proceso de aseguramiento y estandarizacion en el...
TRANSCRIPT
PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE
DISPOSITIVOS MOVILES EN TODO1
JAVIER ANTONIO TAPIA RUIZ
IVAN ALEXANDER PEREZ JURADO
UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN
FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
MEDELLIN
2014
PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE
DISPOSITIVOS MOVILES EN TODO1
JAVIER ANTONIO TAPIA RUIZ
IVAN ALEXANDER PEREZ JURADO
Anteproyecto presentado para optar al título de especialista en seguridad
informática
Asesor
Juan Esteban Velasquez, Consultor independiente de TI
UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN
FACULTAD DE INGENIERÍAS
ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA
MEDELLIN
2014
CONTENIDO
1. JUSTIFICACIÓN .................................................................................................. 5
2. PLANTEAMIENTO DEL PROBLEMA .................................................................. 6
3. OBJETIVO GENERAL ......................................................................................... 7
4. OBJETIVOS ESPECÍFICOS ................................................................................ 8
5. MARCO REFERENCIAL...................................................................................... 9
5.1 REALIDAD ACTUAL ....................................................................................... 9
6. DISEÑO METODÓLOGICO PRELIMINAR ........................................................ 12
6.1 POLITICA DE SEGURIDAD ......................................................................... 12
6.2 ANALISIS DE RIESGO ................................................................................. 12
6.3 CONTROLES NECESARIOS PARA EL ASEGURAMIENTO DEL
PROCESO .......................................................................................................... 13
6.4 PROGRAMA DE CONCIENCIA EN SEGURIDAD ....................................... 13
7. CRONOGRAMA ................................................................................................ 15
8. PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE
DISPOSITIVOS MOVILES EN TODO1 ................................................................. 16
8.1 POLITICA DE SEGURIDAD ......................................................................... 16
8.1.1 Definición ................................................................................................ 16
8.1.2 Componentes de la Política de seguridad .............................................. 17
8.2 ANALISIS, VALORACION Y ADMINISTRACIÓN DEL RIESGO. ................. 19
8.2.1 Definiciones ............................................................................................ 20
8.2.2 Proceso de Administración del Riesgo ................................................... 22
8.3 PROYECTOS DERIVADOS DEL ANALISIS DE RIESGO ........................... 46
8.4 CONTROLES .............................................................................................. 50
8.4.1 Controles Técnicos ................................................................................. 50
8.4.2 Proceso de aprovisionamiento y desaprovisionamiento ......................... 51
8.5 PROGRAMA DE CONCIENCIA EN SEGURIDAD ....................................... 55
8.5.1 Alcance, Objetivo y Propósito ................................................................. 55
8.5.2 Etapas del plan ....................................................................................... 56
9. CONCLUSIONES .............................................................................................. 84
10. REFERENCIAS BIBLIOGRAFICAS ................................................................. 86
LISTA DE TABLAS ................................................................................................ 87
LISTA DE FIGURAS .............................................................................................. 88
LISTA DE ANEXOS ............................................................................................... 90
GLOSARIO ............................................................................................................ 91
5
1. JUSTIFICACIÓN
Al igual que cualquier organización, TODO1 tiene como activo principal la
información, por lo tanto requiere contar con un proceso preciso, que le permita
asegurar y estandarizar el uso de los dispositivos móviles, este canal es usado por
la organización para ofrecer y gestionar su negocio, al ser TODO1 una
organización que ofrece e integra servicios a través de canales virtuales (internet)
para instituciones financieras de la región.
Teniendo esto en cuenta, se debe garantizar que dicha información – vital para el
negocio - sea almacenada y/o intercambiada de forma segura y bajo los
estandares mínimos de seguridad que se deben cumplir, evitando que se vea
comprometida y en situaciones extremas usada contra la misma organización.
Al tener este proceso definido, TODO1 se verá beneficiado, ya que asegura que la
información que viaja por canales móviles, se mantenga segura y controlada, aún
fuera del ámbito de los controles típicos de la red interna, donde tiene injerencia la
política de seguridad de la información; los empleados, por otra parte, se
beneficiarán de este proceso ya que contarán con controles adicionales que
apoyaran sus labores, de manera transparente y segura, mejorando la experiencia
de usuario y también la productividad, garantizando la continuidad de todos los
procesos en la organización.
TODO1 necesita afrontar el fenómeno conocido como Traer su propio dispositivo
al trabajo “Bring your own device” (BYOD), optando por adoptar un equilibrio entre
la seguridad y la usabilidad de modo que el empleado se sienta parte integral de la
estrategia de seguridad y no como parte del problema. [1]
6
2. PLANTEAMIENTO DEL PROBLEMA
Aunque en TODO1 actualmente, la mayoría de los recursos humanos hacen uso
de diferentes tipos de dispositivos móviles personales y corporativos, para sus
labores organizacionales, no se tiene definido un proceso claro de aseguramiento
y estandarización del uso de los mismos, que permita que se desarrollen estas
actividades de una manera segura, tal como es requerido por su naturaleza.
Esto posibilita que la aparición de potenciales brechas de seguridad o
vulnerabilidades, sumadas a la falta de una política de seguridad clara y precisa
para el mundo móvil y a la falta de conciencia en seguridad de los usuarios acerca
de los potenciales riesgos a los que se expone la información con su uso,
Terminen poniendo en una situación de compromiso el activo más importante para
la organización - La información -, con las consecuencias que de ello se derivan,
tales como la pérdida de secretos comerciales, la divulgación de información
confidencial, la pérdida de competitividad, el daño a la imagen y marca, lo que al
final se traduce en pérdida de dinero.
7
3. OBJETIVO GENERAL
Crear un proceso estándar que permita el aseguramiento de la información de la
organización que se comparte, descarga y se usa en los dispositivos móviles de
los empleados y/o terceros que trabajan para TODO1, con el fin de garantizar el
buen uso y conformidad con la política de seguridad de la información de la
organización.
8
4. OBJETIVOS ESPECÍFICOS
Elaborar una política de seguridad de la información que regule el uso de los
dispositivos móviles en la organización de manera aceptable.
Elaborar un análisis o mapa de riesgos, que evidencie el grado de exposición
actual de la información en los dispositivos móviles.
Diseñar y proponer los controles técnicos necesarios, para el aseguramiento
de la información (check list de seguridad) que se deben tener en cuenta en el
aprovisionamiento y desaprovisionamiento de los dispositivos móviles en
TODO1.
Implementar un programa de conciencia en seguridad para los empleados de
TODO1, que tenga como finalidad fortalecer el eslabón más débil de la cadena
– el recurso humano -.
9
5. MARCO REFERENCIAL
5.1 REALIDAD ACTUAL
La tendencia del uso de los dispositivos móviles personales a nivel mundial, en
todas sus presentaciones, sistemas operativos y versiones, rompieron todas las
barreras y ahora hacen parte del mundo empresarial. Haciendo que el rápido
crecimiento y la amplia adopción de este tipo de dispositivos en las redes
corporativas haya superado toda expectativa y pronóstico y por lo tanto requieren
adecuada atención desde la perspectiva de seguridad [2].
Se espera que la cantidad total de dispositivos BYOD en los 6 países más
industrializados llegará a 500 millones de dispositivos en 2016, con cerca de 1,3
dispositivos móviles por usuario1.
Características y funcionalidades como la movilidad, la facilidad de uso, el poder
de procesamiento, sumado a la convergencia de múltiples aplicaciones
centralizadas en un solo dispositivo (Correo, redes sociales, mensajería
instantánea, video conferencias, llamadas, aplicaciones portables, la nube, acceso
a la red corporativa, etc.) y a la necesidad cuasi obligatoria de la ubicuidad de los
empleados, donde el usuario final requiere todo el tiempo estar interactuando con
los diversos escenarios, personales y empresariales, ha impulsado esta tendencia
trayéndola al mundo corporativo [3]. Definitivamente esto hace de esta, una
tendencia difícil de frenar y que por el contrario se debe habilitar en nuestras
organizaciones de manera controlada, para mitigar/minimizar los riesgos a los
cuales se encuentra expuesta la información, que es importante para la empresa.
1Información tomada de estudio de Cisco https://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-
Economics_Presentation_ES-XL.pdf
10
“Traiga su propio dispositivo” (BYOD), es una tendencia que permite a los usuarios
traer sus dispositivos de uso personal a la empresa, para poder hacer uso de las
aplicaciones, información e infraestructura empresarial, de manera natural a como
se hace con los laptops y PC asignados por la organización, para el desarrollo de
sus actividades diarias [1] [4].
Para ello es fundamental que las organizaciones cuenten con medidas y controles
técnicos y operativos, enfocados en la protección de la información de la
organización, como activo principal, ya que estos dispositivos y sus usos
personales pueden traer consigo un sin número de riesgos corporativos, debido a
esto es necesario asegurar todo el ciclo de vida de la información (procesamiento,
intercambio y almacenamiento), para protegerla de dichas amenazas. Estos
riesgos son prevalentes, ya que la información del negocio convive con la
información personal en el mismo dispositivo, haciéndola más vulnerable y más
difícil de aplicar granularidad en la política de seguridad, necesaria para mantener
la información segura y lejos del alcance de los peligros de internet, como la
exposición y el acceso abusivo, malware, hackers entre otros.
Actualmente TODO1 se encuentra incluso en un estado inferior al básico con
respecto a la seguridad móvil, según el modelo de seguridad móvil para las
empresas de Gartner [5], lo que la pone en desventaja competitiva y en riesgo de
ver comprometida la información procesada por este canal.
11
FIGURA 1. MODELO DE SEGURIDAD MÓVIL PARA LAS EMPRESAS DE GARTNER
12
6. DISEÑO METODÓLOGICO PRELIMINAR
Entre los controles que deben gobernar el uso aceptable de los dispositivos
móviles en el entorno corporativo de TODO1 debemos citar:
6.1 POLITICA DE SEGURIDAD
Por medio de esta se busca definir el uso adecuado de los dispositivos BYOD,
cuando estén accediendo a información del negocio desde cualquier lugar, oficina
local o a través de internet.
Entregable. Política de seguridad para los dispositivos móviles
En este ítem entregaremos la política de seguridad de la información para el uso
aceptable de los dispositivos móviles en TODO1; cumpliendo así con uno de los
objetivos propuestos, normalizar el uso de los mismos [6]. Para la definición de
esta política se toma como base el template que propone Gartner para la
definición de políticas, adecuándolo a las necesidades de TODO1 [7].
6.2 ANALISIS DE RIESGO
Se realizará un análisis de riesgos para las principales amenazas presentes en
este tipo de tecnología, análisis que va a permitir evidenciar los riesgos a los que
se expone el negocio cuando se hace uso de este medio tecnológico por parte de
los empleados sin control alguno.
