proceso de aseguramiento y estandarizacion en el...

PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE

DISPOSITIVOS MOVILES EN TODO1

JAVIER ANTONIO TAPIA RUIZ

IVAN ALEXANDER PEREZ JURADO

UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN

FACULTAD DE INGENIERÍAS

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA

MEDELLIN

2014

PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE


JAVIER ANTONIO TAPIA RUIZ

IVAN ALEXANDER PEREZ JURADO

Anteproyecto presentado para optar al título de especialista en seguridad

informática

Asesor

Juan Esteban Velasquez, Consultor independiente de TI

UNIVERSIDAD DE SAN BUENAVENTURA SECCIONAL MEDELLÍN

FACULTAD DE INGENIERÍAS

ESPECIALIZACIÓN EN SEGURIDAD INFORMATICA

MEDELLIN

2014

CONTENIDO

1. JUSTIFICACIÓN .................................................................................................. 5

2. PLANTEAMIENTO DEL PROBLEMA .................................................................. 6

3. OBJETIVO GENERAL ......................................................................................... 7

4. OBJETIVOS ESPECÍFICOS ................................................................................ 8

5. MARCO REFERENCIAL...................................................................................... 9

5.1 REALIDAD ACTUAL ....................................................................................... 9

6. DISEÑO METODÓLOGICO PRELIMINAR ........................................................ 12

6.1 POLITICA DE SEGURIDAD ......................................................................... 12

6.2 ANALISIS DE RIESGO ................................................................................. 12

6.3 CONTROLES NECESARIOS PARA EL ASEGURAMIENTO DEL

PROCESO .......................................................................................................... 13

6.4 PROGRAMA DE CONCIENCIA EN SEGURIDAD ....................................... 13

7. CRONOGRAMA ................................................................................................ 15

8. PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE

DISPOSITIVOS MOVILES EN TODO1 ................................................................. 16

8.1 POLITICA DE SEGURIDAD ......................................................................... 16

8.1.1 Definición ................................................................................................ 16

8.1.2 Componentes de la Política de seguridad .............................................. 17

8.2 ANALISIS, VALORACION Y ADMINISTRACIÓN DEL RIESGO. ................. 19

8.2.1 Definiciones ............................................................................................ 20

8.2.2 Proceso de Administración del Riesgo ................................................... 22

8.3 PROYECTOS DERIVADOS DEL ANALISIS DE RIESGO ........................... 46

8.4 CONTROLES .............................................................................................. 50

8.4.1 Controles Técnicos ................................................................................. 50

8.4.2 Proceso de aprovisionamiento y desaprovisionamiento ......................... 51

8.5 PROGRAMA DE CONCIENCIA EN SEGURIDAD ....................................... 55

8.5.1 Alcance, Objetivo y Propósito ................................................................. 55

8.5.2 Etapas del plan ....................................................................................... 56

9. CONCLUSIONES .............................................................................................. 84

10. REFERENCIAS BIBLIOGRAFICAS ................................................................. 86

LISTA DE TABLAS ................................................................................................ 87

LISTA DE FIGURAS .............................................................................................. 88

LISTA DE ANEXOS ............................................................................................... 90

GLOSARIO ............................................................................................................ 91

5

1. JUSTIFICACIÓN

Al igual que cualquier organización, TODO1 tiene como activo principal la

información, por lo tanto requiere contar con un proceso preciso, que le permita

asegurar y estandarizar el uso de los dispositivos móviles, este canal es usado por

la organización para ofrecer y gestionar su negocio, al ser TODO1 una

organización que ofrece e integra servicios a través de canales virtuales (internet)

para instituciones financieras de la región.

Teniendo esto en cuenta, se debe garantizar que dicha información – vital para el

negocio - sea almacenada y/o intercambiada de forma segura y bajo los

estandares mínimos de seguridad que se deben cumplir, evitando que se vea

comprometida y en situaciones extremas usada contra la misma organización.

Al tener este proceso definido, TODO1 se verá beneficiado, ya que asegura que la

información que viaja por canales móviles, se mantenga segura y controlada, aún

fuera del ámbito de los controles típicos de la red interna, donde tiene injerencia la

política de seguridad de la información; los empleados, por otra parte, se

beneficiarán de este proceso ya que contarán con controles adicionales que

apoyaran sus labores, de manera transparente y segura, mejorando la experiencia

de usuario y también la productividad, garantizando la continuidad de todos los

procesos en la organización.

TODO1 necesita afrontar el fenómeno conocido como Traer su propio dispositivo

al trabajo “Bring your own device” (BYOD), optando por adoptar un equilibrio entre

la seguridad y la usabilidad de modo que el empleado se sienta parte integral de la

estrategia de seguridad y no como parte del problema. [1]

6

2. PLANTEAMIENTO DEL PROBLEMA

Aunque en TODO1 actualmente, la mayoría de los recursos humanos hacen uso

de diferentes tipos de dispositivos móviles personales y corporativos, para sus

labores organizacionales, no se tiene definido un proceso claro de aseguramiento

y estandarización del uso de los mismos, que permita que se desarrollen estas

actividades de una manera segura, tal como es requerido por su naturaleza.

Esto posibilita que la aparición de potenciales brechas de seguridad o

vulnerabilidades, sumadas a la falta de una política de seguridad clara y precisa

para el mundo móvil y a la falta de conciencia en seguridad de los usuarios acerca

de los potenciales riesgos a los que se expone la información con su uso,

Terminen poniendo en una situación de compromiso el activo más importante para

la organización - La información -, con las consecuencias que de ello se derivan,

tales como la pérdida de secretos comerciales, la divulgación de información

confidencial, la pérdida de competitividad, el daño a la imagen y marca, lo que al

final se traduce en pérdida de dinero.

7

3. OBJETIVO GENERAL

Crear un proceso estándar que permita el aseguramiento de la información de la

organización que se comparte, descarga y se usa en los dispositivos móviles de

los empleados y/o terceros que trabajan para TODO1, con el fin de garantizar el

buen uso y conformidad con la política de seguridad de la información de la

organización.

8

4. OBJETIVOS ESPECÍFICOS

Elaborar una política de seguridad de la información que regule el uso de los

dispositivos móviles en la organización de manera aceptable.

Elaborar un análisis o mapa de riesgos, que evidencie el grado de exposición

actual de la información en los dispositivos móviles.

Diseñar y proponer los controles técnicos necesarios, para el aseguramiento

de la información (check list de seguridad) que se deben tener en cuenta en el

aprovisionamiento y desaprovisionamiento de los dispositivos móviles en

TODO1.

Implementar un programa de conciencia en seguridad para los empleados de

TODO1, que tenga como finalidad fortalecer el eslabón más débil de la cadena

– el recurso humano -.

9

5. MARCO REFERENCIAL

5.1 REALIDAD ACTUAL

La tendencia del uso de los dispositivos móviles personales a nivel mundial, en

todas sus presentaciones, sistemas operativos y versiones, rompieron todas las

barreras y ahora hacen parte del mundo empresarial. Haciendo que el rápido

crecimiento y la amplia adopción de este tipo de dispositivos en las redes

corporativas haya superado toda expectativa y pronóstico y por lo tanto requieren

adecuada atención desde la perspectiva de seguridad [2].

Se espera que la cantidad total de dispositivos BYOD en los 6 países más

industrializados llegará a 500 millones de dispositivos en 2016, con cerca de 1,3

dispositivos móviles por usuario1.

Características y funcionalidades como la movilidad, la facilidad de uso, el poder

de procesamiento, sumado a la convergencia de múltiples aplicaciones

centralizadas en un solo dispositivo (Correo, redes sociales, mensajería

instantánea, video conferencias, llamadas, aplicaciones portables, la nube, acceso

a la red corporativa, etc.) y a la necesidad cuasi obligatoria de la ubicuidad de los

empleados, donde el usuario final requiere todo el tiempo estar interactuando con

los diversos escenarios, personales y empresariales, ha impulsado esta tendencia

trayéndola al mundo corporativo [3]. Definitivamente esto hace de esta, una

tendencia difícil de frenar y que por el contrario se debe habilitar en nuestras

organizaciones de manera controlada, para mitigar/minimizar los riesgos a los

cuales se encuentra expuesta la información, que es importante para la empresa.

1Información tomada de estudio de Cisco https://www.cisco.com/web/about/ac79/docs/re/byod/BYOD-

Economics_Presentation_ES-XL.pdf

10

“Traiga su propio dispositivo” (BYOD), es una tendencia que permite a los usuarios

traer sus dispositivos de uso personal a la empresa, para poder hacer uso de las

aplicaciones, información e infraestructura empresarial, de manera natural a como

se hace con los laptops y PC asignados por la organización, para el desarrollo de

sus actividades diarias [1] [4].

Para ello es fundamental que las organizaciones cuenten con medidas y controles

técnicos y operativos, enfocados en la protección de la información de la

organización, como activo principal, ya que estos dispositivos y sus usos

personales pueden traer consigo un sin número de riesgos corporativos, debido a

esto es necesario asegurar todo el ciclo de vida de la información (procesamiento,

intercambio y almacenamiento), para protegerla de dichas amenazas. Estos

riesgos son prevalentes, ya que la información del negocio convive con la

información personal en el mismo dispositivo, haciéndola más vulnerable y más

difícil de aplicar granularidad en la política de seguridad, necesaria para mantener

la información segura y lejos del alcance de los peligros de internet, como la

exposición y el acceso abusivo, malware, hackers entre otros.

Actualmente TODO1 se encuentra incluso en un estado inferior al básico con

respecto a la seguridad móvil, según el modelo de seguridad móvil para las

empresas de Gartner [5], lo que la pone en desventaja competitiva y en riesgo de

ver comprometida la información procesada por este canal.

11

FIGURA 1. MODELO DE SEGURIDAD MÓVIL PARA LAS EMPRESAS DE GARTNER

12

6. DISEÑO METODÓLOGICO PRELIMINAR

Entre los controles que deben gobernar el uso aceptable de los dispositivos

móviles en el entorno corporativo de TODO1 debemos citar:

6.1 POLITICA DE SEGURIDAD

Por medio de esta se busca definir el uso adecuado de los dispositivos BYOD,

cuando estén accediendo a información del negocio desde cualquier lugar, oficina

local o a través de internet.

