgo crítico y moderado. A nivel porcentual se observa que estos corresponden cerca del 60 por ciento de la combinación resultante de activos y amenazas, por lo tanto, se necesita una intervención urgente.

37 Información Clasificada Versión. 1.0 Fecha: junio 2017 Página: 37 de 37