13
Entregable. Mapa de Riesgos y Proyectos derivados, por seguridad y acuerdos de
confidencialidad con la organización este artefacto no se entregará a la
universidad.
En este ítem se construirá el análisis de riesgos tomando como activo objetivo la
plataforma de dispositivos móviles, se detallaran en una matriz, los activos, las
amenazas, se hará la respectiva valoración de los mismos y se obtendrán los
riesgos altos, medios y bajos, para los que finalmente desarrollaremos medidas o
controles de seguridad esbozados en proyectos, los cuales serán el resultado de
todo este proceso, cumpliendo así con otro de los objetivos propuestos [6].
6.3 CONTROLES NECESARIOS PARA EL ASEGURAMIENTO DEL PROCESO
En esta fase se definen controles de tipo lógico y técnicos para garantizar el uso
adecuado de los dispositivos móviles, tales como:
La línea base de configuración de los dispositivos, el proceso o flujo de aprobación
de los requerimientos de los usuarios, cumpliendo así con otro de los objetivos
propuestos.
Entregable. Check list de aseguramiento de dispositivos móviles y flujograma del
proceso de aprovisionamiento y desaprovisionamiento de dispositivos móviles [6].
6.4 PROGRAMA DE CONCIENCIA EN SEGURIDAD
Es necesario como medida adicional y transversal a todos los controles
tecnológicos definidos y que debe ser continua en el tiempo, implementar un
programa de entrenamiento en seguridad de la información para que el usuario se
concientice y a través de este conocimiento mejore su comportamiento, ayudando
14
a minimizar los riesgos asociados al uso de este tipo de tecnología, cumpliendo
así con otro de los objetivos propuestos.
Entregable. Programa de conciencia en seguridad para todos los empleados de
TODO1.
Con base en esta propuesta implementaremos un marco de seguridad enfocado
en los cuatro pilares anteriormente mencionados [6].
Se muestra a continuación el modelo de seguridad propuesto para normar el
proceso.
Modelo de Seguridad Propuesto
FIGURA 2. MODELO DE SEGURIDAD PROPUESTO
15
7. CRONOGRAMA
A continuación las etapas del proyecto y su duración en el tiempo.
TABLA 1. CRONOGRAMA DE ACTIVIDADES
16
8. PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE
DISPOSITIVOS MOVILES EN TODO1
8.1 POLITICA DE SEGURIDAD
8.1.1 Definición
La política de seguridad es un documento de alto nivel que denota el compromiso
de la gerencia con la seguridad de la información en TODO1; Contiene la
definición de la seguridad de la información de sus activos principales.
Podemos definir política de seguridad, como el conjunto de normas y
procedimientos establecidos por una organización para regular el uso de la
información y de los sistemas que la tratan, con el fin de mitigar el riesgo de
pérdida, deterioro o acceso no autorizado a la misma.
La política de seguridad que adopta la empresa es el instrumento para definir las
reglas de comportamiento aceptable de todos los usuarios.
El principal objetivo de esta política es recoger las directrices que debe seguir la
seguridad de la información de acuerdo a las necesidades de la organización en
materia de BYOD y a la legislación vigente, estableciendo las pautas de actuación
en caso de incidentes y definiendo las responsabilidades.
Este documento delimita qué se tiene que proteger, de quien y porqué, explica que
es lo que está permitido y que no, determina los límites del comportamiento
aceptable y cuál es la respuesta, si estos se sobrepasan e identificar los riesgos a
los cuales está expuesta la organización.
17
8.1.2 Componentes de la Política de seguridad
La política de seguridad debe contener como mínimo las siguientes secciones:
Objetivo y propósito
En esta sección se describe el objetivo fundamental de la política, que se quiere
lograr, por ejemplo, Política de uso aceptable para dispositivos móviles - Objetivo,
normar el uso de los dispositivos móviles, cuando se trabaja con información de la
organización.
Alcance y cumplimiento
En esta sección se describe el alcance de la misma y su esquema de
cumplimiento, a quien cobija la política y a cuales procesos (usuarios de
dispositivos móviles, empleados, terceros, practicantes, socios de negocios dentro
de las instalaciones de la organización).
Definición de la política
En esta sección se define completamente la política y el detalle de sus elementos
más importantes (puntos de control específicos, tanto técnicos como
procedimentales).
Revisión de la política
En esta sección se describe el proceso y la regularidad con la cual será revisada
la política y quienes deben ser los participantes de esta revisión y actualización.
Sanciones
En esta sección se describen las sanciones para quienes violen la política, puede
ir desde una suspensión temporal, hasta la terminación del contrato con justa
causa.
18
Esta política está basada en los criterios de la norma ISO 27001, por lo que la
misma cumple con los siguientes requisitos:
- Redactada de una manera clara y que sea accesible para todo el personal.
- Corta, precisa, y de fácil comprensión.
- Aprobada y divulgada por la dirección.
- De dominio interno (Empleados en general).
- Disponible para su lectura y consulta en la intranet de la empresa.
- Referencia para la resolución de conflictos.
- Incluye otras cuestiones relativas a la seguridad de la organización.
- Define responsabilidades teniendo en cuenta que estas van asociadas a la
autoridad dentro de la organización.
- Indica que activo de información de seguridad de la información protege –
personal, información, reputación y continuidad.
- Personalizada para la organización.
- Normas y reglas que va a adoptar la organización junto con las medidas de
seguridad necesarias.
Esta política de seguridad es un documento completamente actualizado, por lo
que debe ser revisado y modificado regularmente, este proceso se puede realizar
también en los siguientes escenarios:
- Después de grandes incidentes de seguridad
- Después de una auditoria del sistema sin éxito
- Después de cambios estructurales en la organización
19
En el siguiente apartado desarrollamos la política de seguridad para el uso
aceptable de dispositivos móviles en la organización, este ítem hace parte de uno
de los entregables a la empresa, dicha política será revisada, aprobada por la alta
dirección, en este caso el comité primario y divulgada en la intranet corporativa, en
la sección de políticas, para conocimiento y cumplimiento de todos los usuarios.
Se entrega como anexo la política definida para TODO1
8.2 ANALISIS, VALORACION Y ADMINISTRACIÓN DEL RIESGO.
Durante este proceso nos apoyaremos en varias metodologías de administración
del riesgo del mercado tales como: Magerit, ISO 27005, Octave, NIST denominada
SP800-30. La idea principal de este proceso es encontrar e identificar a través del
análisis de riesgos, todos los riesgos asociados a los activos de seguridad de la
información, arrojando como resultado la lista de los riesgos, con su
correspondiente impacto en caso de que se materialicen las amenazas a las que
están expuestos y también se deben identificar aquellos controles asociados a
dichos riesgos para mitigarlos o prevenirlos.
20
FIGURA 3. PROCESO DE GESTIÓN DE RIESGOS
8.2.1 Definiciones
Riesgo
Es la probabilidad de que una amenaza tenga la capacidad de explotar una
vulnerabilidad presente en un activo de información, que genere un impacto, y que
como consecuencia afecte algún proceso del negocio, soportado por dichos
activos de información. Por esta razón los riesgos necesitan ser controlados.
Dentro del contexto de un análisis de riesgo, el riesgo se determina estimando el
grado de exposición de un activo frente a la materialización de una amenaza,
causando daños o perjuicios a la organización. El riesgo indica lo que le podría
pasar a los activos si no se protegen adecuadamente.
21
Riesgo intrínseco
Posibilidad de que se produzca un impacto determinado en un activo o en un
grupo de activos. Es el cálculo del daño probable a un activo si se encuentra
desprotegido.
Riesgo Residual
Es el riesgo que queda luego de aplicar controles o contramedidas, por muchas
medidas o controles que apliquemos sobre los activos siempre quedan riesgos
menores que deberemos administrar.
Amenaza
Son los eventos que pueden desencadenar un incidente, produciendo daños
materiales e inmateriales en los activos, Es la causa potencial de un daño a un
activo.
Vulnerabilidad
Son las debilidades que tienen los activos o grupos de activos, que pueden ser
aprovechadas por las amenazas. Una vulnerabilidad es toda aquella circunstancia
o característica de un activo que permite la materialización de ataques que
comprometen la confidencialidad, integridad o disponibilidad del mismo.
Impacto
Es la consecuencia de la materialización de una amenaza sobre un activo de
seguridad de la información, derivando probablemente en pérdidas potenciales a
la organización (dinero, imagen, clientes, etc.).
22
Controles
Son las prácticas, procedimientos y mecanismos que reducen el riesgo, estas
pueden actuar disminuyendo el impacto o la probabilidad de ocurrencia; esta es
una medida técnica u organizativa que ayuda a paliar el riesgo.
FIGURA 4. ELEMENTOS DEL ANÁLISIS DE RIESGOS Y SU RELACIÓN2
8.2.2 Proceso de Administración del Riesgo
La administración del riesgo se compone de cuatro procesos o fases:
Identificación, Análisis, evaluación y tratamiento las cuales esbozaremos de
manera general a continuación:
2 Curso de sistemas de gestión de la seguridad de la información según la norma UNE-ISO/IEC 27000
INTECO-CERT
23
A. Fase I Identificación de Riesgos
Se identifican los activos de información y las amenazas sobre los mismos
En este proceso abordaremos la elaboración de un inventario de activos que
recoja los principales activos de información de la organización, referentes al
objeto de estudio que para nuestro caso son los dispositivos móviles, y cómo
deben valorarse esos activos en función de su relevancia para la misma y del
impacto que ocasionaría un fallo de seguridad en ellos. Dentro de este proceso
revisaremos la información relacionada con la identificación de riesgos.
Identificación de los activos de información.
Inventario de activos.
Valoración de los activos.
- Identificación de los activos de información
Se denomina activo a aquello que tiene algún valor para la organización y por
tanto debe protegerse, de manera que un activo de información es aquel elemento
que contiene o manipula información. Estos pueden ser archivos, base de datos,
contratos, facturas, configuraciones de seguridad de dispositivos de
infraestructura, aplicaciones y las personas, entre otras, además porque estas al
fin son las que procesan, generan, transmiten y destruyen la información.
Para facilitar el manejo y mantenimiento del inventario los activos se pueden
clasificar en diferentes categorías:
Datos: Toda aquella información (en cualquiera de sus formatos) que se genera,
almacena, procesa, transmite y se destruye en la organización.
24
Aplicaciones: El software que se utiliza por parte de los usuarios y que finalmente
procesa y gestiona la información de la organización.
Recurso Humano: En esta categoría se encuentra todo el personal propio de la
organización, el personal subcontratado, los clientes, usuarios y en general, todos
aquellos que tengan acceso de alguna manera a los activos de información de la
organización.