Entregable. Política de seguridad para los dispositivos móviles

En este ítem entregaremos la política de seguridad de la información para el uso

aceptable de los dispositivos móviles en TODO1; cumpliendo así con uno de los

objetivos propuestos, normalizar el uso de los mismos [6]. Para la definición de

esta política se toma como base el template que propone Gartner para la

definición de políticas, adecuándolo a las necesidades de TODO1 [7].

6.2 ANALISIS DE RIESGO

Se realizará un análisis de riesgos para las principales amenazas presentes en

este tipo de tecnología, análisis que va a permitir evidenciar los riesgos a los que

se expone el negocio cuando se hace uso de este medio tecnológico por parte de

los empleados sin control alguno.

13

Entregable. Mapa de Riesgos y Proyectos derivados, por seguridad y acuerdos de

confidencialidad con la organización este artefacto no se entregará a la

universidad.

En este ítem se construirá el análisis de riesgos tomando como activo objetivo la

plataforma de dispositivos móviles, se detallaran en una matriz, los activos, las

amenazas, se hará la respectiva valoración de los mismos y se obtendrán los

riesgos altos, medios y bajos, para los que finalmente desarrollaremos medidas o

controles de seguridad esbozados en proyectos, los cuales serán el resultado de

todo este proceso, cumpliendo así con otro de los objetivos propuestos [6].

6.3 CONTROLES NECESARIOS PARA EL ASEGURAMIENTO DEL PROCESO

En esta fase se definen controles de tipo lógico y técnicos para garantizar el uso

adecuado de los dispositivos móviles, tales como:

La línea base de configuración de los dispositivos, el proceso o flujo de aprobación

de los requerimientos de los usuarios, cumpliendo así con otro de los objetivos

propuestos.

Entregable. Check list de aseguramiento de dispositivos móviles y flujograma del

proceso de aprovisionamiento y desaprovisionamiento de dispositivos móviles [6].

6.4 PROGRAMA DE CONCIENCIA EN SEGURIDAD

Es necesario como medida adicional y transversal a todos los controles

tecnológicos definidos y que debe ser continua en el tiempo, implementar un

programa de entrenamiento en seguridad de la información para que el usuario se

concientice y a través de este conocimiento mejore su comportamiento, ayudando

14

a minimizar los riesgos asociados al uso de este tipo de tecnología, cumpliendo

así con otro de los objetivos propuestos.

Entregable. Programa de conciencia en seguridad para todos los empleados de

TODO1.

Con base en esta propuesta implementaremos un marco de seguridad enfocado

en los cuatro pilares anteriormente mencionados [6].

Se muestra a continuación el modelo de seguridad propuesto para normar el

proceso.

Modelo de Seguridad Propuesto

FIGURA 2. MODELO DE SEGURIDAD PROPUESTO

15

7. CRONOGRAMA

A continuación las etapas del proyecto y su duración en el tiempo.

TABLA 1. CRONOGRAMA DE ACTIVIDADES

16

8. PROCESO DE ASEGURAMIENTO Y ESTANDARIZACION EN EL USO DE


8.1 POLITICA DE SEGURIDAD

8.1.1 Definición

La política de seguridad es un documento de alto nivel que denota el compromiso

de la gerencia con la seguridad de la información en TODO1; Contiene la

definición de la seguridad de la información de sus activos principales.

Podemos definir política de seguridad, como el conjunto de normas y

procedimientos establecidos por una organización para regular el uso de la

información y de los sistemas que la tratan, con el fin de mitigar el riesgo de

pérdida, deterioro o acceso no autorizado a la misma.

La política de seguridad que adopta la empresa es el instrumento para definir las

reglas de comportamiento aceptable de todos los usuarios.

El principal objetivo de esta política es recoger las directrices que debe seguir la

seguridad de la información de acuerdo a las necesidades de la organización en

materia de BYOD y a la legislación vigente, estableciendo las pautas de actuación

en caso de incidentes y definiendo las responsabilidades.

Este documento delimita qué se tiene que proteger, de quien y porqué, explica que

es lo que está permitido y que no, determina los límites del comportamiento

aceptable y cuál es la respuesta, si estos se sobrepasan e identificar los riesgos a

los cuales está expuesta la organización.

17

8.1.2 Componentes de la Política de seguridad

La política de seguridad debe contener como mínimo las siguientes secciones:

Objetivo y propósito

En esta sección se describe el objetivo fundamental de la política, que se quiere

lograr, por ejemplo, Política de uso aceptable para dispositivos móviles - Objetivo,

normar el uso de los dispositivos móviles, cuando se trabaja con información de la

organización.

Alcance y cumplimiento

En esta sección se describe el alcance de la misma y su esquema de

cumplimiento, a quien cobija la política y a cuales procesos (usuarios de

dispositivos móviles, empleados, terceros, practicantes, socios de negocios dentro

de las instalaciones de la organización).

Definición de la política

En esta sección se define completamente la política y el detalle de sus elementos

más importantes (puntos de control específicos, tanto técnicos como

procedimentales).

Revisión de la política

En esta sección se describe el proceso y la regularidad con la cual será revisada

la política y quienes deben ser los participantes de esta revisión y actualización.

Sanciones

En esta sección se describen las sanciones para quienes violen la política, puede

ir desde una suspensión temporal, hasta la terminación del contrato con justa

causa.

18

Esta política está basada en los criterios de la norma ISO 27001, por lo que la

misma cumple con los siguientes requisitos:

- Redactada de una manera clara y que sea accesible para todo el personal.

- Corta, precisa, y de fácil comprensión.

- Aprobada y divulgada por la dirección.

- De dominio interno (Empleados en general).

- Disponible para su lectura y consulta en la intranet de la empresa.

- Referencia para la resolución de conflictos.

- Incluye otras cuestiones relativas a la seguridad de la organización.

- Define responsabilidades teniendo en cuenta que estas van asociadas a la

autoridad dentro de la organización.

- Indica que activo de información de seguridad de la información protege –

personal, información, reputación y continuidad.

- Personalizada para la organización.

- Normas y reglas que va a adoptar la organización junto con las medidas de

seguridad necesarias.

Esta política de seguridad es un documento completamente actualizado, por lo

que debe ser revisado y modificado regularmente, este proceso se puede realizar

también en los siguientes escenarios:

- Después de grandes incidentes de seguridad

- Después de una auditoria del sistema sin éxito

- Después de cambios estructurales en la organización

19

En el siguiente apartado desarrollamos la política de seguridad para el uso

aceptable de dispositivos móviles en la organización, este ítem hace parte de uno

de los entregables a la empresa, dicha política será revisada, aprobada por la alta

dirección, en este caso el comité primario y divulgada en la intranet corporativa, en

la sección de políticas, para conocimiento y cumplimiento de todos los usuarios.

Se entrega como anexo la política definida para TODO1

8.2 ANALISIS, VALORACION Y ADMINISTRACIÓN DEL RIESGO.

Durante este proceso nos apoyaremos en varias metodologías de administración

del riesgo del mercado tales como: Magerit, ISO 27005, Octave, NIST denominada

SP800-30. La idea principal de este proceso es encontrar e identificar a través del

análisis de riesgos, todos los riesgos asociados a los activos de seguridad de la

información, arrojando como resultado la lista de los riesgos, con su

correspondiente impacto en caso de que se materialicen las amenazas a las que

están expuestos y también se deben identificar aquellos controles asociados a

dichos riesgos para mitigarlos o prevenirlos.

20

FIGURA 3. PROCESO DE GESTIÓN DE RIESGOS

8.2.1 Definiciones

Riesgo

Es la probabilidad de que una amenaza tenga la capacidad de explotar una

vulnerabilidad presente en un activo de información, que genere un impacto, y que

como consecuencia afecte algún proceso del negocio, soportado por dichos

activos de información. Por esta razón los riesgos necesitan ser controlados.

Dentro del contexto de un análisis de riesgo, el riesgo se determina estimando el

grado de exposición de un activo frente a la materialización de una amenaza,

causando daños o perjuicios a la organización. El riesgo indica lo que le podría

pasar a los activos si no se protegen adecuadamente.

21

Riesgo intrínseco

Posibilidad de que se produzca un impacto determinado en un activo o en un

grupo de activos. Es el cálculo del daño probable a un activo si se encuentra

desprotegido.

Riesgo Residual

Es el riesgo que queda luego de aplicar controles o contramedidas, por muchas

medidas o controles que apliquemos sobre los activos siempre quedan riesgos

menores que deberemos administrar.

Amenaza

Son los eventos que pueden desencadenar un incidente, produciendo daños

materiales e inmateriales en los activos, Es la causa potencial de un daño a un

activo.

Vulnerabilidad

Son las debilidades que tienen los activos o grupos de activos, que pueden ser

aprovechadas por las amenazas. Una vulnerabilidad es toda aquella circunstancia

o característica de un activo que permite la materialización de ataques que

comprometen la confidencialidad, integridad o disponibilidad del mismo.

Impacto

Es la consecuencia de la materialización de una amenaza sobre un activo de

seguridad de la información, derivando probablemente en pérdidas potenciales a

la organización (dinero, imagen, clientes, etc.).

22

Controles

Son las prácticas, procedimientos y mecanismos que reducen el riesgo, estas

pueden actuar disminuyendo el impacto o la probabilidad de ocurrencia; esta es

una medida técnica u organizativa que ayuda a paliar el riesgo.

FIGURA 4. ELEMENTOS DEL ANÁLISIS DE RIESGOS Y SU RELACIÓN2

8.2.2 Proceso de Administración del Riesgo

La administración del riesgo se compone de cuatro procesos o fases:

Identificación, Análisis, evaluación y tratamiento las cuales esbozaremos de

manera general a continuación:

2 Curso de sistemas de gestión de la seguridad de la información según la norma UNE-ISO/IEC 27000

INTECO-CERT

23

A. Fase I Identificación de Riesgos

Se identifican los activos de información y las amenazas sobre los mismos

En este proceso abordaremos la elaboración de un inventario de activos que

recoja los principales activos de información de la organización, referentes al

objeto de estudio que para nuestro caso son los dispositivos móviles, y cómo

deben valorarse esos activos en función de su relevancia para la misma y del

impacto que ocasionaría un fallo de seguridad en ellos. Dentro de este proceso

revisaremos la información relacionada con la identificación de riesgos.

Identificación de los activos de información.

Inventario de activos.

Valoración de los activos.

