Invertir en seguridad: una oportunidad para crecer empresarialmente
Luis Yeferson Reyes Bonilla
Universidad Politécnico Grancolombiano
ESPECIALIZACIÓN EN SEGURIDAD DE LA INFORMACIÓN – VIRTUAL Bogotá DC 2019 Módulo Teórico-Práctico Actividad en contexto
1) Identifique por lo menos 3 activos de información importantes para la
empresa Gestasalud Sistema General de Seguridad Social en Salud Servicio reclamaciones por eventos catastróficos y/o accidentes de tránsito ECAT Backup PC Personas
2) Confirme en qué medida la norma ISO 27001:2013 ayudaría a la empresa
a tomar medidas con respecto a seguridad.
La entidad adopta un sistema de gestión de seguridad de la información
como una herramienta o una estrategia de negocio y la forma de desplegar el sistema de gestión de seguridad de información lo hace basado en una normal internacional que fija unos parámetros probados y garantizados para que el sistema de gestión se despliegue de mejor manera en la Entidad. Esto le otorga a la empresa confianza en la operación, en la forma que realiza sus tareas y adicionalmente a sus cliente y partes interesadas les da la tranquilidad de que los procesos de la entidad son controlados y manejados de acuerdo a las recomendaciones que se plasma en la norma del estándar internacional (ISO 27001 / 2013).
Uno de los grandes diferenciadores y de las cosas a favor de implementar
una norma, es contar con buenas practicas probadas en el mercado, para obtener beneficios en la forma de trabajar, realizar y asegurar sus activos, en la forma de gestionar sus riesgos y en la forma de manera controlada enfrentar los posibles incidentes que llegasen a presentarse.
3) Si la empresa no realiza un ejercicio de implementar políticas de
seguridad, ¿cómo se verían afectados cada uno de los principios? Mencione por lo menos 2 situaciones de afectación por cada principio.
Si la empresa no aplica políticas de seguridad se vería se verían afectados
todos los principios, dado que todos los principios están relacionados uno con el otro, los 3 principios la disponibilidad, integridad y confidencialidad, su ausencia afecta negativamente a la empresa.
Si no hay disponibilidad generaría pérdida de clientes, perdidas económicas,
perdida de información por desconexión. Si no hay confidencialidad se pierden negocios, las empresas eternas a ella adquieren información de la misma, la competencia podría usar su información a favor de posibles clientes, robar, etc. Si no hay integridad se podría perder la confiabilidad de los datos de la empresa.
Si faltara la disponibilidad del software desarrollado por la empresa de
Asesorías Integrales y Procesos Administrativos AIPAD SAS, podría afectar claramente la confianza del funcionamiento del mismo perdiendo un cliente potencia.
Llegado un fallo de conexión en el servidor físico y las dos máquinas virtuales
de la empresa, el personal que trabaja en Outsourcing, afectaría la posibilidad a la empresa de responder y adaptarse rápidamente a los cambios del negocio, evitado ser más competitiva. Si faltaría la integridad del servicio ECAT, dado que los documentos presentados ante el FOSYGA pueden ser alterados.
Además, se podría presentar una falencia de la integridad en la gestión del
Back Up dado que la restauración no se garantizaría el 100% porque puede ser manipulada y generar cambios ya sean maliciosos en la restauración.
4) De acuerdo con la afectación de los principios y los activos indicados,
indique una vulnerabilidad, amenaza y riesgo por cada activo.
Servicio reclamaciones por eventos catastróficos y/o accidentes de
tránsito ECAT: Vulnerabilidad: Interface de usuario compleja. Amenaza: Uso inadecuado del mismo software. Riesgo: Robo de información o documentación de los clientes. Backup: vulnerabilidad: Falla del de seguridad router/ servidor afectando al Cobian Backup 11. Amenaza: Permitir acceso a cibercriminales. Riesgo: El atacante de tipo man-in-the-middle ejecutar o agregar nuevas tareas de copia de seguridad cuando el servidor maestro es suplantado, además puede ejecutar comandos del sistema de remotamente mediante la violación de eventos de copia de seguridad previa. Personas: Vulnerabilidad: El personal que trabaja en Outsourcing en lugares públicos a través de la VPN. Amenaza: Personas externas a la entidad pueden capturar información almacenada medios o documentos de la empresa. Riesgo: La destrucción parcial o total de la información. 5) Mencione posibles ataques a los cuales estaría expuesta la empresa, si no se toman acciones para mejorar la gestión de la seguridad.
La falta de claridad de los activos genera que alguna información que
necesite mayor protección, sea vulnerable a cualquier persona que desee acceder a ella, lo cual no se pueden definir las estrategias de seguridad acordes a las necesidades de cada activo en relación a su nivel de riesgo e importancia relativa en la empresa. Como no hay un procedimiento claro de retiros del personal, puede suceder que no se inhabiliten los accesos a la empresa, como lo son las credenciales, acceso al correo o cualquier aparato que haga parte de la empresa. Como no cuenta con cámaras o control de acceso físico no hay registro de las personas que entran o salen de la empresa. Los accesos a las carpetas compartidas donde se encuentra el software de la empresa no cuenta con privilegios de seguridad, lo cual cualquier intervención maliciosa del cualquier personal se podría cometer.