Servicios: Aquí se consideran tanto los servicios internos, aquellos que una parte
de la organización suministra a otra (por ejemplo la gestión administrativa), como
los externos, aquellos que la organización suministra a clientes y usuarios (por
ejemplo la comercialización de productos).
Tecnología: Los equipos tecnológicos utilizados para procesar la información y
las comunicaciones (servidores, PCs, teléfonos, móviles impresoras, routers,
cableado, etc.)
Instalaciones Físicas: lugares en los que se alojan los sistemas de información
(oficinas, edificios, vehículos, etc.)
Equipamiento Auxiliar: En este tipo entrarían a formar parte todos aquellos
activos que dan soporte a los sistemas de información y que no se pueden
agrupar en ninguna de las categorías anteriormente definidas (equipos de
destrucción de datos, equipos de climatización, etc.)
25
FIGURA 5. CLASIFICACION DE LOS ACTIVOS DE LA ORGANIZACIÓN3
Tal como se muestra en la gráfica anterior, podemos ver las diferentes categorías
en donde se pueden clasificar los activos de información de la organización; Cada
uno de los activos que se identifiquen debe tener un responsable, que actuará
como su propietario, esta persona se hará cargo de mantener la seguridad del
activo, aunque no necesariamente será la que gestione el día a día del mismo.
- Inventario de activos
En este punto se debe definir el inventario de activos necesario para la gestión de
la seguridad, este inventario no debería duplicar otros inventarios de la
organización, pero sí debe recoger los activos más importantes e identificarlos de
manera clara y sin ambigüedades, tal como lo muestra la siguiente figura:
3 Curso de sistemas de gestión de la seguridad de la información según la norma UNE-ISO/IEC 27000
INTECO-CERT
26
FIGURA 6. INVENTARIO DE ACTIVOS4
El inventario de activos es la base para la gestión de los mismos, ya que tiene que
incluir toda la información necesaria para mantenerlos operativos e incluso poder
recuperarse ante la ocurrencia de un desastre. Como mínimo debe contener la
siguiente información:
Identificación del activo: Corresponde a un código para ordenar y localizar los
activos.
Tipo de activo: Corresponde a la categoría a la que pertenece el activo dentro de
las opciones anteriormente mencionadas.
Descripción: Corresponde con una breve descripción del activo para identificarlo
sin ambigüedades.
4 Curso de sistemas de gestión de la seguridad de la información según la norma UNE-ISO/IEC 27000
INTECO-CERT
27
Propietario: Corresponde a quien es la persona que estará a cargo del activo.
Localización: Corresponde a la ubicación en donde se encuentra físicamente el
activo. En el caso de la información en formato electrónico, corresponde a en qué
equipo se encuentra dicha información.
Plantilla de Inventario de activos
Id del
Activo
Tipo de activo Descripción Propietario Localización
1456 Información Información del negocio Gerente Smartphone
1457 Dispositivo Móviles Equipos Móviles Usuarios Smartphone
1458 Aplicaciones Móviles
Corporativas (app)
Aplicaciones Móviles
desarrolladas en la
organización
Gerente Datacenter
1159 Servicio Chat
Corporativo
Servicio de Colaboración y
ayuda a los usuarios
internos
soporte TI Datacenter
1260 Sitios corporativos
Intranet (web)
Sitio corporativo intranet
punto de convergencia de
las comunicaciones
corporativas
Soporte TI Datacenter
1261 Servicio de correo
corporativo
Servicio de Colaboración y
mensajería
soporte TI Datacenter
1362 Sistemas operativos Sistemas operativos
móviles
Usuarios Smartphone
1563 Imágen corporativa Intangible que representa
valor para la empresa,
reputación y confianza
Gerente Usuarios
1963 Usuarios móviles Usuarios que hacen uso de
la información
Usuarios Conocimiento-
Inteligencia
28
1863 Soporte TI Equipo de soporte del área
de TI
Gerente Conocimiento-
Inteligencia
1863 Dirección General Comité de la alta gerencia Gerente Conocimiento-
Inteligencia
TABLA 2. INVENTARIO DE ACTIVOS A PROTEGER EN TODO1
El inventario deberá recoger los activos que realmente tengan un peso específico
y sean significativos para la organización, agrupando aquellos que, por ser
similares, tenga sentido hacerlo.
En algunos casos, la complejidad de la organización, de sus procesos o lo
complejo de su funcionamiento, puede hacer necesario el desarrollar un árbol de
dependencias entre activos. El concepto es que algunos activos dependen de
otros, en uno o más parámetros de seguridad.
Identificar y documentar estas dependencias se convierte en un árbol de
dependencias, que dará una idea más exacta del valor de cada activo. Por
ejemplo, una aplicación alojada en un servidor, depende de este servidor para
ejecutarse, para estar disponible. Si el servidor tiene un problema o un error de
configuración, la aplicación podría ver afectada su disponibilidad. Por lo tanto el
valor del servidor puede considerarse que sea no sólo el que tiene en sí mismo,
sino también el que tiene por permitir el correcto funcionamiento de la aplicación.
- Valoración de los activos
Una vez identificados los activos, el siguiente paso a realizar es la valoración. Es
decir, se estima qué valor tienen para la organización y cuál es la importancia para
la misma.
29
Para calcular este valor, se consideró cual puede ser el daño que puede suponer
para la organización que un activo resulte no apto en cuanto a su disponibilidad,
integridad y confidencialidad.
Esta valoración se hizo de acuerdo con una escala que puede ser cuantitativa o
cualitativa. Si es posible valorar económicamente los activos, se utiliza la escala
cuantitativa. En la mayoría de los casos, no es posible o esto supone un esfuerzo
excesivo, por lo que normalmente se utilizan escalas cualitativas como por
ejemplo: bajo, medio, alto o bien un rango numérico, por ejemplo de 1 a 5. Con
independencia de la escala utilizada, los aspectos a considerar pueden ser los
daños como resultado de:
Violación de la legislación aplicable - Cumplimiento
Reducción del rendimiento de la actividad - Disponibilidad
Efecto negativo en la reputación – Afectación de la imagen
Pérdidas económicas – Impacto Financiero
Trastornos en el negocio – Altos costos, No disponibilidad
La valoración fue lo más objetiva posible, por lo que en el proceso deben estar
todas las áreas de la organización, aunque no participen en otras partes del
proceso y de esta manera obtener una imagen realista de los activos de la
organización.
Se utilizaron los siguientes parámetros para que todos los participantes valoren de
acuerdo a unos criterios comunes y se obtengan valores coherentes:
Disponibilidad. Para valorar este criterio se debe responder a la pregunta de
cuál sería la importancia o el inconveniente que tendría para la organización
el que el activo no estuviera disponible.
30
Integridad. Para valorar este criterio se debe responder a la pregunta de
qué importancia tendría para la organización que el activo fuera alterado sin
autorización ni control.
Confidencialidad. En este caso se debe responder a la pregunta de cuál es
la importancia que tendría para la organización que al activo se accediera
de manera no autorizada.
Usaremos las siguientes tablas para identificar el nivel en el que se puede ubicar
el riesgo dada la probabilidad y frecuencia de que ocurra.
TABLA 3. TABLA DE PROBABILIDAD Y/O FRECUENCIA DE OCURRENCIA
Y tomando como referencia el activo de información como el activo de mayor valor
en nuestro análisis, proponemos la siguiente triada de seguridad de la información,
para iniciar la valoración de los activos según el impacto de que ocurra.
31
TABLA 4. TABLA DE IMPACTO EN LA INFORMACIÓN
Los criterios para medir el valor del activo deben ser claros, homogéneos y fáciles
de comprender por todos los participantes en la valoración, para que se puedan
comparar los valores al final del proceso. De esta manera se identificó cuáles son
los principales activos de la organización, y por lo tanto aquellos que necesitan de
una atención especial.
La valoración de los activos fue realizada por un grupo de personas
representativas de la organización, logrando entre todos aportar una visión
razonablemente objetiva de la organización. En general se deben reunir a
personas que conozcan bien la organización.
Estas valoraciones se hicieron mediante reuniones de trabajo, donde el grupo no
fue excesivamente numeroso para que las reuniones no se alargaran demasiado.
Utilizamos un enfoque combinado que es un enfoque de alto nivel al principio, el
cual permite determinar cuáles son los activos en los que habrá que invertir más
antes de utilizar muchos recursos en el análisis. Por ello ahorra recursos al tratar
antes y de manera más exhaustiva los riesgos más importantes, mientras que al
resto de los riesgos sólo se les aplica un nivel básico de seguridad, con lo que se
32
consigue un nivel de seguridad razonable en la organización con recursos
ajustados. Es el enfoque más eficaz en cuanto a costes y a adaptabilidad en
empresas con recursos limitados.
Dentro del análisis realizado en TODO1, la siguiente es la lista de los activos
seleccionados como de mayor prioridad para el análisis.
TABLA 5. ACTIVOS/RECURSOS OBJETO DE ANALISIS DE RIESGO
B. Fase II Análisis de Riesgos
Proceso que consiste en identificar los riesgos de seguridad en TODO1,
determinar su magnitud e identificar las áreas que requieren implementación de
controles, esta parte del proceso nos permitió conocer el impacto real de que
ocurra un fallo de seguridad.
El análisis de riesgo tiene que cubrir las necesidades de seguridad de la
organización teniendo siempre en cuenta los recursos económicos y humanos que
se tienen. La inversión en seguridad tiene que ser proporcional al riesgo. Dicho
33
análisis debe aportar objetividad a los criterios en los que se apoya la seguridad ya
que se centra en proteger los activos de información más críticos, permitiendo a la
organización gestionar los riesgos de manera autónoma, apoyando la toma de
decisiones y basándose en sus propios riesgos.
Para evitar la subjetividad en la realización del análisis de riesgo se contó con la
participación de diversas áreas de la organización (Seguridad, Operaciones,
Comerciales, Gerentes).
El análisis de riesgo utiliza criterios definidos claramente que se pueden reproducir
en ocasiones sucesivas para mejorar cada día la seguridad de los activos de la
organización al irlos comparando, este análisis de riesgos se basa en la
identificación de las amenazas que pueden afectar a los activos.
Como ya hemos visto anteriormente, podríamos denominar amenaza a un evento
o incidente provocado por una entidad natural, humana o artificial que,
aprovechando una o varias vulnerabilidades relacionadas con un activo, pone en
peligro la confidencialidad, la integridad y/o la disponibilidad de ese activo. Dicho
de otro modo, una amenaza explota la vulnerabilidad del activo.
Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería
el impacto en caso de que ocurrieran y cuál o cuáles son los parámetros de
seguridad que afectaría, a la confidencialidad, a la integridad o a la disponibilidad.
En el ejercicio para TODO1, se identificaron las amenazas que pueden afectar a
estos activos, luego de una valoración en función del impacto que una amenaza
pudiera causarle al activo en caso que se materialice.