- Identificación de los activos de información

Se denomina activo a aquello que tiene algún valor para la organización y por

tanto debe protegerse, de manera que un activo de información es aquel elemento

que contiene o manipula información. Estos pueden ser archivos, base de datos,

contratos, facturas, configuraciones de seguridad de dispositivos de

infraestructura, aplicaciones y las personas, entre otras, además porque estas al

fin son las que procesan, generan, transmiten y destruyen la información.

Para facilitar el manejo y mantenimiento del inventario los activos se pueden

clasificar en diferentes categorías:

Datos: Toda aquella información (en cualquiera de sus formatos) que se genera,

almacena, procesa, transmite y se destruye en la organización.

24

Aplicaciones: El software que se utiliza por parte de los usuarios y que finalmente

procesa y gestiona la información de la organización.

Recurso Humano: En esta categoría se encuentra todo el personal propio de la

organización, el personal subcontratado, los clientes, usuarios y en general, todos

aquellos que tengan acceso de alguna manera a los activos de información de la

organización.

Servicios: Aquí se consideran tanto los servicios internos, aquellos que una parte

de la organización suministra a otra (por ejemplo la gestión administrativa), como

los externos, aquellos que la organización suministra a clientes y usuarios (por

ejemplo la comercialización de productos).

Tecnología: Los equipos tecnológicos utilizados para procesar la información y

las comunicaciones (servidores, PCs, teléfonos, móviles impresoras, routers,

cableado, etc.)

Instalaciones Físicas: lugares en los que se alojan los sistemas de información

(oficinas, edificios, vehículos, etc.)

Equipamiento Auxiliar: En este tipo entrarían a formar parte todos aquellos

activos que dan soporte a los sistemas de información y que no se pueden

agrupar en ninguna de las categorías anteriormente definidas (equipos de

destrucción de datos, equipos de climatización, etc.)

25

FIGURA 5. CLASIFICACION DE LOS ACTIVOS DE LA ORGANIZACIÓN3

Tal como se muestra en la gráfica anterior, podemos ver las diferentes categorías

en donde se pueden clasificar los activos de información de la organización; Cada

uno de los activos que se identifiquen debe tener un responsable, que actuará

como su propietario, esta persona se hará cargo de mantener la seguridad del

activo, aunque no necesariamente será la que gestione el día a día del mismo.

- Inventario de activos

En este punto se debe definir el inventario de activos necesario para la gestión de

la seguridad, este inventario no debería duplicar otros inventarios de la

organización, pero sí debe recoger los activos más importantes e identificarlos de

manera clara y sin ambigüedades, tal como lo muestra la siguiente figura:


INTECO-CERT

26

FIGURA 6. INVENTARIO DE ACTIVOS4

El inventario de activos es la base para la gestión de los mismos, ya que tiene que

incluir toda la información necesaria para mantenerlos operativos e incluso poder

recuperarse ante la ocurrencia de un desastre. Como mínimo debe contener la

siguiente información:

Identificación del activo: Corresponde a un código para ordenar y localizar los

activos.

Tipo de activo: Corresponde a la categoría a la que pertenece el activo dentro de

las opciones anteriormente mencionadas.

Descripción: Corresponde con una breve descripción del activo para identificarlo

sin ambigüedades.


INTECO-CERT

27

Propietario: Corresponde a quien es la persona que estará a cargo del activo.

Localización: Corresponde a la ubicación en donde se encuentra físicamente el

activo. En el caso de la información en formato electrónico, corresponde a en qué

equipo se encuentra dicha información.

Plantilla de Inventario de activos

Id del

Activo

Tipo de activo Descripción Propietario Localización

1456 Información Información del negocio Gerente Smartphone

1457 Dispositivo Móviles Equipos Móviles Usuarios Smartphone

1458 Aplicaciones Móviles

Corporativas (app)

Aplicaciones Móviles

desarrolladas en la

organización

Gerente Datacenter

1159 Servicio Chat

Corporativo

Servicio de Colaboración y

ayuda a los usuarios

internos

soporte TI Datacenter

1260 Sitios corporativos

Intranet (web)

Sitio corporativo intranet

punto de convergencia de

las comunicaciones

corporativas

Soporte TI Datacenter

1261 Servicio de correo

corporativo

Servicio de Colaboración y

mensajería

soporte TI Datacenter

1362 Sistemas operativos Sistemas operativos

móviles

Usuarios Smartphone

1563 Imágen corporativa Intangible que representa

valor para la empresa,

reputación y confianza

Gerente Usuarios

1963 Usuarios móviles Usuarios que hacen uso de

la información

Usuarios Conocimiento-

Inteligencia

28

1863 Soporte TI Equipo de soporte del área

de TI

Gerente Conocimiento-

Inteligencia

1863 Dirección General Comité de la alta gerencia Gerente Conocimiento-

Inteligencia

TABLA 2. INVENTARIO DE ACTIVOS A PROTEGER EN TODO1

El inventario deberá recoger los activos que realmente tengan un peso específico

y sean significativos para la organización, agrupando aquellos que, por ser

similares, tenga sentido hacerlo.

En algunos casos, la complejidad de la organización, de sus procesos o lo

complejo de su funcionamiento, puede hacer necesario el desarrollar un árbol de

dependencias entre activos. El concepto es que algunos activos dependen de

otros, en uno o más parámetros de seguridad.

Identificar y documentar estas dependencias se convierte en un árbol de

dependencias, que dará una idea más exacta del valor de cada activo. Por

ejemplo, una aplicación alojada en un servidor, depende de este servidor para

ejecutarse, para estar disponible. Si el servidor tiene un problema o un error de

configuración, la aplicación podría ver afectada su disponibilidad. Por lo tanto el

valor del servidor puede considerarse que sea no sólo el que tiene en sí mismo,

sino también el que tiene por permitir el correcto funcionamiento de la aplicación.

- Valoración de los activos

Una vez identificados los activos, el siguiente paso a realizar es la valoración. Es

decir, se estima qué valor tienen para la organización y cuál es la importancia para

la misma.

29

Para calcular este valor, se consideró cual puede ser el daño que puede suponer

para la organización que un activo resulte no apto en cuanto a su disponibilidad,

integridad y confidencialidad.

Esta valoración se hizo de acuerdo con una escala que puede ser cuantitativa o

cualitativa. Si es posible valorar económicamente los activos, se utiliza la escala

cuantitativa. En la mayoría de los casos, no es posible o esto supone un esfuerzo

excesivo, por lo que normalmente se utilizan escalas cualitativas como por

ejemplo: bajo, medio, alto o bien un rango numérico, por ejemplo de 1 a 5. Con

independencia de la escala utilizada, los aspectos a considerar pueden ser los

daños como resultado de:

Violación de la legislación aplicable - Cumplimiento

Reducción del rendimiento de la actividad - Disponibilidad

Efecto negativo en la reputación – Afectación de la imagen

Pérdidas económicas – Impacto Financiero

Trastornos en el negocio – Altos costos, No disponibilidad

La valoración fue lo más objetiva posible, por lo que en el proceso deben estar

todas las áreas de la organización, aunque no participen en otras partes del

proceso y de esta manera obtener una imagen realista de los activos de la

organización.

Se utilizaron los siguientes parámetros para que todos los participantes valoren de

acuerdo a unos criterios comunes y se obtengan valores coherentes:

Disponibilidad. Para valorar este criterio se debe responder a la pregunta de

cuál sería la importancia o el inconveniente que tendría para la organización

el que el activo no estuviera disponible.

30

Integridad. Para valorar este criterio se debe responder a la pregunta de

qué importancia tendría para la organización que el activo fuera alterado sin

autorización ni control.

Confidencialidad. En este caso se debe responder a la pregunta de cuál es

la importancia que tendría para la organización que al activo se accediera

de manera no autorizada.

Usaremos las siguientes tablas para identificar el nivel en el que se puede ubicar

el riesgo dada la probabilidad y frecuencia de que ocurra.

TABLA 3. TABLA DE PROBABILIDAD Y/O FRECUENCIA DE OCURRENCIA

Y tomando como referencia el activo de información como el activo de mayor valor

en nuestro análisis, proponemos la siguiente triada de seguridad de la información,

para iniciar la valoración de los activos según el impacto de que ocurra.

31

TABLA 4. TABLA DE IMPACTO EN LA INFORMACIÓN

Los criterios para medir el valor del activo deben ser claros, homogéneos y fáciles

de comprender por todos los participantes en la valoración, para que se puedan

comparar los valores al final del proceso. De esta manera se identificó cuáles son

los principales activos de la organización, y por lo tanto aquellos que necesitan de

una atención especial.

La valoración de los activos fue realizada por un grupo de personas

representativas de la organización, logrando entre todos aportar una visión

razonablemente objetiva de la organización. En general se deben reunir a

personas que conozcan bien la organización.

Estas valoraciones se hicieron mediante reuniones de trabajo, donde el grupo no

fue excesivamente numeroso para que las reuniones no se alargaran demasiado.

Utilizamos un enfoque combinado que es un enfoque de alto nivel al principio, el

cual permite determinar cuáles son los activos en los que habrá que invertir más

antes de utilizar muchos recursos en el análisis. Por ello ahorra recursos al tratar

antes y de manera más exhaustiva los riesgos más importantes, mientras que al

resto de los riesgos sólo se les aplica un nivel básico de seguridad, con lo que se

32

consigue un nivel de seguridad razonable en la organización con recursos

ajustados. Es el enfoque más eficaz en cuanto a costes y a adaptabilidad en

empresas con recursos limitados.

Dentro del análisis realizado en TODO1, la siguiente es la lista de los activos

seleccionados como de mayor prioridad para el análisis.

TABLA 5. ACTIVOS/RECURSOS OBJETO DE ANALISIS DE RIESGO

B. Fase II Análisis de Riesgos

Proceso que consiste en identificar los riesgos de seguridad en TODO1,

determinar su magnitud e identificar las áreas que requieren implementación de

controles, esta parte del proceso nos permitió conocer el impacto real de que

ocurra un fallo de seguridad.

El análisis de riesgo tiene que cubrir las necesidades de seguridad de la

organización teniendo siempre en cuenta los recursos económicos y humanos que

se tienen. La inversión en seguridad tiene que ser proporcional al riesgo. Dicho

33

análisis debe aportar objetividad a los criterios en los que se apoya la seguridad ya

que se centra en proteger los activos de información más críticos, permitiendo a la

organización gestionar los riesgos de manera autónoma, apoyando la toma de

decisiones y basándose en sus propios riesgos.

Para evitar la subjetividad en la realización del análisis de riesgo se contó con la

participación de diversas áreas de la organización (Seguridad, Operaciones,

Comerciales, Gerentes).