Estas amenazas fueron seleccionadas de diferentes categorías tales como: TIC,
Naturales, Humanas/sociales, Estratégicas Administrativas y asociadas a
proyectos; con esta categorización se presente dar un enfoque holístico y objetivo
a la valoración de las mismas.
- TIC: estas amenazas hacen referencia a todo los activos de tipo
tecnológico.
34
- Humanas/sociales: Hacen referencia a amenazas cuyo origen es el humano
o la sociedad.
- Naturales: Amenazas generadas por la naturaleza o fenómenos naturales.
- Administrativas: Amenazas asociadas a los proyectos mismos,
interrelaciones del equipo de trabajo, recursos empresariales y falta de
apoyo de la alta gerencia.
TABLA 6. AMENAZAS OBJETO DE ANALISIS DE RIESGO
En la siguiente tabla podemos identificar cual es la relación entre las amenazas vs
los activos; vemos que la valoración se hace marcando con una “x” en la
intersección de las dos variables, indicando que dicho activo se ve afectado por
una o más amenazas según la afinidad de impacto de esta sobre el activo.
(Ver archivo en Excel con resultados evaluación de riesgo.xls)
35
TABLA 7. RELACIÓN DE AMENAZAS VS ACTIVOS DURANTE EL ANALISIS DE RIESGO
Estas amenazas se deben valorar teniendo en cuenta la existencia o no existencia
de vulnerabilidades relacionadas con dichos activos, ya que dependiendo de este
comportamiento la probabilidad y el impacto pueden variar.
Por ejemplo: si un activo está expuesto a una amenaza pero no tiene una
vulnerabilidad que permita explotarla, el riesgo es menor que si existiera la
vulnerabilidad.
Una vez identificados los activos y las amenazas que pueden afectarlos se debe
hacer un análisis de los controles actuales que se tienen sobre el activo, esto con
el fin de potencializarlos, lo cual se ve reflejado en la inversión a realizar en
seguridad sobre ese activo.
36
C. Fase III Evaluación de Riesgos
Se valoran, analizan y priorizan los riesgos, según el valor de los activos, el
impacto y probabilidad de sus amenazas.
En la siguiente gráfica se puede ver el escenario de las amenazas vs los activos,
incluyendo su probabilidad e impacto, el producto de estas dos variables permite
priorizar los riesgos, seleccionando aquellos riesgos que deben ser tratados con
mayor urgencia.
Como se puede observar en el campo probabilidad se hace uso de los valores
esbozados anteriormente en la tabla de probalidad por frecuencia definidos para
tal fin, al igual que los valores de la tabla de Impactos del 1-5 con sus valores
asociados y la priorización de los riesgos de mayor a menor valor.
TABLA 8. VALORACIÓN DE LOS ESCENARIOS DE RIESGO DE ACUERDO A LA OCURRENCIA Y EL IMPACTO
En la siguiente grafica se pueden evidenciar los cuatro niveles de criticidad de los
riesgos, pasando por los riesgos bajos, medios, medio-altos y altos arrojados por
el análisis de riesgo. Esta gráfica nos permitirá tener una visión clara de donde
enfocar nuestro esfuerzo en materia de recursos y seguridad; para nuestro caso la
organización decidió abordar como riesgos a tratar los riesgos altos y Medio-altos
(Rojo y Naranja), dicho de otra manera, estos serán los focos en los que recaerán
los controles propuestos.
37
TABLA 9. DISTRIBUCIÓN PORCENTUAL DE LOS RIESGOS
Podemos apreciar que se tiene un 73,8% y 16,6% de los riesgos globales de la
organización dentro de estos dos niveles, en total el 90,4% será el porcentaje a
abordar con un total 38 riesgos. Este enfoque nos permite mitigar los riesgos con
mayor criticidad; con la esperanza de que al atacar estos riesgos mediante la
implementación de controles, seguramente muchos otros riesgos de los otros
niveles (medio y bajo), eventualmente también pueden quedar cubiertos de
manera total o parcial.
38
FIGURA 7. DISTRIBUCIÓN PORCENTUAL DE LOS RIESGOS
En la gráfica anterior mostramos una vista adicional con el consolidado de los
riesgos, siguiendo una distribución porcentual de visión general y de acuerdo a
la valoración previamente ejecutada.
39
TABLA 10. MATRIZ DE CALOR CON LOS RIESGOS ENCONTRADOS
En la tabla anterior vemos una matriz de calor en la cual podemos ver de
acuerdo a la probabilidad y el impacto de ocurrencia, en cuál de los cuadrantes
se encuentra el riesgo y que por ende le indique a la organización el orden en
el cual deben ser tratados y mitigados.
El orden en el cual deben ser tratados los riesgos es el siguiente:
Amenaza vs Activo Probabilidad Impacto Riesgo
Calculado
Ausencia o debilidad de las Políticas de
seguridad para móviles y regulación --
Dirección General
5 5 25
Ausencia o debilidad de las Políticas de
seguridad para móviles y regulación --
Usuarios móviles
5 5 25
Ausencia o debilidad de las Políticas de
seguridad para móviles y regulación --
5 5 25
40
Soporte TI
Falta de concientización en seguridad --
Usuarios móviles
5 5 25
Alteración del equipo Móvil -
Jailbroken/Rooted -- Teléfonos Inteligentes
4 5 20
Alteración del equipo Móvil -
Jailbroken/Rooted -- Sistemas Operativos
Móviles
4 5 20
Alteración del equipo Móvil -
Jailbroken/Rooted -- Tabletas
4 5 20
Ingeniería Social -- Usuarios móviles 4 5 20
Almacenamiento y transferencia de
informacion sin cifrar -- Información
4 4 16
Falta de controles de seguridad en los
dispositivos móviles -- Sistemas Operativos
Móviles
4 4 16
Vandalismo -- Teléfonos Inteligentes 4 4 16
Perdida/Robo/Extravío de Dispositivos
Móviles -- Teléfonos Inteligentes
4 4 16
Perdida/Robo/Extravío de Dispositivos
Móviles -- Tabletas
4 4 16
Perdida o Exposición de información
corporativa -- Teléfonos Inteligentes
4 4 16
Perdida o Exposición de información
corporativa -- Tabletas
4 4 16
Falta de controles de seguridad en los
dispositivos móviles -- Teléfonos Inteligentes
4 4 16
Vandalismo -- Tabletas 4 4 16
41
Falta de controles de seguridad en los
dispositivos móviles -- Tabletas
3 5 15
Perdida o Exposición de información
corporativa -- Sitios corporativos Intranet
3 5 15
Acceso a la red por usuario no autorizado a
través de equipo Móvil -- Teléfonos
Inteligentes
3 5 15
Acceso a la red por usuario no autorizado a
través de equipo Móvil -- Tabletas
3 5 15
Acceso a la red por usuario no autorizado a
través de equipo Móvil -- Sitios corporativos
Intranet
3 5 15
Acceso no autorizado a los datos de la
empresa -- Sitios corporativos Intranet
3 4 12
Acceso no autorizado a los datos de la
empresa -- Teléfonos Inteligentes
3 4 12
Descarga de APPs y contenido con embebido
exploit de seguridad y/o malware -- Correo
Corporativo
3 4 12
Acceso a la red por usuario no autorizado a
través de equipo Móvil -- Correo Corporativo
3 4 12
Perdida o Exposición de información
corporativa -- Servicio Chat Corporativo
3 4 12
Perdida o Exposición de información
corporativa -- Correo Corporativo
3 4 12
Descarga de APPs y contenido con embebido
exploit de seguridad y/o malware -- Servicio
Chat Corporativo
3 4 12
Acceso no autorizado a los datos de la
empresa -- Tabletas
3 4 12
42
Acceso no autorizado a los datos de la
empresa -- Correo Corporativo
3 3 9
Acceso no autorizado a los datos de la
empresa -- Servicio Chat Corporativo
3 3 9
Acceso a la red por usuario no autorizado a
través de equipo Móvil -- Sistemas
Operativos Móviles
3 3 9
Perdida o Exposición de información
corporativa -- Aplicaciones Móviles
Corporativas
4 2 8
Incremento de los riesgos de seguridad --
Soporte TI
4 2 8
Perdida o Exposición de información
corporativa -- Sistemas Operativos Móviles
2 4 8
Descarga Eléctrica -- Teléfonos Inteligentes 2 4 8
Descarga Eléctrica -- Tabletas 2 4 8
TABLA 11. CALIFICACION DE LOS RIESGOS ALTOS Y MEDIO-ALTOS EN ORDEN DE IMPORTANCIA
D. Fase IV Tratamiento de Riesgos
La gestión de esos riesgos implica seleccionar e implementar medidas técnicas y
organizativas necesarias para impedir, reducir o controlar los riesgos identificados,
de forma que los perjuicios que puedan causarle a la organización, se reduzcan.
Como parte del proceso del análisis de riesgo se determinará el criterio para
determinar cuáles van a ser los niveles de riesgo aceptables, cuáles van a ser los
niveles de riesgo inaceptables y por lo tanto cuales serán susceptibles de ser
gestionados. La gestión de los riesgos tiene como objetivo reducir los riesgos que
estén por encima de los niveles aceptables, a niveles que puedan ser asumidos
por la organización.
43
Durante el tratamiento de riesgos se identifican las opciones de tratamiento, las
cuales podrían ser eliminar, mitigar, aceptar o transferir el riesgo. De esta forma la
administración de riesgos permitirá a las compañías balancear los costos
operacionales y económicos en los esfuerzos que hagan para controlar sus
riesgos.
Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados
primero o más exhaustivamente. Se debe escoger, a la vista de los resultados,
cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera
que por debajo de ese nivel el riesgo sea aceptable y por encima no lo será y se
tomará alguna decisión al respecto.
Hay cuatro tipos de decisiones para tratar los riesgos que se consideran no
aceptables:
Transferirlo: El riesgo se traspasa a otra organización, por ejemplo
mediante un seguro. Como por ejemplo, asegurando el activo que tiene
el riesgo o subcontratando el servicio. Deben evaluarse las opciones y
tomar las acciones pertinentes para ejecutar la opción escogida, en
función del valor del activo y del coste de realizar esta transferencia (no
sólo coste económico sino también los riesgos que conlleva esta
transferencia en cuanto a la inclusión de un tercero).
Eliminarlo: Se elimina el riesgo, que sólo se puede hacer eliminando el
activo que lo genera. Aunque no suele ser la opción más viable, ya que
puede resultar difícil o demasiado costoso, si se cree posible o
necesario, habrá que establecer los pasos para conseguirlo, por ejemplo
eliminando el activo, eliminando el proceso o incluso el área de negocio
que es la fuente del riesgo.
44
Mitigarlo: Reducirlo mediante la implantación de controles que reduzcan
el riesgo a un nivel aceptable, implica seleccionar dichos controles,
definir y documentar los métodos para ponerlos en marcha y
gestionarlos; Es decir, reducir el riesgo, normalmente aplicando
controles de seguridad. Es una de las opciones más habituales.
Aceptarlo: Otra opción común es aceptar que no se puede hacer nada y
por lo tanto se asume ese riesgo. La Dirección asume el riesgo ya que
está por debajo de un valor de riesgo aceptable, simplemente requiere
que quede documentado, que la dirección conoce y acepta estos
riesgos. Los riesgos que se han asumido han de ser controlados y
revisados periódicamente de cara a evitar que evolucionen y se
conviertan en riesgos mayores.
Toda esta información quedará documentada para justificar las acciones que se
van a tomar para conseguir el nivel de seguridad que la organización quiere
alcanzar y también como referencia para posteriores análisis.
Una vez decididas las acciones a tomar, se debe realizar un nuevo análisis de
riesgo, teniendo en cuenta la nueva situación, considerando que los controles y
medidas que se ha decidido implementar, van a reducir en mayor o menor medida
el riesgo que existía, ya que ese es su objetivo. El nivel de riesgo resultante de
este segundo análisis es el riesgo residual. Este se define como el riesgo
remanente que existe después de que se hayan tomado las medidas de seguridad
apropiadas.
En una organización nunca se podrá eliminar totalmente el riesgo, siempre
quedará un cierto nivel de riesgo, por lo que es importante que todos los riesgos
residuales sean aceptados por la alta dirección.
45
FIGURA 8. PROCESO DE EVALUACIÓN DE RIESGOS
En la siguiente tabla se identifica por medio de una matriz cual es el tratamiento
que se le debe dar a los riesgo con su respectivo plan de monitoreo, el
responsable asignado y el resultado esperado.
TABLA 12. TRATAMIENTO DE LOS RIESGOS IDENTIFICADOS
46
A continuación tendremos los proyectos que se desprenden de este análisis de
riesgos, los cuales serán asignados a los diversos participantes y los cuales
deberán ser trabajados basados en la metodología de administración de
proyectos.
8.3 PROYECTOS DERIVADOS DEL ANALISIS DE RIESGO
Como parte fundamental de las recomendaciones generadas, se plantean los
siguientes proyectos a trabajar, en pro de la reducción de los riesgos encontrados
durante todo el proceso.
Proyecto 001: Definición de la política de seguridad para el uso aceptable de los
dispositivos móviles
Código Nombre
001 Proyecto: Política de seguridad para el uso aceptable de los
dispositivos móviles
Descripción
Definir una Política de seguridad para el uso aceptable de los dispositivos móviles en
TODO1
Objetivo del proyecto.
Definir una política que legisle sobre el uso adecuado de este tipo de tecnologías para
labores corporativas en TODO1 y que permita que el negocio pueda tomar ventaja de
estos dispositivos sin poner en riesgo la información que por allí se procesa, transmite y
almacena.
47
Alcance de proyecto:
Crear la política que va a regir el uso que le dan los usuarios de este tipo de tecnología en
TODO1, buscando definir las reglas de juego que van a permitir asegurar el
procesamiento, almacenamiento e intercambio de la información.
Responsables de Ejecución/ Recursos Requeridos
Área Seguridad
Tiempo Estimado de Duración
1 mes
Estado Actual
Ya se entregó a la alta gerencia para su difusión y publicación en la intranet para
conocimiento de todos los empleados.
Proyecto 002: Programa de conciencia de Seguridad de la Información
Código Nombre
002 Proyecto: Programa de conciencia de Seguridad de la
Información.
Descripción
Implementar un Programa de Conciencia de Seguridad de la Información en TODO1
Objetivo del proyecto.
Implementar un programa de conciencia de Seguridad de la información que permita crear
cultura de conciencia en seguridad de la información para mitigar los riesgos asociados al
factor humano.
48
Alcance de proyecto:
Este proyecto pretende mitigar riesgos asociados al factor Humano:
Implementar un programa de conciencia en seguridad de la Información en TODO1.
- Pérdida o robo de información.
- Ingeniería social.
- Exposición y/o Acceso no autorizado.
- Divulgación de información.
- Destrucción de información confidencial.
- Mal uso del correo.
- Suplantación.
Responsables de Ejecución/ Recursos Requeridos
Área Seguridad
Tiempo Estimado de Duración
Permanente (1 año para llegar a niveles aceptables de conciencia)
Estado Actual
Ya iniciado y en curso, actualmente se han entregado a los empleados cerca de 12
módulos con las correspondientes evaluaciones.
Proyecto 003: Configuraciones de seguridad (check list) en el aprovisionamiento
de los dispositivos móviles
Código Nombre
49
003 Proyecto: Configuraciones de seguridad (check list) en el
aprovisionamiento de los dispositivos móviles
Descripción
Implementar una serie de configuraciones de seguridad que permitan que la interacción de
los usuarios con la información y los recursos de TODO1 se realice de manera segura.
Objetivo del proyecto.
Implementar un documento a manera de check list que permita que las áreas de soporte
de TI puedan asegurar los dispositivos, para que la interacción de los usuarios con la
información y los recursos de TODO1 se realice de manera segura, manteniendo siempre
la confidencialidad, la integridad y la disponibilidad de la información.
Alcance de proyecto:
Este proyecto pretende mitigar riesgos asociados a la disponibilidad, integridad y
disponibilidad de la información, por medio de la implementación de:
- Controles criptográficos en los dispositivos
- Definir los mínimos privilegios para las aplicaciones en el uso del dispositivo
- Implementar controles de acceso fuertes para los dispositivos móviles
- Instalar software antivirus en todos los dispositivos móviles soportados en la
política
- Definir una política de actualización de software (hotfix y parches de seguridad)
- Implementar controles de seguridad para asegurar la información en dispositivos
extraviados (bloqueo y borrado remoto)
- Implementar controles para evitar propagar malware o software malicioso en el
uso de este activo (ej. escaneo de archivos adjuntos)
50
Responsables de Ejecución/ Recursos Requeridos
Área Seguridad
Soporte TI
Tiempo Estimado de Duración
Tres (3) meses.
Estado Actual
Está pendiente de entregar a las áreas de seguridad y de soporte para su
implementación.
8.4 CONTROLES
8.4.1 Controles Técnicos
Estos controles permitirán asegurar la plataforma a nivel de configuraciones del
sistema operativo y/o aplicaciones disponibles y utilizadas por los empleados a
manera de “Check List” técnico con una línea base de aseguramiento de los
dispositivos.
Básicamente este ítem comprende las configuraciones necesarias o línea base de
seguridad que se tiene que habilitar en los dispositivos móviles, una vez se ha
autorizado el aprovisionamiento del dispositivo; Estas características de seguridad
son necesarias para mantener controles fuertes que eviten que un riesgo se
materialice sobre el dispositivo, comprometiendo la información que reside en el
mismo y por ende el negocio.
Como anexo se entrega el check list técnico para el aseguramiento básico de los
dispositivos móviles en TODO1.
51
8.4.2 Proceso de aprovisionamiento y desaprovisionamiento
Este proceso involucra todo el flujo normativo para habilitar un dispositivo en la
organización, que validaciones y aprobaciones deben cumplirse para el
aprovisionamiento y desaprovisionamiento de los dispositivos móviles en TODO1.
Este ítem comprende el proceso de aprovisionamiento y desaprovisionamiento
necesario para poder ordenar el cumplimiento de la política y los controles
necesarios adicionales a los técnicos, para poder dar forma al marco de seguridad
propuesto, para cumplir con el requisito de la organización en materia de
seguridad de la información sobre el uso de los dispositivos móviles.
Descripción del flujo del proceso
Aprovisionamiento
En este proceso se hace la inscripción del dispositivo dentro del proceso y se
llevan a cabo las actividades asociadas con el mismo incluyendo la implantación
del Check list de línea base de seguridad.
Participantes
Solicitante
Es la persona que tiene necesidad por sus labores corporativas de acceder a un
recurso de la red por medio de un dispositivo móvil de uso personal u obtener un
acceso a un servicio o aplicación desde dichos dispositivos.
Supervisor del solicitante
52
Es la persona que debe aprobar la necesidad planteada por el empleado y que
está asociada al acceso requerido desde el dispositivo móvil.
Seguridad
Está área valida la factibilidad del requerimiento, velando por que se cumplan las
políticas internas de la Empresa con respecto a este tipo de dispositivos.
Ejecutante
Persona o grupo de personas de TI que ejecutan el aprovisionamiento y
finalmente configuran el acceso del dispositivo móvil.
PARTICIPANTE ACTIVIDAD RESULTADO ESPERADO
Solicitante Crea ticket en JIRA de acuerdo a
su necesidad de acceso.
Se proporcionan conceptos
generales y detalles técnicos
de la solicitud
Supervisor Aprueba la solicitud de la
necesidad del acceso
Conocimiento general de la
solicitud de acceso y su
posible impacto.
Seguridad
Crea y desarrolla las lineas base
de configuración,
adicionamente valida la
factibilidad el cambio,
cumpliendo con las políticas
internas de la Empresa
Analizar el apego de la
solicitud a las políticas de
Seguridad de la empresa.
Ejecutante Lleva a cabo el cambio
solicitado
Implementa de manera
satisfactoria el cambio
solicitado
Solicitante Prueba que el cambio se realizó Obtiene el acceso soliticado al
53
adecuadamente
Cierra la actividad en el
calendario de producción y en
JIRA
recurso, servicio o aplicación
desde el dispositivo móvil.
Confirma la correcta
ejecución de la solicitud.
TABLA 13. PROCESO DE APROVISIONAMIENTO DE LOS DISPOSITIVOS
FIGURA 9. FLUJOGRAMA DEL PROCESO DE APROVISIONAMIENTO DE LOS DISPOSITIVOS
Desaprovisionamiento
Este proceso tiene lugar cuando el dispositivo debe ser retirado por alguna de las
siguientes causales:
- Retiro voluntario del empleado del programa
54
- Despido o renuncia del empleado, esto debe ser notificado por parte del
área de recursos humanos de TODO1.
- Dispositivo robado o extraviado durante al menos 2 días.
Estos tres ítems deben conducir a la ejecución del proceso de
desaprovisionamiento inmediato del dispositivo del sistema, este proceso debe ser
llevado a cabo por el área de soporte de TI, mediante la creación de un ticket de
retiro del mismo, siguiendo las directrices del Check list para el caso y confirma al
área de seguridad de su ejecución.
FIGURA 10. FLUJOGRAMA DEL PROCESO DE DES-APROVISIONAMIENTO DE LOS DISPOSITIVOS
55
8.5 PROGRAMA DE CONCIENCIA EN SEGURIDAD
8.5.1 Alcance, Objetivo y Propósito
Desarrollar un programa de conciencia en seguridad de la información, como
control complementario que ayudará a reforzar el eslabón más débil de la cadena -
el factor humano -.