El análisis de riesgo utiliza criterios definidos claramente que se pueden reproducir

en ocasiones sucesivas para mejorar cada día la seguridad de los activos de la

organización al irlos comparando, este análisis de riesgos se basa en la

identificación de las amenazas que pueden afectar a los activos.

Como ya hemos visto anteriormente, podríamos denominar amenaza a un evento

o incidente provocado por una entidad natural, humana o artificial que,

aprovechando una o varias vulnerabilidades relacionadas con un activo, pone en

peligro la confidencialidad, la integridad y/o la disponibilidad de ese activo. Dicho

de otro modo, una amenaza explota la vulnerabilidad del activo.

Para valorar las amenazas en su justa medida hay que tener en cuenta cual sería

el impacto en caso de que ocurrieran y cuál o cuáles son los parámetros de

seguridad que afectaría, a la confidencialidad, a la integridad o a la disponibilidad.

En el ejercicio para TODO1, se identificaron las amenazas que pueden afectar a

estos activos, luego de una valoración en función del impacto que una amenaza

pudiera causarle al activo en caso que se materialice.

Estas amenazas fueron seleccionadas de diferentes categorías tales como: TIC,

Naturales, Humanas/sociales, Estratégicas Administrativas y asociadas a

proyectos; con esta categorización se presente dar un enfoque holístico y objetivo

a la valoración de las mismas.

- TIC: estas amenazas hacen referencia a todo los activos de tipo

tecnológico.

34

- Humanas/sociales: Hacen referencia a amenazas cuyo origen es el humano

o la sociedad.

- Naturales: Amenazas generadas por la naturaleza o fenómenos naturales.

- Administrativas: Amenazas asociadas a los proyectos mismos,

interrelaciones del equipo de trabajo, recursos empresariales y falta de

apoyo de la alta gerencia.

TABLA 6. AMENAZAS OBJETO DE ANALISIS DE RIESGO

En la siguiente tabla podemos identificar cual es la relación entre las amenazas vs

los activos; vemos que la valoración se hace marcando con una “x” en la

intersección de las dos variables, indicando que dicho activo se ve afectado por

una o más amenazas según la afinidad de impacto de esta sobre el activo.

(Ver archivo en Excel con resultados evaluación de riesgo.xls)

35

TABLA 7. RELACIÓN DE AMENAZAS VS ACTIVOS DURANTE EL ANALISIS DE RIESGO

Estas amenazas se deben valorar teniendo en cuenta la existencia o no existencia

de vulnerabilidades relacionadas con dichos activos, ya que dependiendo de este

comportamiento la probabilidad y el impacto pueden variar.

Por ejemplo: si un activo está expuesto a una amenaza pero no tiene una

vulnerabilidad que permita explotarla, el riesgo es menor que si existiera la

vulnerabilidad.

Una vez identificados los activos y las amenazas que pueden afectarlos se debe

hacer un análisis de los controles actuales que se tienen sobre el activo, esto con

el fin de potencializarlos, lo cual se ve reflejado en la inversión a realizar en

seguridad sobre ese activo.

36

C. Fase III Evaluación de Riesgos

Se valoran, analizan y priorizan los riesgos, según el valor de los activos, el

impacto y probabilidad de sus amenazas.

En la siguiente gráfica se puede ver el escenario de las amenazas vs los activos,

incluyendo su probabilidad e impacto, el producto de estas dos variables permite

priorizar los riesgos, seleccionando aquellos riesgos que deben ser tratados con

mayor urgencia.

Como se puede observar en el campo probabilidad se hace uso de los valores

esbozados anteriormente en la tabla de probalidad por frecuencia definidos para

tal fin, al igual que los valores de la tabla de Impactos del 1-5 con sus valores

asociados y la priorización de los riesgos de mayor a menor valor.

TABLA 8. VALORACIÓN DE LOS ESCENARIOS DE RIESGO DE ACUERDO A LA OCURRENCIA Y EL IMPACTO

En la siguiente grafica se pueden evidenciar los cuatro niveles de criticidad de los

riesgos, pasando por los riesgos bajos, medios, medio-altos y altos arrojados por

el análisis de riesgo. Esta gráfica nos permitirá tener una visión clara de donde

enfocar nuestro esfuerzo en materia de recursos y seguridad; para nuestro caso la

organización decidió abordar como riesgos a tratar los riesgos altos y Medio-altos

(Rojo y Naranja), dicho de otra manera, estos serán los focos en los que recaerán

los controles propuestos.

37

TABLA 9. DISTRIBUCIÓN PORCENTUAL DE LOS RIESGOS

Podemos apreciar que se tiene un 73,8% y 16,6% de los riesgos globales de la

organización dentro de estos dos niveles, en total el 90,4% será el porcentaje a

abordar con un total 38 riesgos. Este enfoque nos permite mitigar los riesgos con

mayor criticidad; con la esperanza de que al atacar estos riesgos mediante la

implementación de controles, seguramente muchos otros riesgos de los otros

niveles (medio y bajo), eventualmente también pueden quedar cubiertos de

manera total o parcial.

38

FIGURA 7. DISTRIBUCIÓN PORCENTUAL DE LOS RIESGOS

En la gráfica anterior mostramos una vista adicional con el consolidado de los

riesgos, siguiendo una distribución porcentual de visión general y de acuerdo a

la valoración previamente ejecutada.

39

TABLA 10. MATRIZ DE CALOR CON LOS RIESGOS ENCONTRADOS

En la tabla anterior vemos una matriz de calor en la cual podemos ver de

acuerdo a la probabilidad y el impacto de ocurrencia, en cuál de los cuadrantes

se encuentra el riesgo y que por ende le indique a la organización el orden en

el cual deben ser tratados y mitigados.

El orden en el cual deben ser tratados los riesgos es el siguiente:

Amenaza vs Activo Probabilidad Impacto Riesgo

Calculado

Ausencia o debilidad de las Políticas de

seguridad para móviles y regulación --

Dirección General

5 5 25



Usuarios móviles

5 5 25



5 5 25

40

Soporte TI

Falta de concientización en seguridad --

Usuarios móviles

5 5 25

Alteración del equipo Móvil -

Jailbroken/Rooted -- Teléfonos Inteligentes

4 5 20


Jailbroken/Rooted -- Sistemas Operativos

Móviles

4 5 20


Jailbroken/Rooted -- Tabletas

4 5 20

Ingeniería Social -- Usuarios móviles 4 5 20

Almacenamiento y transferencia de

informacion sin cifrar -- Información

4 4 16

Falta de controles de seguridad en los

dispositivos móviles -- Sistemas Operativos

Móviles

4 4 16

Vandalismo -- Teléfonos Inteligentes 4 4 16

Perdida/Robo/Extravío de Dispositivos

Móviles -- Teléfonos Inteligentes

4 4 16

Perdida/Robo/Extravío de Dispositivos

Móviles -- Tabletas

4 4 16

Perdida o Exposición de información

corporativa -- Teléfonos Inteligentes

4 4 16


corporativa -- Tabletas

4 4 16


dispositivos móviles -- Teléfonos Inteligentes

4 4 16

Vandalismo -- Tabletas 4 4 16

41


dispositivos móviles -- Tabletas

3 5 15


corporativa -- Sitios corporativos Intranet

3 5 15

Acceso a la red por usuario no autorizado a

través de equipo Móvil -- Teléfonos

Inteligentes

3 5 15


través de equipo Móvil -- Tabletas

3 5 15


través de equipo Móvil -- Sitios corporativos

Intranet

3 5 15

Acceso no autorizado a los datos de la

empresa -- Sitios corporativos Intranet

3 4 12


empresa -- Teléfonos Inteligentes

3 4 12

Descarga de APPs y contenido con embebido

exploit de seguridad y/o malware -- Correo

Corporativo

3 4 12


través de equipo Móvil -- Correo Corporativo

3 4 12


corporativa -- Servicio Chat Corporativo

3 4 12


corporativa -- Correo Corporativo

3 4 12

Descarga de APPs y contenido con embebido

exploit de seguridad y/o malware -- Servicio

Chat Corporativo

3 4 12


empresa -- Tabletas

3 4 12

42


empresa -- Correo Corporativo

3 3 9


empresa -- Servicio Chat Corporativo

3 3 9


través de equipo Móvil -- Sistemas

Operativos Móviles

3 3 9


corporativa -- Aplicaciones Móviles

Corporativas

4 2 8

Incremento de los riesgos de seguridad --

Soporte TI

4 2 8


corporativa -- Sistemas Operativos Móviles

2 4 8

Descarga Eléctrica -- Teléfonos Inteligentes 2 4 8

Descarga Eléctrica -- Tabletas 2 4 8

TABLA 11. CALIFICACION DE LOS RIESGOS ALTOS Y MEDIO-ALTOS EN ORDEN DE IMPORTANCIA

D. Fase IV Tratamiento de Riesgos

La gestión de esos riesgos implica seleccionar e implementar medidas técnicas y

organizativas necesarias para impedir, reducir o controlar los riesgos identificados,

de forma que los perjuicios que puedan causarle a la organización, se reduzcan.

Como parte del proceso del análisis de riesgo se determinará el criterio para

determinar cuáles van a ser los niveles de riesgo aceptables, cuáles van a ser los

niveles de riesgo inaceptables y por lo tanto cuales serán susceptibles de ser

gestionados. La gestión de los riesgos tiene como objetivo reducir los riesgos que

estén por encima de los niveles aceptables, a niveles que puedan ser asumidos

por la organización.

43

Durante el tratamiento de riesgos se identifican las opciones de tratamiento, las

cuales podrían ser eliminar, mitigar, aceptar o transferir el riesgo. De esta forma la

administración de riesgos permitirá a las compañías balancear los costos

operacionales y económicos en los esfuerzos que hagan para controlar sus

riesgos.

Esto permite categorizar los riesgos e identificar cuáles deberían ser tratados

primero o más exhaustivamente. Se debe escoger, a la vista de los resultados,

cual es el nivel de riesgo que la organización está dispuesta a tolerar, de manera

que por debajo de ese nivel el riesgo sea aceptable y por encima no lo será y se

tomará alguna decisión al respecto.