Implementamos el siguiente programa de conciencia en seguridad, involucrando al
usuario como el componente fundamental en la cadena de protección de la
información; El programa pretende generar e incrementar el nivel de conciencia en
materia de seguridad de la información, de los empleados que hacen uso de
dispositivos BYOD, enfocándose en cambiar su comportamiento para mitigar los
riesgos. Además, mantener un programa completo y consecuente con la política
de conciencia en seguridad.
El programa de conciencia en seguridad de la información se considera un control
adicional a la política de seguridad de la información y su ciclo de vida es
permanente y de largo plazo; aproximadamente un ciclo se hace en un año, cada
año y de manera consecutiva; enfocado en prevenir y detener incidentes de
seguridad en lugar de detectar y responder; y se ejecuta por necesidades del
negocio en materia de reducción del riesgo y para cumplimiento a la regulación del
mismo exigidas por los clientes actuales y para los nuevos clientes.
56
8.5.2 Etapas del plan
8.5.2.1 Definición del comité de dirección del programa
Se definió un equipo de 4 a 6 voluntarios para ayudar a planificar, construir,
ejecutar y mantener el programa. Estas personas pertenecen a diferentes áreas
dentro de la organización, con roles y conocimientos específicos, permitiendo
conformar un equipo interdisciplinario. Las reuniones de este comité son
presenciales y/o virtuales, se hacen sesiones presenciales mínimo cada 6 meses,
dado el tamaño de TODO1, se eligieron las siguientes personas para conformar el
comité.
TABLA 14. ROLES Y PARTICIPANTES DEL PROGRAMA DE CONCIENCIA EN SEGURIDAD
57
8.5.2.2 Evaluación inicial del estado de conciencia de los usuarios
Mediante el diligenciamiento de una encuesta que consta de 25 preguntas
relacionadas con el tema de conciencia en seguridad de la información, se buscó
medir de una manera cuantitativa los riesgos a los que está expuesta la
información que usa el recurso humano mediante dispositivos BYOD en la
organización.
Cada pregunta tiene un valor de riesgo asignado de entre 1 y 5; las respuestas
con valores de riesgo más bajo se marcarán con (1) y aquellas con un valor de
riesgo mayor se marcarán con (5).
Al final se hace la sumatoria de todos los valores de las respuestas de todos los
usuarios y con base en el resultado, se determinó un promedio que correspondió
con el nivel de riesgo de la organización, en materia de conciencia en seguridad
de la información.
Más adelante, en la página 64 de este documento, se describen una a una las
preguntas utilizadas en la encuesta para medir el nivel de conciencia en seguridad
inicial de los empleados.
58
FIGURA 11. EJEMPLO DE LA ENCUESTA INICIAL
Para ello se utilizó la siguiente tabla necesaria para la medición global de la
encuesta, en esta tabla se manejan unos rangos que permiten identificar cual es el
nivel actual de los usuarios en la organización en materia de conciencia seguridad
de la información, permitiendo al comité, identificar las áreas en las cuales se
requiere mayor entrenamiento y en cuales temas se debe enfocar mayormente y
los temas que requieren refuerzos, para ello se hace uso de la plataforma para el
envío de notificaciones mensuales, que indican la publicación de nuevos módulos
de entrenamiento en la plataforma “virtual learning environment” (VLE), con el
59
avance de este material se irá mejorando la cultura de seguridad de la
información, y finalmente se podrá medir el progreso de la misma en la
organización.
Nivel de Riesgo Descripción
Bajo
(1–15)
Los usuarios son conscientes de las amenazas y tienen
principios de seguridad, han realizado algún tipo de
entrenamiento y cumplen con las políticas de seguridad.
Medio-Bajo
(16-35)
Los usuarios han sido entrenados en políticas y estándares de
seguridad, son conscientes de las amenazas pero no tienen
buenos conocimientos en principios de seguridad.
Medio
(35–55)
Los usuarios son conscientes de las amenazas y saben que
deben seguir buenos principios de seguridad pero requieren
entrenamiento en las políticas y estándares de seguridad,
adicionalmente pueden no conocer cómo identificar o reportar
un incidente de seguridad.
Medio-Alto
(56-85)
Los usuarios no son conscientes de las amenazas, no conocen
los principios de seguridad y las políticas y estándares de
seguridad de la organización.
Alto
(86–100)
Los usuarios no son conscientes de las amenazas y a pesar de
que conocen de la existencia de políticas y estándares de
seguridad no las cumplen, caen en actividades o prácticas que
son vulnerables a un ataque.
TABLA 15. CATEGORIAS DEL NIVEL DE RIESGO
Los elementos a considerar para realizar la evaluación del nivel de conciencia de
los empleados son los siguientes:
60
Identificar las personas de la alta gerencia que van a patrocinar la
evaluación de conciencia.
En el desarrollo de este programa contamos con el apoyo de la
vicepresidencia de seguridad, legal y cumplimiento en cabeza del
vicepresidente, el oficial de seguridad y el área en su totalidad, los cuales
apoyaron la decisión de adquisición, implementación y despliegue del portal
VLE ”Virtual Learning Environment” un portal de SANS adquirido por la
organización luego de haber hecho un piloto por parte de seguridad y
determinar que era la herramienta adecuada para entrenar a los usuarios
en seguridad y llevar una gestión adecuada de los mismos, validando su
progreso en los temas de seguridad, necesarios para crear conciencia y
minimizar los impactos producto de ataques de ingeniería social, Phishing,
virus, hackers etc..
Correo de inicio del programa y divulgación de la Vicepresidencia de
Seguridad de TODO1
FIGURA 12. CORREO CAMPAÑA DE EXPECTATIVA ACERCA DEL PROGRAMA DE CONCIENCIA
61
Revisión del contenido de la encuesta por parte de las áreas legales y de
recursos humanos de la organización
Este contenido fue elaborado por el especialista y el oficial de seguridad y
validado y aprobado por el comité en general del programa de cultura
anteriormente conformado y mencionado.
Identificar el alcance de los usuarios a los que debe ir dirigida la encuesta
La encuesta estuvo dirigida a la totalidad de los usuarios internos y se
obtuvo una muestra interesante de la población, un 50% de la población de
los usuarios participó de manera voluntaria de la misma en el periodo
establecido.
Determinar y comunicar si la encuesta es obligatoria u opcional
Se comunicó a la organización a través del equipo de mercadeo y
comunicaciones, con el respaldo de ambas vicepresidencias - seguridad y
mercadeo - y se hizo de manera voluntaria, alentando a los usuarios a
participar sin ser obligatoria.
62
FIGURA 13. COMUNICADO PARA INICIAR CON LAS ENCUESTAS
Determinar los tiempos en los cuales va a estar disponible la encuesta
La encuesta estuvo disponible y publicada durante un mes en el sitio
definido y se llevó a cabo la respuesta de la misma por parte de los
usuarios, se recolectó la información y se hizo el respectivo análisis.
Determinar cómo se van a publicar los resultados y a quién se les
comunicarán
63
Los resultados fueron comunicados de manera interna al vicepresidente y a
los colegas de área en la reunión semanal del equipo de seguridad y
puestos en la intranet en el espacio del área de seguridad.
Posteriormente fue divulgada en el grupo primario de la organización para
que la alta dirección, tuviera conocimiento del progreso del plan y del
estado de conciencia de los usuarios de la organización.
Ejemplos de preguntas utilizadas:
1. ¿Conoce a quién contactar en caso de que su dispositivo BYOD sea
infectado y la información contenida allí sea comprometida?
a. Si, Conozco a quien contactar. (1)
b. No, no conozco a quien contactar. (5)
Explicación: Los usuarios que no conocen a quien contactar cuando su
dispositivo móvil está comprometido suponen un riesgo de seguridad, ya
que eventualmente continuarán utilizando el dispositivo, exponiendo
potencialmente a la organización.
2. ¿Ha detectado alguna vez un malware o software malicioso en su
dispositivo BYOD?
c. Sí, mi dispositivo ha sido infectado antes. (3)
d. No, mi dispositivo nunca ha sido infectado. (2)
e. Yo no conozco lo que es un malware. (4)
Explicación: Los usuarios que no son conscientes de lo que es una
amenaza de malware se convierten en un riesgo para la organización y
probablemente no conozcan cómo y cuándo reportarlo.
64
Los usuarios que indican que son conscientes de una amenaza de malware
pero aun así han sido infectados en sus dispositivos BYOD, también
suponen un riesgo ya que sus comportamientos y actividades laborales
pueden conducir a futuras infecciones.
Sin embargo el riesgo es mucho más bajo ya que los usuarios que han sido
infectados en el pasado son usualmente más conscientes de la seguridad.
Esta es la lista de preguntas que se diligenciaron en la encuesta inicial del
programa de conciencia:
¿Cuál es tu posición en la compañía?
¿Sabes si existe un equipo de seguridad en la compañía?
¿Sabes a quién contactar en caso de que tu computador sea infectado con
virus o comprometido por un Hacker?
¿Alguna vez has encontrado un virus o troyano en tu computador de
trabajo?
¿Sabes qué hacer si tu computador ha sido infectado?
¿Alguna vez has compartido tu contraseña con alguien más?
¿Si borras la información de tu computador, o este es formateado, esta
informacion es irrecuperable?
¿Qué tan seguro sientes que sea tu computador?
¿La responsabilidad de proteger la información o los equipos de nuestra
compañía recae únicamente en el equipo de seguridad?
¿Tu computador o dispositivo móvil está configurado para actualizarse
automáticamente?
¿Qué tan cuidadoso eres cuando abres un adjunto que llega por correo
electrónico?
65
¿Nosotros recibimos poco entrenamiento en cómo proteger los
computadores y la información de la organización?
¿Sabes qué es un correo scam y cómo detectarlo?
¿Tienes un antivirus instalado y actualizado en tu computador de trabajo?
¿Mi computador o mi información no tiene valor para los Hackers, yo no soy
un objetivo para ellos?
¿Tenemos políticas de navegación a Internet en la compañía?
¿Existen políticas para el uso de correo electrónico?
¿Se permiten servicios como Google - Drive o Dropbox en nuestra
organización?
¿Puedes usar tus dispositivos personales tal como tu Smartphone, para
almacenar o transmitir información confidencial de la compañía?
¿Has descargado e instalado software para uso personal en el computador
de la compañía?
¿Alguna vez tu jefe o alguien más en tu trabajo te ha solicitado tu
contraseña?
¿Usas las mismas contraseñas de tus cuentas del trabajo, para tus cuentas
personales tales como Facebook o cuentas de correo?
¿Qué tan a menudo copias o transfieres información del trabajo a tus
equipos personales?
¿Has ingresado a las cuentas del trabajo usando computadores públicos,
tales como bibliotecas, cibercafés, u hoteles?
8.5.2.3 Desarrollo del Plan de Despliegue
El programa se comunicará de manera positiva por parte de la alta gerencia. No
se enfocará en el miedo, la incertidumbre o la duda que puedan tener los usuarios
con respecto al uso de BYOD. En cambio, la atención se centrará en cómo el
66
entrenamiento no sólo protege a las personas en el trabajo, sino que los protege
en su casa y familia, También cómo esto les permite utilizar la tecnología de
manera más segura y efectiva en su vida diaria.
Tips Importantes
Todos los nuevos empleados están obligados a completar el entrenamiento
de conciencia en seguridad - en la plataforma virtual - dentro de los 6
meses siguientes a la emisión de su cuenta de correo electrónico
corporativa.
El principal método utilizado para comunicar el programa anual de
formación - en la plataforma virtual - es a través de un sistema interno de
gestión de aprendizaje denominado “Virtual Learning Environment” (VLE).
El equipo de seguridad asumirá el control operativo de formación para la
sensibilización y debe hacer cumplir esta política.
Durante el resto del año, se enviarán recordatorios mensuales para reforzar
la capacitación anual y se debe iniciar con boletines mensuales
informativos para reforzar en medio del entrenamiento.
67
FIGURA 14. RECORDATORIOS REGULARES DEL PROCESO DE CONCIENCIA
El plan se presentó al comité y a la alta gerencia para su revisión,
corrección y aprobación. Una vez se obtuvo la firma de la dirección y el
visto bueno, se procedió al lanzamiento del programa en la organización.
En la sección de anexos se entrega el programa de conciencia en
seguridad para TODO1.
68
FIGURA 15. COMUNICADO DE LA ALTA GERENCIA ACERCA DEL INICIO DEL PROGRAMA DE CONCIENCIA
Antes del lanzamiento del plan se hicieron pruebas de laboratorio con un
grupo pequeño para validar que el programa fuera el adecuado.
Adicionalmente se coordinó con el equipo de la mesa de ayuda, para que
estuviera preparado por si llegara a presentarse múltiples solicitudes
producto del programa, y validar como entrenar a nuevos usuarios que por
alguna razón faltaran o estuvieran ausentes.
Se determinó cuál era el público objetivo del programa, según el resultado
de la encuesta y basado en los riesgos relacionados con los dispositivos
BYOD. Dentro del contenido asignado se tienen los siguientes Módulos:
69
Módulos asignados a los Usuarios
Introducción
Tú eres el objetivo
Ingeniería Social
Correo electrónico y Mensajería Instantánea
Navegando
Redes Sociales
Seguridad en Dispositivos Móviles 3:40
Contraseñas 4:29
Cifrado 1:41
Protección de información 3:47
Destrucción de información 1:56
Seguridad Wi-Fi 2:12
Trabajo a distancia 2:45
Amenaza Interna 2:33
Ayuda de Escritorio 3:47
Personal de TI 4:29
Seguridad Física 2:22
Protegiendo tu computadora 2:39
Protegiendo la red de tu casa 2:30
Protegiendo a tus niños en línea 4:32
Hackeado 2:20
Liderazgo superior 4:58
PCI-DSS 1:35
FERPA 5:17
HIPAA 1:35
PII 0:43
Justicia Criminal 3:22
70
Información de impuestos federales 3:28
GLBA-EDU 2:00
GLBA-FIN 1:30
Reglas de alertas 3:23
Ética 3:06
APT 5:00
Cloud 2:25
ITAR 5:27
Retención de los datos 2:50
Números de Seguro Social 3:28
FCPA 3:42
PII federal 3:34
Protección de datos en la UE 2:43
Privacidad 1:55
Viaje internacional 2:12
Confidencialidad de los clientes en las oficinas legales 2:45
Finalizar 1:18
Estos módulos tienen un grupo de tres preguntas relacionadas con el tema, que al
final del módulo los usuarios deben resolver y que permiten aprobar el
entrenamiento parcial asociado a cada tema.
A continuación un ejemplo resumen del tipo de preguntas que aparecen una vez
se completan los módulos
71
FIGURA 16. PREGUNTAS EJEMPLO DE QUIZ 1
Respuesta acertada del Quiz, que evalúa el conocimiento aprendido en el modulo.
FIGURA 17. PREGUNTAS EJEMPLO DE QUIZ 2
72
Despliegue del contenido
Se debe definir la forma y los medios que se utilizarán para la entrega de los
contenidos a los empleados, para lo cual se consideran tópicos importantes como:
• Contar con el apoyo del personal de Marketing, Comunicaciones y
Recursos Humanos para ayudar a construir los contenidos y definir la mejor
forma para su difusión.
• Enfocar al personal en las bondades que proporciona el uso de la
tecnología con consciencia de los riesgos en lugar de evitar el uso.
• Manejar un ciclo de distribución mensual para las entregas.
• Incluir el contacto del área de seguridad para recepción de notificaciones
con comentarios, sugerencias y observaciones de los usuarios.
Medios a utilizar
• Boletines, afiches.
• Entrenamiento personalizado interno, lista de correos y tips de seguridad.
• Entrenamiento vía WEB (en línea) VLE
Medición, Seguimiento, Actualización y Mejoramiento
Para asegurar que efectivamente se está educando a los usuarios y que se está
logrando un efectivo cambio en sus comportamientos, debemos usar métodos de
medición tales como:
Quiz: Durante el entrenamiento, todos los usuarios tendrán un cuestionario en
línea para poner a prueba la comprensión de cada tema, en el cual se evaluará lo
visto (ejemplos de las preguntas en este Quiz, remitirse a las figuras 16 y 17).
73
Encuestas: Se enviará una encuesta anual de conciencia para poner a prueba la
comprensión del usuario de las políticas, las normas y en general la comprensión
de los temas de seguridad.
Evaluación de Phishing: Se tendrán evaluaciones semestrales de ataques de
tipo Phishing sin previo aviso, para comprobar en los usuarios la capacidad de
identificar, reportar y evitar ser víctimas de ataques de ingeniería social.
Este procedimiento debe empezar con un correo de Phishing a todos los usuarios
a la mitad del entrenamiento, de manera que se pueda establecer una línea base
en relación con la conciencia en seguridad de los usuarios. Se debe comunicar
que el entrenamiento es para el beneficio de las personas; que la administración
no verá el resultado, a menos que el usuario reincida 24 horas después de cada
evaluación/prueba de conciencia. Se debe enviar un correo electrónico a todo el
personal explicando la prueba de Phishing que se envió, cuántas personas fueron
víctimas y una breve explicación de cómo podrían haber determinado que era un
ataque de Phishing.
Se recomienda la siguiente política sobre fracasos:
• Para el primer fracaso en un año, a la persona se le notificará y se le
explicará lo que hizo mal.
• Para el segundo fracaso en un año, se notificará a la persona, se explicará
lo que hizo mal y se le entregará entrenamiento adicional.
• Para el tercer fracaso en un año, se contactará a la persona, se le explicará
lo que hizo mal, recibirá entrenamiento adicional y también una acción
disciplinaria; además se deberá reportar a la gerencia como un empleado
de alto riesgo.
Por ser un programa a largo plazo, se debe implementar un proceso de
retroalimentación y mejoramiento continuo, el cual incluye:
74
Evaluaciones de retroalimentación dos veces al año para obtener información de
los usuarios sobre cómo se puede mejorar el programa, se deben incluir los
puntos claves haciendo preguntas como:
¿Qué fue lo que más le gustó del programa?
¿Qué cree que se puede mejorar y cómo?
¿Qué han aprendido los usuarios?
¿Qué comportamiento cambiaron debido a lo aprendido?
Reuniones de Seguimiento
Planificar reuniones de comité dos veces al año para discutir el progreso del
entrenamiento. El Comité debe revisar los temas de capacitación e identificar que
nuevos temas se deben añadir, actualizar y eliminar, sobre la base de
cumplimiento, los requisitos legales y de reducción de riesgos. Los temas
identificados que deben ser actualizados tendrán un documento con control de
cambios para llevar un control de la versión.
Estas primeras fases corresponden con la etapa de planeación del programa de
conciencia de seguridad, a partir de este punto comienza la fase de ejecución, en
la cual se iniciará el proceso de medición del estado de conciencia de los usuarios
por medio de una encuesta y con base en los resultados de esta encuesta se
determinará qué temas son los más importantes para reforzar el estado de
conciencia.
8.5.2.4 Resultados
La encuesta reveló que los usuarios de la organización se encuentran en un nivel
de riesgo moderado y que requieren recibir entrenamiento en seguridad de la
75
Información, en temas de políticas, estándares y en identificación de ataques
informáticos.
FIGURA 18. RESULTADOS DE LA PRIMERA VALORACIÓN DEL ESTADO DE CONCIENCIA DE LOS
EMPLEADOS LUEGO DE LAS PRIMERAS EVALUACIONES
76
FIGURA 19. ITEMS A PROFUNDIZAR EN EL PROGRAMA DE CONCIENCIA
Distribución por áreas que participaron en la encuesta
Se evidencia una gran participación de los empleados lo que demuestra el interés
por el tema de la seguridad de la información, adicionalmente por le necesidad
actual del tema en las empresas, donde según los informes de seguridad, se
evidenció que la cadena más débil del eslabón es el humano y es en donde se
deben reforzar los conocimientos y los procesos y controles. Áreas como
seguridad, infraestructura, servicios profesionales y servicios transaccionales,
mostraron mayor participación.
77
FIGURA 20. DISTRIBUCIÓN DE LOS PARTICIPANTES POR ÁREAS
Riesgo promedio por Areas
En esta gráfica se puede evidenciar que el promedio por área es similar al
promedio general sin embargo podemos apreciar que áreas como contabilidad,
mercadeo, administración, arquitectura y gerencia de proyectos son las áreas con
mayor necesidad de entrenamiento y por lo tanto las de mayor riesgo.
78
FIGURA 21. NIVEL DE RIESGO PROMEDIO POR ÁREA
Riesgos por Nivel
Como se puede apreciar en la siguiente gráfica, el 50% de los usuarios
entrevistados está en un nivel de riesgo significativo y el otro 50% en un nivel de
riesgo moderado, por lo que se requiere mucho entrenamiento en temas tales
como:
- Políticas
- Identificación de amenazas
- Conceptos generales de seguridad.
79
FIGURA 22. NIVELES DE RIESGO IDENTIFICADOS
FIGURA 23. AREAS CON NIVEL DE RIESGO POR ENCIMA DE LA MEDIA
Como se puede ver en la gráfica anterior tenemos que las áreas que se
encuentran por encima de la línea roja son aquellas áreas que merecen un
tratamiento especial ya que luego de las evaluaciones realizadas se encontró que
su nivel de conciencia en seguridad está por encima de la media en TODO1.