Hay cuatro tipos de decisiones para tratar los riesgos que se consideran no

aceptables:

Transferirlo: El riesgo se traspasa a otra organización, por ejemplo

mediante un seguro. Como por ejemplo, asegurando el activo que tiene

el riesgo o subcontratando el servicio. Deben evaluarse las opciones y

tomar las acciones pertinentes para ejecutar la opción escogida, en

función del valor del activo y del coste de realizar esta transferencia (no

sólo coste económico sino también los riesgos que conlleva esta

transferencia en cuanto a la inclusión de un tercero).

Eliminarlo: Se elimina el riesgo, que sólo se puede hacer eliminando el

activo que lo genera. Aunque no suele ser la opción más viable, ya que

puede resultar difícil o demasiado costoso, si se cree posible o

necesario, habrá que establecer los pasos para conseguirlo, por ejemplo

eliminando el activo, eliminando el proceso o incluso el área de negocio

que es la fuente del riesgo.

44

Mitigarlo: Reducirlo mediante la implantación de controles que reduzcan

el riesgo a un nivel aceptable, implica seleccionar dichos controles,

definir y documentar los métodos para ponerlos en marcha y

gestionarlos; Es decir, reducir el riesgo, normalmente aplicando

controles de seguridad. Es una de las opciones más habituales.

Aceptarlo: Otra opción común es aceptar que no se puede hacer nada y

por lo tanto se asume ese riesgo. La Dirección asume el riesgo ya que

está por debajo de un valor de riesgo aceptable, simplemente requiere

que quede documentado, que la dirección conoce y acepta estos

riesgos. Los riesgos que se han asumido han de ser controlados y

revisados periódicamente de cara a evitar que evolucionen y se

conviertan en riesgos mayores.

Toda esta información quedará documentada para justificar las acciones que se

van a tomar para conseguir el nivel de seguridad que la organización quiere

alcanzar y también como referencia para posteriores análisis.

Una vez decididas las acciones a tomar, se debe realizar un nuevo análisis de

riesgo, teniendo en cuenta la nueva situación, considerando que los controles y

medidas que se ha decidido implementar, van a reducir en mayor o menor medida

el riesgo que existía, ya que ese es su objetivo. El nivel de riesgo resultante de

este segundo análisis es el riesgo residual. Este se define como el riesgo

remanente que existe después de que se hayan tomado las medidas de seguridad

apropiadas.

En una organización nunca se podrá eliminar totalmente el riesgo, siempre

quedará un cierto nivel de riesgo, por lo que es importante que todos los riesgos

residuales sean aceptados por la alta dirección.

45

FIGURA 8. PROCESO DE EVALUACIÓN DE RIESGOS

En la siguiente tabla se identifica por medio de una matriz cual es el tratamiento

que se le debe dar a los riesgo con su respectivo plan de monitoreo, el

responsable asignado y el resultado esperado.

TABLA 12. TRATAMIENTO DE LOS RIESGOS IDENTIFICADOS

46

A continuación tendremos los proyectos que se desprenden de este análisis de

riesgos, los cuales serán asignados a los diversos participantes y los cuales

deberán ser trabajados basados en la metodología de administración de

proyectos.

8.3 PROYECTOS DERIVADOS DEL ANALISIS DE RIESGO

Como parte fundamental de las recomendaciones generadas, se plantean los

siguientes proyectos a trabajar, en pro de la reducción de los riesgos encontrados

durante todo el proceso.

Proyecto 001: Definición de la política de seguridad para el uso aceptable de los

dispositivos móviles

Código Nombre

001 Proyecto: Política de seguridad para el uso aceptable de los

dispositivos móviles

Descripción

Definir una Política de seguridad para el uso aceptable de los dispositivos móviles en

TODO1

Objetivo del proyecto.

Definir una política que legisle sobre el uso adecuado de este tipo de tecnologías para

labores corporativas en TODO1 y que permita que el negocio pueda tomar ventaja de

estos dispositivos sin poner en riesgo la información que por allí se procesa, transmite y

almacena.

47

Alcance de proyecto:

Crear la política que va a regir el uso que le dan los usuarios de este tipo de tecnología en

TODO1, buscando definir las reglas de juego que van a permitir asegurar el

procesamiento, almacenamiento e intercambio de la información.

Responsables de Ejecución/ Recursos Requeridos

Área Seguridad

Tiempo Estimado de Duración

1 mes

Estado Actual

Ya se entregó a la alta gerencia para su difusión y publicación en la intranet para

conocimiento de todos los empleados.

Proyecto 002: Programa de conciencia de Seguridad de la Información

Código Nombre

002 Proyecto: Programa de conciencia de Seguridad de la

Información.

Descripción

Implementar un Programa de Conciencia de Seguridad de la Información en TODO1


Implementar un programa de conciencia de Seguridad de la información que permita crear

cultura de conciencia en seguridad de la información para mitigar los riesgos asociados al

factor humano.

48


Este proyecto pretende mitigar riesgos asociados al factor Humano:

Implementar un programa de conciencia en seguridad de la Información en TODO1.

- Pérdida o robo de información.

- Ingeniería social.

- Exposición y/o Acceso no autorizado.

- Divulgación de información.

- Destrucción de información confidencial.

- Mal uso del correo.

- Suplantación.


Área Seguridad


Permanente (1 año para llegar a niveles aceptables de conciencia)

Estado Actual

Ya iniciado y en curso, actualmente se han entregado a los empleados cerca de 12

módulos con las correspondientes evaluaciones.

Proyecto 003: Configuraciones de seguridad (check list) en el aprovisionamiento

de los dispositivos móviles

Código Nombre

49

003 Proyecto: Configuraciones de seguridad (check list) en el

aprovisionamiento de los dispositivos móviles

Descripción

Implementar una serie de configuraciones de seguridad que permitan que la interacción de

los usuarios con la información y los recursos de TODO1 se realice de manera segura.


Implementar un documento a manera de check list que permita que las áreas de soporte

de TI puedan asegurar los dispositivos, para que la interacción de los usuarios con la

información y los recursos de TODO1 se realice de manera segura, manteniendo siempre

la confidencialidad, la integridad y la disponibilidad de la información.


Este proyecto pretende mitigar riesgos asociados a la disponibilidad, integridad y

disponibilidad de la información, por medio de la implementación de:

- Controles criptográficos en los dispositivos

- Definir los mínimos privilegios para las aplicaciones en el uso del dispositivo

- Implementar controles de acceso fuertes para los dispositivos móviles

- Instalar software antivirus en todos los dispositivos móviles soportados en la

política

- Definir una política de actualización de software (hotfix y parches de seguridad)

- Implementar controles de seguridad para asegurar la información en dispositivos

extraviados (bloqueo y borrado remoto)

- Implementar controles para evitar propagar malware o software malicioso en el

uso de este activo (ej. escaneo de archivos adjuntos)

50


Área Seguridad

Soporte TI


Tres (3) meses.

Estado Actual

Está pendiente de entregar a las áreas de seguridad y de soporte para su

implementación.

8.4 CONTROLES

8.4.1 Controles Técnicos

Estos controles permitirán asegurar la plataforma a nivel de configuraciones del

sistema operativo y/o aplicaciones disponibles y utilizadas por los empleados a

manera de “Check List” técnico con una línea base de aseguramiento de los

dispositivos.

Básicamente este ítem comprende las configuraciones necesarias o línea base de

seguridad que se tiene que habilitar en los dispositivos móviles, una vez se ha

autorizado el aprovisionamiento del dispositivo; Estas características de seguridad

son necesarias para mantener controles fuertes que eviten que un riesgo se

materialice sobre el dispositivo, comprometiendo la información que reside en el

mismo y por ende el negocio.

Como anexo se entrega el check list técnico para el aseguramiento básico de los

dispositivos móviles en TODO1.

51

8.4.2 Proceso de aprovisionamiento y desaprovisionamiento

Este proceso involucra todo el flujo normativo para habilitar un dispositivo en la

organización, que validaciones y aprobaciones deben cumplirse para el

aprovisionamiento y desaprovisionamiento de los dispositivos móviles en TODO1.

Este ítem comprende el proceso de aprovisionamiento y desaprovisionamiento

necesario para poder ordenar el cumplimiento de la política y los controles

necesarios adicionales a los técnicos, para poder dar forma al marco de seguridad

propuesto, para cumplir con el requisito de la organización en materia de

seguridad de la información sobre el uso de los dispositivos móviles.

Descripción del flujo del proceso

Aprovisionamiento

En este proceso se hace la inscripción del dispositivo dentro del proceso y se

llevan a cabo las actividades asociadas con el mismo incluyendo la implantación

del Check list de línea base de seguridad.

Participantes

Solicitante

Es la persona que tiene necesidad por sus labores corporativas de acceder a un

recurso de la red por medio de un dispositivo móvil de uso personal u obtener un

acceso a un servicio o aplicación desde dichos dispositivos.

Supervisor del solicitante

52

Es la persona que debe aprobar la necesidad planteada por el empleado y que

está asociada al acceso requerido desde el dispositivo móvil.

Seguridad

Está área valida la factibilidad del requerimiento, velando por que se cumplan las

políticas internas de la Empresa con respecto a este tipo de dispositivos.

Ejecutante

Persona o grupo de personas de TI que ejecutan el aprovisionamiento y

finalmente configuran el acceso del dispositivo móvil.

PARTICIPANTE ACTIVIDAD RESULTADO ESPERADO

Solicitante Crea ticket en JIRA de acuerdo a

su necesidad de acceso.

Se proporcionan conceptos

generales y detalles técnicos

de la solicitud

Supervisor Aprueba la solicitud de la

necesidad del acceso

Conocimiento general de la

solicitud de acceso y su

posible impacto.

Seguridad

Crea y desarrolla las lineas base

de configuración,

adicionamente valida la

factibilidad el cambio,

cumpliendo con las políticas

internas de la Empresa

Analizar el apego de la

solicitud a las políticas de

Seguridad de la empresa.

Ejecutante Lleva a cabo el cambio

solicitado

Implementa de manera

satisfactoria el cambio

solicitado

Solicitante Prueba que el cambio se realizó Obtiene el acceso soliticado al

53

adecuadamente

Cierra la actividad en el

calendario de producción y en

JIRA

recurso, servicio o aplicación

desde el dispositivo móvil.

Confirma la correcta

ejecución de la solicitud.

TABLA 13. PROCESO DE APROVISIONAMIENTO DE LOS DISPOSITIVOS

FIGURA 9. FLUJOGRAMA DEL PROCESO DE APROVISIONAMIENTO DE LOS DISPOSITIVOS

Desaprovisionamiento

Este proceso tiene lugar cuando el dispositivo debe ser retirado por alguna de las

siguientes causales:

- Retiro voluntario del empleado del programa

54

- Despido o renuncia del empleado, esto debe ser notificado por parte del

área de recursos humanos de TODO1.

- Dispositivo robado o extraviado durante al menos 2 días.

Estos tres ítems deben conducir a la ejecución del proceso de

desaprovisionamiento inmediato del dispositivo del sistema, este proceso debe ser

llevado a cabo por el área de soporte de TI, mediante la creación de un ticket de

retiro del mismo, siguiendo las directrices del Check list para el caso y confirma al

área de seguridad de su ejecución.

FIGURA 10. FLUJOGRAMA DEL PROCESO DE DES-APROVISIONAMIENTO DE LOS DISPOSITIVOS

55

8.5 PROGRAMA DE CONCIENCIA EN SEGURIDAD

8.5.1 Alcance, Objetivo y Propósito

Desarrollar un programa de conciencia en seguridad de la información, como

control complementario que ayudará a reforzar el eslabón más débil de la cadena -

el factor humano -.

Implementamos el siguiente programa de conciencia en seguridad, involucrando al

usuario como el componente fundamental en la cadena de protección de la

información; El programa pretende generar e incrementar el nivel de conciencia en

materia de seguridad de la información, de los empleados que hacen uso de

dispositivos BYOD, enfocándose en cambiar su comportamiento para mitigar los

riesgos. Además, mantener un programa completo y consecuente con la política

de conciencia en seguridad.

El programa de conciencia en seguridad de la información se considera un control

adicional a la política de seguridad de la información y su ciclo de vida es

permanente y de largo plazo; aproximadamente un ciclo se hace en un año, cada

año y de manera consecutiva; enfocado en prevenir y detener incidentes de

seguridad en lugar de detectar y responder; y se ejecuta por necesidades del

negocio en materia de reducción del riesgo y para cumplimiento a la regulación del

mismo exigidas por los clientes actuales y para los nuevos clientes.

56

8.5.2 Etapas del plan

8.5.2.1 Definición del comité de dirección del programa

Se definió un equipo de 4 a 6 voluntarios para ayudar a planificar, construir,

ejecutar y mantener el programa. Estas personas pertenecen a diferentes áreas

dentro de la organización, con roles y conocimientos específicos, permitiendo

conformar un equipo interdisciplinario. Las reuniones de este comité son

presenciales y/o virtuales, se hacen sesiones presenciales mínimo cada 6 meses,

dado el tamaño de TODO1, se eligieron las siguientes personas para conformar el

comité.

TABLA 14. ROLES Y PARTICIPANTES DEL PROGRAMA DE CONCIENCIA EN SEGURIDAD

57

8.5.2.2 Evaluación inicial del estado de conciencia de los usuarios

Mediante el diligenciamiento de una encuesta que consta de 25 preguntas

relacionadas con el tema de conciencia en seguridad de la información, se buscó

medir de una manera cuantitativa los riesgos a los que está expuesta la

información que usa el recurso humano mediante dispositivos BYOD en la

organización.

Cada pregunta tiene un valor de riesgo asignado de entre 1 y 5; las respuestas

con valores de riesgo más bajo se marcarán con (1) y aquellas con un valor de

riesgo mayor se marcarán con (5).

Al final se hace la sumatoria de todos los valores de las respuestas de todos los

usuarios y con base en el resultado, se determinó un promedio que correspondió

con el nivel de riesgo de la organización, en materia de conciencia en seguridad

de la información.

Más adelante, en la página 64 de este documento, se describen una a una las

preguntas utilizadas en la encuesta para medir el nivel de conciencia en seguridad

inicial de los empleados.

58

FIGURA 11. EJEMPLO DE LA ENCUESTA INICIAL

Para ello se utilizó la siguiente tabla necesaria para la medición global de la

encuesta, en esta tabla se manejan unos rangos que permiten identificar cual es el

nivel actual de los usuarios en la organización en materia de conciencia seguridad

de la información, permitiendo al comité, identificar las áreas en las cuales se

requiere mayor entrenamiento y en cuales temas se debe enfocar mayormente y

los temas que requieren refuerzos, para ello se hace uso de la plataforma para el

envío de notificaciones mensuales, que indican la publicación de nuevos módulos

de entrenamiento en la plataforma “virtual learning environment” (VLE), con el

59

avance de este material se irá mejorando la cultura de seguridad de la

información, y finalmente se podrá medir el progreso de la misma en la

organización.

Nivel de Riesgo Descripción

Bajo

(1–15)

Los usuarios son conscientes de las amenazas y tienen

principios de seguridad, han realizado algún tipo de

entrenamiento y cumplen con las políticas de seguridad.

Medio-Bajo

(16-35)

Los usuarios han sido entrenados en políticas y estándares de

seguridad, son conscientes de las amenazas pero no tienen

buenos conocimientos en principios de seguridad.

Medio

(35–55)

Los usuarios son conscientes de las amenazas y saben que

deben seguir buenos principios de seguridad pero requieren

entrenamiento en las políticas y estándares de seguridad,

adicionalmente pueden no conocer cómo identificar o reportar

un incidente de seguridad.

Medio-Alto

(56-85)

Los usuarios no son conscientes de las amenazas, no conocen

los principios de seguridad y las políticas y estándares de

seguridad de la organización.

Alto

(86–100)

Los usuarios no son conscientes de las amenazas y a pesar de

que conocen de la existencia de políticas y estándares de

seguridad no las cumplen, caen en actividades o prácticas que

son vulnerables a un ataque.

TABLA 15. CATEGORIAS DEL NIVEL DE RIESGO

Los elementos a considerar para realizar la evaluación del nivel de conciencia de

los empleados son los siguientes:

60

Identificar las personas de la alta gerencia que van a patrocinar la

evaluación de conciencia.

En el desarrollo de este programa contamos con el apoyo de la

vicepresidencia de seguridad, legal y cumplimiento en cabeza del

vicepresidente, el oficial de seguridad y el área en su totalidad, los cuales

apoyaron la decisión de adquisición, implementación y despliegue del portal

VLE ”Virtual Learning Environment” un portal de SANS adquirido por la

organización luego de haber hecho un piloto por parte de seguridad y

determinar que era la herramienta adecuada para entrenar a los usuarios

en seguridad y llevar una gestión adecuada de los mismos, validando su

progreso en los temas de seguridad, necesarios para crear conciencia y

minimizar los impactos producto de ataques de ingeniería social, Phishing,

virus, hackers etc..

Correo de inicio del programa y divulgación de la Vicepresidencia de

Seguridad de TODO1

FIGURA 12. CORREO CAMPAÑA DE EXPECTATIVA ACERCA DEL PROGRAMA DE CONCIENCIA

61

Revisión del contenido de la encuesta por parte de las áreas legales y de

recursos humanos de la organización

Este contenido fue elaborado por el especialista y el oficial de seguridad y

validado y aprobado por el comité en general del programa de cultura

anteriormente conformado y mencionado.

Identificar el alcance de los usuarios a los que debe ir dirigida la encuesta

La encuesta estuvo dirigida a la totalidad de los usuarios internos y se

obtuvo una muestra interesante de la población, un 50% de la población de

los usuarios participó de manera voluntaria de la misma en el periodo

establecido.

Determinar y comunicar si la encuesta es obligatoria u opcional

Se comunicó a la organización a través del equipo de mercadeo y

comunicaciones, con el respaldo de ambas vicepresidencias - seguridad y

mercadeo - y se hizo de manera voluntaria, alentando a los usuarios a

participar sin ser obligatoria.

62

FIGURA 13. COMUNICADO PARA INICIAR CON LAS ENCUESTAS

Determinar los tiempos en los cuales va a estar disponible la encuesta

La encuesta estuvo disponible y publicada durante un mes en el sitio

definido y se llevó a cabo la respuesta de la misma por parte de los

usuarios, se recolectó la información y se hizo el respectivo análisis.

Determinar cómo se van a publicar los resultados y a quién se les

comunicarán

63

Los resultados fueron comunicados de manera interna al vicepresidente y a

los colegas de área en la reunión semanal del equipo de seguridad y

puestos en la intranet en el espacio del área de seguridad.

Posteriormente fue divulgada en el grupo primario de la organización para

que la alta dirección, tuviera conocimiento del progreso del plan y del

estado de conciencia de los usuarios de la organización.

Ejemplos de preguntas utilizadas:

1. ¿Conoce a quién contactar en caso de que su dispositivo BYOD sea

infectado y la información contenida allí sea comprometida?

a. Si, Conozco a quien contactar. (1)

b. No, no conozco a quien contactar. (5)

Explicación: Los usuarios que no conocen a quien contactar cuando su

dispositivo móvil está comprometido suponen un riesgo de seguridad, ya

que eventualmente continuarán utilizando el dispositivo, exponiendo

potencialmente a la organización.

2. ¿Ha detectado alguna vez un malware o software malicioso en su

dispositivo BYOD?

c. Sí, mi dispositivo ha sido infectado antes. (3)

d. No, mi dispositivo nunca ha sido infectado. (2)

e. Yo no conozco lo que es un malware. (4)

Explicación: Los usuarios que no son conscientes de lo que es una

amenaza de malware se convierten en un riesgo para la organización y

probablemente no conozcan cómo y cuándo reportarlo.

64

Los usuarios que indican que son conscientes de una amenaza de malware

pero aun así han sido infectados en sus dispositivos BYOD, también

suponen un riesgo ya que sus comportamientos y actividades laborales

pueden conducir a futuras infecciones.

Sin embargo el riesgo es mucho más bajo ya que los usuarios que han sido

infectados en el pasado son usualmente más conscientes de la seguridad.

Esta es la lista de preguntas que se diligenciaron en la encuesta inicial del

programa de conciencia:

¿Cuál es tu posición en la compañía?

¿Sabes si existe un equipo de seguridad en la compañía?

¿Sabes a quién contactar en caso de que tu computador sea infectado con

virus o comprometido por un Hacker?

¿Alguna vez has encontrado un virus o troyano en tu computador de

trabajo?

¿Sabes qué hacer si tu computador ha sido infectado?

¿Alguna vez has compartido tu contraseña con alguien más?

¿Si borras la información de tu computador, o este es formateado, esta

informacion es irrecuperable?

¿Qué tan seguro sientes que sea tu computador?

¿La responsabilidad de proteger la información o los equipos de nuestra

compañía recae únicamente en el equipo de seguridad?