80
A fecha de hoy se encuentra implementado el programa con 12 módulos
entregados y una participación activa de los usuarios, en el siguiente informe
puede verse el progreso de participación de los usuarios de la organización,
FIGURA 24. DETALLES GENERALES
Historico que muestra el progreso de los usuarios y modulos finalizados y por ver.
FIGURA 25. INFORMACION CONSOLIDADA
Total modulos habilitados 12 6 cada mes
Total usuario enrolados 212
Total completados 74
81
Total en progreso 119
Total no iniciados 19
Cada lunes se procede a recordar a los usuarios que se tienen modulos
pendientes por tomar , usando esto como una medida de refuerce para
cumplir con los plazos establecidos de 6 modulos por mes.
FIGURA 26. CORREO RECORDATORIO
Posteriormente al finalizar el año se hará una medicion del estado actual de
conciencia y se comparará con la primera imagen tomada antes de arrancar
el plan y se validara el progreso en el comportamiento de los usuarios en
materia de conciencia.
82
Tambien este componente pasará a ser un alimentador del mapa de ruta de
los indicadores del area de seguridad.
Al finalizar los modulos cada participante obtendrá un certificado como el
mostrado a continuacion
FIGURA 27. CERTIFICACION DEL PROGRAMA DE CONCIENCIA
Estado actual de los entregables.
Control Estado Porcentaje Aprobación observaciones
Política de
seguridad
para
Entregado y
publicada
100% OK Requerida para
el cumplimiento
PCI y SSAE
83
dispositivos
Móviles
16.
Control
técnico de
dispositivo
móviles
Terminado y
por aprobar
100 % OK Este control
requiere de
aprobación del
comité una vez
se dictamine el
inicio de
proceso en el
próximo año
Análisis de
riesgos
Ejecutado y
terminado
100 % OK Necesario
como insumo
para
implementación
de los controles
,
Programa de
conciencia se
seguridad de
la Información
Ejecutado e
implementado
y en progreso
100% OK En progreso
continuo, ya
que es un ciclo
y no termina
TABLA 16. ESTADO ACTUAL DE LOS PROYECTOS
84
9. CONCLUSIONES
- Para cualquier negocio, la información es el activo más importante y por
ende siempre se hace imprescindible la implementación de controles
técnicos, humanos y de procesos para protegerla, en cualquiera de sus
estados (procesada, almacenada y en tránsito).
- Para las organizaciones que brindan servicios a entidades financieras
como lo hace TODO1, por el tipo de informacion que se procesa y es
necesario proteger, es indispensable contar con políticas que permitan
gobernar o normar el uso que se le debe dar a este tipo de tecnologías
al interior.
- Es importante contar con un proceso de clasificación de la información
como insumo para el análisis de riesgo, ya que permite que dicho
análisis se haga de manera más precisa, identificando de manera más
adecuada cuales serían los activos más importantes a proteger no
solamente por su uso, sino por el manejo que le dan a la información
procesada por estos y que ha sido identificada como clave para la
compañía.
- Existen diferentes estados de maduración de las organizaciones en el
proceso de aseguramiento de la información que se procesa por medio
del canal móvil, para empresas de tecnología como TODO1, es
imprescindible llegar lo más rápido posible al nivel en donde se sienta
más a gusto con la seguridad, implementando los controles técnicos, de
procesos, tecnológicos y/o humanos que sean necesarios para
asegurar que la interacción de los empleados con la información, es
“segura” y que los riesgos existentes e identificados son reducidos,
aceptados, mitigados o transferidos de manera adecuada.
85
- Un programa de conciencia en seguridad es parte fundamental de la
cultura organizacional de cualquier compañía, porque permite que los
empleados y terceros involucrados con el procesamiento de la
información, bien sea por medios tecnológicos o como parte de
procesos humanos, tengan la capacidad de identificar potenciales
situaciones de seguridad que buscan aprovecharse de las
vulnerabilidades presentes en cada uno de los activos de la compañía
para acceder de manera no autorizada y/o maliciosa a la información.
- Los programas de conciencia en seguridad son procesos que nunca
deben terminar y que se deben mantener en el tiempo, actualizándose
regularmente y teniendo en cuenta la evolución de la tecnología
existente, las tendencias, los nuevos procesos, sobre todo porque
participa como actor fundamental, el eslabón más débil de la cadena de
la seguridad de la información – el factor humano -.
86
10. REFERENCIAS BIBLIOGRAFICAS
[1] Steve Mansfield-Devine, Interview: BYOD and the Enterprise Network,
Computer Fraud & Security, Volume 2012, Issue 4, Pages 14-17 (April 2012)
[2] Dionisio Zumerle, Jhon Girard, A guide to Gartner Enterprise Mobile Security
Self-Assessment, G00246739, Pages 1-2 (January 2014)
[3] Bill Morrow, BYOD Security Challenges: Control And protect your most
sensitive data, Network Security, Volume 2012, Issue 12, Pages 5-8 (December-
2012)
[4] CISCO IBSG Horizons, El Impacto Financiero de BYOD, Page 1-6 (May 2013)
[5] Dionisio Zumerle, Jhon Girard, A guide to Gartner Enterprise Mobile Security
Self-Assessment, G00246739, Page 3 (January 2014)
[6] Bryan Taylor, Use the Key Levers of Process to Ensure BYOD Success,
G00250199, Pages 1-3 (April 2013)
[7] Rich Doheny, Leif-Olof Wallin, Ken Dulaney, Toolkit: Enterprise-Owned Mobile
Device Policy Template, G00258602, Pages 1-4 (April 2013)
87
LISTA DE TABLAS
Tabla 1. Cronograma de actividades…………………………………………………15
Tabla 2. Inventario de activos a proteger en TODO1……………………………….28
Tabla 3. Tabla de probabilidad y/o Frecuencia de ocurrencia……………………..30
Tabla 4. Tabla de impacto en la información………………………………………...31
Tabla 5. Activos/recursos objeto de análisis de riesgo………………………..........32
Tabla 6. Amenazas objeto de análisis de riesgo…………………………………….34
Tabla 7. Relación de Amenazas vs Activos durante el análisis de riesgo…..........35
Tabla 8. Valoración de los escenarios de riesgo de acuerdo a la ocurrencia y el
impacto……………………………………………………………………………...........36
Tabla 9. Distribución porcentual de los riesgos………………………………...........37
Tabla 10. Matriz de calor con los riesgos encontrados……………………………...39
Tabla 11. Calificación de los riesgos altos y medio-altos en orden de
importancia……………………………………………………………………………….42
Tabla 12. Tratamiento de los riesgos identificados……………………………….....45
Tabla 13. Proceso de aprovisionamiento de los dispositivos……………………….53
Tabla 14. Roles y participantes del programa de conciencia……………………….56
Tabla 15. Categorías del nivel de riesgo………………………………………………59
Tabla 16. Estado actual de los proyectos……………………………………………..83
88
LISTA DE FIGURAS
Figura 1. Modelo de seguridad Móvil para las empresas de Gartner……………...11
Figura 2. Modelo de seguridad propuesto…………………………………………….14
Figura 3. proceso de gestión de riesgos………………………………………...........20
Figura 4. Elementos del análisis de riesgos y su relación…………………………..22
Figura 5. Clasificación de los activos de la organización………………..................25
Figura 6. Inventario de activos………………………………………………………….26
Figura 7. Distribución porcentual de los riesgos……………………………………...38
Figura 8. Proceso de evaluación de riesgos………………………………………….45
Figura 9. Flujograma del proceso de aprovisionamiento de los
dispositivos……………………………………………………………………………….53
Figura 10. Flujograma del proceso de des-aprovisionamiento de los
dispositivos………………………………………………………………..……………...54
Figura 11. Ejemplo de la encuesta inicial….……………………………..…………...58
Figura 12. Correo campaña de expectativa acerca del programa de
conciencia……………………………………………………………………..………….60
Figura 13. Comunicado para iniciar con las encuestas…………………..…...........62
Figura 14. Recordatorios regulares del proceso de conciencia…………...………..67
Figura 15. Comunicado de la alta gerencia acerca del inicio del programa de
conciencia………………………………………………………………………..……….68
Figura 16. Preguntas ejemplo de Quiz 1………………………………………………71
Figura 17. Preguntas ejemplo de Quiz 2………………………………………………71
Figura 18. Resultados luego de la primera valoración del estado de conciencia de
los empleados luego de las primeras evaluaciones………………………………….75
Figura 19. Ítems a profundizar en el programa de conciencia……………………...76
Figura 20. Distribución de los participantes por áreas……………………………….77
Figura 21. Nivel de riesgo promedio por área………………………………………...78
Figura 22. Niveles de riesgo identificados…………………………………………….79
Figura 23. Areas con nivel de riesgo por encima de la media………………..........79
Figura 24. Detalles generales…………………………………………………………..80
89
Figura 25. Informacion consolidada……………………………………………………80
Figura 26. Correo recordatorio…………………………………………………………81
Figura 27. Certificación del programa de conciencia………………………………...82
90
LISTA DE ANEXOS
1. Política de Seguridad para el uso de los dispositivos móviles en TODO1
2. Check list para el proceso de aprovisionamiento de los dispositivos
3. Programa de conciencia en seguridad
91
GLOSARIO
BYOD: Concepto con el cual se conoce al hecho de que los empleados de una
organización utilicen sus propios dispositivos móviles –de uso personal- para
labores corporativas con toda la inclusión de riesgos de seguridad que esto
supone para las organizaciones.
VLE: Plataforma virtual en línea, llamada “Virtual Learning Environment” por medio
de la cual los empleados de TODO1, pueden acceder al contenido de los módulos
de seguridad definidos en el programa de conciencia de seguridad.
MALWARE: Código malicioso o malintencionado que tiene como finalidad el robo
de informacion o daña en los dispositivos sin el consentimiento de los dueños. Es
utilizado por los hackers para realizar fraudes financieros y/o de robo de
información con el objetivo de atacar a objetivos de gran valor.
CHECK LIST: Documento con la definición de la línea base de aseguramiento de
los dispositivos móviles, diseñado para que las áreas de TI de TODO1 puedan
aprovisionarlos cuando se requiera y que busca de manera básica proteger la
información que se procesa por este canal.
LAPTOPS: Dispositivos o computadores portátiles, usados por los empleados
para sus labores corporativas.
HACKERS: Personas que buscan la manera de acceder a recursos, sistemas,
información de manera fraudulenta y no autorizada, con el fin de obtener
reconocimiento, dinero, imagen, etc. y con consecuencias casi siempre negativas
para la víctima.