¿Tu computador o dispositivo móvil está configurado para actualizarse

automáticamente?

¿Qué tan cuidadoso eres cuando abres un adjunto que llega por correo

electrónico?

65

¿Nosotros recibimos poco entrenamiento en cómo proteger los

computadores y la información de la organización?

¿Sabes qué es un correo scam y cómo detectarlo?

¿Tienes un antivirus instalado y actualizado en tu computador de trabajo?

¿Mi computador o mi información no tiene valor para los Hackers, yo no soy

un objetivo para ellos?

¿Tenemos políticas de navegación a Internet en la compañía?

¿Existen políticas para el uso de correo electrónico?

¿Se permiten servicios como Google - Drive o Dropbox en nuestra

organización?

¿Puedes usar tus dispositivos personales tal como tu Smartphone, para

almacenar o transmitir información confidencial de la compañía?

¿Has descargado e instalado software para uso personal en el computador

de la compañía?

¿Alguna vez tu jefe o alguien más en tu trabajo te ha solicitado tu

contraseña?

¿Usas las mismas contraseñas de tus cuentas del trabajo, para tus cuentas

personales tales como Facebook o cuentas de correo?

¿Qué tan a menudo copias o transfieres información del trabajo a tus

equipos personales?

¿Has ingresado a las cuentas del trabajo usando computadores públicos,

tales como bibliotecas, cibercafés, u hoteles?

8.5.2.3 Desarrollo del Plan de Despliegue

El programa se comunicará de manera positiva por parte de la alta gerencia. No

se enfocará en el miedo, la incertidumbre o la duda que puedan tener los usuarios

con respecto al uso de BYOD. En cambio, la atención se centrará en cómo el

66

entrenamiento no sólo protege a las personas en el trabajo, sino que los protege

en su casa y familia, También cómo esto les permite utilizar la tecnología de

manera más segura y efectiva en su vida diaria.

Tips Importantes

Todos los nuevos empleados están obligados a completar el entrenamiento

de conciencia en seguridad - en la plataforma virtual - dentro de los 6

meses siguientes a la emisión de su cuenta de correo electrónico

corporativa.

El principal método utilizado para comunicar el programa anual de

formación - en la plataforma virtual - es a través de un sistema interno de

gestión de aprendizaje denominado “Virtual Learning Environment” (VLE).

El equipo de seguridad asumirá el control operativo de formación para la

sensibilización y debe hacer cumplir esta política.

Durante el resto del año, se enviarán recordatorios mensuales para reforzar

la capacitación anual y se debe iniciar con boletines mensuales

informativos para reforzar en medio del entrenamiento.

67

FIGURA 14. RECORDATORIOS REGULARES DEL PROCESO DE CONCIENCIA

El plan se presentó al comité y a la alta gerencia para su revisión,

corrección y aprobación. Una vez se obtuvo la firma de la dirección y el

visto bueno, se procedió al lanzamiento del programa en la organización.

En la sección de anexos se entrega el programa de conciencia en

seguridad para TODO1.

68

FIGURA 15. COMUNICADO DE LA ALTA GERENCIA ACERCA DEL INICIO DEL PROGRAMA DE CONCIENCIA

Antes del lanzamiento del plan se hicieron pruebas de laboratorio con un

grupo pequeño para validar que el programa fuera el adecuado.

Adicionalmente se coordinó con el equipo de la mesa de ayuda, para que

estuviera preparado por si llegara a presentarse múltiples solicitudes

producto del programa, y validar como entrenar a nuevos usuarios que por

alguna razón faltaran o estuvieran ausentes.

Se determinó cuál era el público objetivo del programa, según el resultado

de la encuesta y basado en los riesgos relacionados con los dispositivos

BYOD. Dentro del contenido asignado se tienen los siguientes Módulos:

69

Módulos asignados a los Usuarios

Introducción

Tú eres el objetivo

Ingeniería Social

Correo electrónico y Mensajería Instantánea

Navegando

Redes Sociales

Seguridad en Dispositivos Móviles 3:40

Contraseñas 4:29

Cifrado 1:41

Protección de información 3:47

Destrucción de información 1:56

Seguridad Wi-Fi 2:12

Trabajo a distancia 2:45

Amenaza Interna 2:33

Ayuda de Escritorio 3:47

Personal de TI 4:29

Seguridad Física 2:22

Protegiendo tu computadora 2:39

Protegiendo la red de tu casa 2:30

Protegiendo a tus niños en línea 4:32

Hackeado 2:20

Liderazgo superior 4:58

PCI-DSS 1:35

FERPA 5:17

HIPAA 1:35

PII 0:43

Justicia Criminal 3:22

70

Información de impuestos federales 3:28

GLBA-EDU 2:00

GLBA-FIN 1:30

Reglas de alertas 3:23

Ética 3:06

APT 5:00

Cloud 2:25

ITAR 5:27

Retención de los datos 2:50

Números de Seguro Social 3:28

FCPA 3:42

PII federal 3:34

Protección de datos en la UE 2:43

Privacidad 1:55

Viaje internacional 2:12

Confidencialidad de los clientes en las oficinas legales 2:45

Finalizar 1:18

Estos módulos tienen un grupo de tres preguntas relacionadas con el tema, que al

final del módulo los usuarios deben resolver y que permiten aprobar el

entrenamiento parcial asociado a cada tema.

A continuación un ejemplo resumen del tipo de preguntas que aparecen una vez

se completan los módulos

71

FIGURA 16. PREGUNTAS EJEMPLO DE QUIZ 1

Respuesta acertada del Quiz, que evalúa el conocimiento aprendido en el modulo.

FIGURA 17. PREGUNTAS EJEMPLO DE QUIZ 2

72

Despliegue del contenido

Se debe definir la forma y los medios que se utilizarán para la entrega de los

contenidos a los empleados, para lo cual se consideran tópicos importantes como:

• Contar con el apoyo del personal de Marketing, Comunicaciones y

Recursos Humanos para ayudar a construir los contenidos y definir la mejor

forma para su difusión.

• Enfocar al personal en las bondades que proporciona el uso de la

tecnología con consciencia de los riesgos en lugar de evitar el uso.

• Manejar un ciclo de distribución mensual para las entregas.

• Incluir el contacto del área de seguridad para recepción de notificaciones

con comentarios, sugerencias y observaciones de los usuarios.

Medios a utilizar

• Boletines, afiches.

• Entrenamiento personalizado interno, lista de correos y tips de seguridad.

• Entrenamiento vía WEB (en línea) VLE

Medición, Seguimiento, Actualización y Mejoramiento

Para asegurar que efectivamente se está educando a los usuarios y que se está

logrando un efectivo cambio en sus comportamientos, debemos usar métodos de

medición tales como:

Quiz: Durante el entrenamiento, todos los usuarios tendrán un cuestionario en

línea para poner a prueba la comprensión de cada tema, en el cual se evaluará lo

visto (ejemplos de las preguntas en este Quiz, remitirse a las figuras 16 y 17).

73

Encuestas: Se enviará una encuesta anual de conciencia para poner a prueba la

comprensión del usuario de las políticas, las normas y en general la comprensión

de los temas de seguridad.

Evaluación de Phishing: Se tendrán evaluaciones semestrales de ataques de

tipo Phishing sin previo aviso, para comprobar en los usuarios la capacidad de

identificar, reportar y evitar ser víctimas de ataques de ingeniería social.

Este procedimiento debe empezar con un correo de Phishing a todos los usuarios

a la mitad del entrenamiento, de manera que se pueda establecer una línea base

en relación con la conciencia en seguridad de los usuarios. Se debe comunicar

que el entrenamiento es para el beneficio de las personas; que la administración

no verá el resultado, a menos que el usuario reincida 24 horas después de cada

evaluación/prueba de conciencia. Se debe enviar un correo electrónico a todo el

personal explicando la prueba de Phishing que se envió, cuántas personas fueron

víctimas y una breve explicación de cómo podrían haber determinado que era un

ataque de Phishing.

Se recomienda la siguiente política sobre fracasos:

• Para el primer fracaso en un año, a la persona se le notificará y se le

explicará lo que hizo mal.

• Para el segundo fracaso en un año, se notificará a la persona, se explicará

lo que hizo mal y se le entregará entrenamiento adicional.

• Para el tercer fracaso en un año, se contactará a la persona, se le explicará

lo que hizo mal, recibirá entrenamiento adicional y también una acción

disciplinaria; además se deberá reportar a la gerencia como un empleado

de alto riesgo.

Por ser un programa a largo plazo, se debe implementar un proceso de

retroalimentación y mejoramiento continuo, el cual incluye:

74

Evaluaciones de retroalimentación dos veces al año para obtener información de

los usuarios sobre cómo se puede mejorar el programa, se deben incluir los

puntos claves haciendo preguntas como:

¿Qué fue lo que más le gustó del programa?

¿Qué cree que se puede mejorar y cómo?

¿Qué han aprendido los usuarios?

¿Qué comportamiento cambiaron debido a lo aprendido?

Reuniones de Seguimiento

Planificar reuniones de comité dos veces al año para discutir el progreso del

entrenamiento. El Comité debe revisar los temas de capacitación e identificar que

nuevos temas se deben añadir, actualizar y eliminar, sobre la base de

cumplimiento, los requisitos legales y de reducción de riesgos. Los temas

identificados que deben ser actualizados tendrán un documento con control de

cambios para llevar un control de la versión.

Estas primeras fases corresponden con la etapa de planeación del programa de

conciencia de seguridad, a partir de este punto comienza la fase de ejecución, en

la cual se iniciará el proceso de medición del estado de conciencia de los usuarios

por medio de una encuesta y con base en los resultados de esta encuesta se

determinará qué temas son los más importantes para reforzar el estado de

conciencia.

8.5.2.4 Resultados

La encuesta reveló que los usuarios de la organización se encuentran en un nivel

de riesgo moderado y que requieren recibir entrenamiento en seguridad de la

75

Información, en temas de políticas, estándares y en identificación de ataques

informáticos.

FIGURA 18. RESULTADOS DE LA PRIMERA VALORACIÓN DEL ESTADO DE CONCIENCIA DE LOS

EMPLEADOS LUEGO DE LAS PRIMERAS EVALUACIONES

76

FIGURA 19. ITEMS A PROFUNDIZAR EN EL PROGRAMA DE CONCIENCIA

Distribución por áreas que participaron en la encuesta

Se evidencia una gran participación de los empleados lo que demuestra el interés

por el tema de la seguridad de la información, adicionalmente por le necesidad

actual del tema en las empresas, donde según los informes de seguridad, se

evidenció que la cadena más débil del eslabón es el humano y es en donde se

deben reforzar los conocimientos y los procesos y controles. Áreas como

seguridad, infraestructura, servicios profesionales y servicios transaccionales,

mostraron mayor participación.

77

FIGURA 20. DISTRIBUCIÓN DE LOS PARTICIPANTES POR ÁREAS

Riesgo promedio por Areas

En esta gráfica se puede evidenciar que el promedio por área es similar al

promedio general sin embargo podemos apreciar que áreas como contabilidad,

mercadeo, administración, arquitectura y gerencia de proyectos son las áreas con

mayor necesidad de entrenamiento y por lo tanto las de mayor riesgo.

78

FIGURA 21. NIVEL DE RIESGO PROMEDIO POR ÁREA

Riesgos por Nivel

Como se puede apreciar en la siguiente gráfica, el 50% de los usuarios

entrevistados está en un nivel de riesgo significativo y el otro 50% en un nivel de

riesgo moderado, por lo que se requiere mucho entrenamiento en temas tales

como:

- Políticas

- Identificación de amenazas

- Conceptos generales de seguridad.

79

FIGURA 22. NIVELES DE RIESGO IDENTIFICADOS

FIGURA 23. AREAS CON NIVEL DE RIESGO POR ENCIMA DE LA MEDIA

Como se puede ver en la gráfica anterior tenemos que las áreas que se

encuentran por encima de la línea roja son aquellas áreas que merecen un

tratamiento especial ya que luego de las evaluaciones realizadas se encontró que

su nivel de conciencia en seguridad está por encima de la media en TODO1.

80

A fecha de hoy se encuentra implementado el programa con 12 módulos

entregados y una participación activa de los usuarios, en el siguiente informe

puede verse el progreso de participación de los usuarios de la organización,

FIGURA 24. DETALLES GENERALES

Historico que muestra el progreso de los usuarios y modulos finalizados y por ver.

FIGURA 25. INFORMACION CONSOLIDADA

Total modulos habilitados 12 6 cada mes

Total usuario enrolados 212

Total completados 74

81

Total en progreso 119

Total no iniciados 19

Cada lunes se procede a recordar a los usuarios que se tienen modulos

pendientes por tomar , usando esto como una medida de refuerce para

cumplir con los plazos establecidos de 6 modulos por mes.

FIGURA 26. CORREO RECORDATORIO

Posteriormente al finalizar el año se hará una medicion del estado actual de

conciencia y se comparará con la primera imagen tomada antes de arrancar

el plan y se validara el progreso en el comportamiento de los usuarios en

materia de conciencia.

82

Tambien este componente pasará a ser un alimentador del mapa de ruta de

los indicadores del area de seguridad.

Al finalizar los modulos cada participante obtendrá un certificado como el

mostrado a continuacion

FIGURA 27. CERTIFICACION DEL PROGRAMA DE CONCIENCIA

Estado actual de los entregables.

Control Estado Porcentaje Aprobación observaciones

Política de

seguridad

para

Entregado y

publicada

100% OK Requerida para

el cumplimiento

PCI y SSAE

83

dispositivos

Móviles

16.

Control

técnico de

dispositivo

móviles

Terminado y

por aprobar

100 % OK Este control

requiere de

aprobación del

comité una vez

se dictamine el

inicio de

proceso en el

próximo año

Análisis de

riesgos

Ejecutado y

terminado

100 % OK Necesario

como insumo

para

implementación

de los controles

,

Programa de

conciencia se

seguridad de

la Información

Ejecutado e

implementado

y en progreso

100% OK En progreso

continuo, ya

que es un ciclo

y no termina

TABLA 16. ESTADO ACTUAL DE LOS PROYECTOS

84

9. CONCLUSIONES

- Para cualquier negocio, la información es el activo más importante y por

ende siempre se hace imprescindible la implementación de controles

técnicos, humanos y de procesos para protegerla, en cualquiera de sus

estados (procesada, almacenada y en tránsito).

- Para las organizaciones que brindan servicios a entidades financieras

como lo hace TODO1, por el tipo de informacion que se procesa y es

necesario proteger, es indispensable contar con políticas que permitan

gobernar o normar el uso que se le debe dar a este tipo de tecnologías

al interior.

- Es importante contar con un proceso de clasificación de la información

como insumo para el análisis de riesgo, ya que permite que dicho

análisis se haga de manera más precisa, identificando de manera más

adecuada cuales serían los activos más importantes a proteger no

solamente por su uso, sino por el manejo que le dan a la información

procesada por estos y que ha sido identificada como clave para la

compañía.

- Existen diferentes estados de maduración de las organizaciones en el

proceso de aseguramiento de la información que se procesa por medio

del canal móvil, para empresas de tecnología como TODO1, es

imprescindible llegar lo más rápido posible al nivel en donde se sienta

más a gusto con la seguridad, implementando los controles técnicos, de

procesos, tecnológicos y/o humanos que sean necesarios para

asegurar que la interacción de los empleados con la información, es

“segura” y que los riesgos existentes e identificados son reducidos,

aceptados, mitigados o transferidos de manera adecuada.

85

- Un programa de conciencia en seguridad es parte fundamental de la

cultura organizacional de cualquier compañía, porque permite que los

empleados y terceros involucrados con el procesamiento de la

información, bien sea por medios tecnológicos o como parte de

procesos humanos, tengan la capacidad de identificar potenciales

situaciones de seguridad que buscan aprovecharse de las

vulnerabilidades presentes en cada uno de los activos de la compañía

para acceder de manera no autorizada y/o maliciosa a la información.

- Los programas de conciencia en seguridad son procesos que nunca

deben terminar y que se deben mantener en el tiempo, actualizándose

regularmente y teniendo en cuenta la evolución de la tecnología

existente, las tendencias, los nuevos procesos, sobre todo porque

participa como actor fundamental, el eslabón más débil de la cadena de

la seguridad de la información – el factor humano -.

86

10. REFERENCIAS BIBLIOGRAFICAS

[1] Steve Mansfield-Devine, Interview: BYOD and the Enterprise Network,

Computer Fraud & Security, Volume 2012, Issue 4, Pages 14-17 (April 2012)

[2] Dionisio Zumerle, Jhon Girard, A guide to Gartner Enterprise Mobile Security

Self-Assessment, G00246739, Pages 1-2 (January 2014)

[3] Bill Morrow, BYOD Security Challenges: Control And protect your most

sensitive data, Network Security, Volume 2012, Issue 12, Pages 5-8 (December-

2012)

[4] CISCO IBSG Horizons, El Impacto Financiero de BYOD, Page 1-6 (May 2013)

[5] Dionisio Zumerle, Jhon Girard, A guide to Gartner Enterprise Mobile Security

Self-Assessment, G00246739, Page 3 (January 2014)

[6] Bryan Taylor, Use the Key Levers of Process to Ensure BYOD Success,

G00250199, Pages 1-3 (April 2013)

[7] Rich Doheny, Leif-Olof Wallin, Ken Dulaney, Toolkit: Enterprise-Owned Mobile

Device Policy Template, G00258602, Pages 1-4 (April 2013)

87

LISTA DE TABLAS

Tabla 1. Cronograma de actividades…………………………………………………15

Tabla 2. Inventario de activos a proteger en TODO1……………………………….28

Tabla 3. Tabla de probabilidad y/o Frecuencia de ocurrencia……………………..30

Tabla 4. Tabla de impacto en la información………………………………………...31

Tabla 5. Activos/recursos objeto de análisis de riesgo………………………..........32

Tabla 6. Amenazas objeto de análisis de riesgo…………………………………….34

Tabla 7. Relación de Amenazas vs Activos durante el análisis de riesgo…..........35

Tabla 8. Valoración de los escenarios de riesgo de acuerdo a la ocurrencia y el

impacto……………………………………………………………………………...........36

Tabla 9. Distribución porcentual de los riesgos………………………………...........37

Tabla 10. Matriz de calor con los riesgos encontrados……………………………...39

Tabla 11. Calificación de los riesgos altos y medio-altos en orden de

importancia……………………………………………………………………………….42

Tabla 12. Tratamiento de los riesgos identificados……………………………….....45

Tabla 13. Proceso de aprovisionamiento de los dispositivos……………………….53

Tabla 14. Roles y participantes del programa de conciencia……………………….56

Tabla 15. Categorías del nivel de riesgo………………………………………………59

Tabla 16. Estado actual de los proyectos……………………………………………..83

88

LISTA DE FIGURAS

Figura 1. Modelo de seguridad Móvil para las empresas de Gartner……………...11

Figura 2. Modelo de seguridad propuesto…………………………………………….14

Figura 3. proceso de gestión de riesgos………………………………………...........20

Figura 4. Elementos del análisis de riesgos y su relación…………………………..22

Figura 5. Clasificación de los activos de la organización………………..................25

Figura 6. Inventario de activos………………………………………………………….26

Figura 7. Distribución porcentual de los riesgos……………………………………...38

Figura 8. Proceso de evaluación de riesgos………………………………………….45

Figura 9. Flujograma del proceso de aprovisionamiento de los

dispositivos……………………………………………………………………………….53

Figura 10. Flujograma del proceso de des-aprovisionamiento de los

dispositivos………………………………………………………………..……………...54

Figura 11. Ejemplo de la encuesta inicial….……………………………..…………...58

Figura 12. Correo campaña de expectativa acerca del programa de

conciencia……………………………………………………………………..………….60

Figura 13. Comunicado para iniciar con las encuestas…………………..…...........62

Figura 14. Recordatorios regulares del proceso de conciencia…………...………..67

Figura 15. Comunicado de la alta gerencia acerca del inicio del programa de

conciencia………………………………………………………………………..……….68

Figura 16. Preguntas ejemplo de Quiz 1………………………………………………71

Figura 17. Preguntas ejemplo de Quiz 2………………………………………………71

Figura 18. Resultados luego de la primera valoración del estado de conciencia de

los empleados luego de las primeras evaluaciones………………………………….75

Figura 19. Ítems a profundizar en el programa de conciencia……………………...76

Figura 20. Distribución de los participantes por áreas……………………………….77

Figura 21. Nivel de riesgo promedio por área………………………………………...78

Figura 22. Niveles de riesgo identificados…………………………………………….79

Figura 23. Areas con nivel de riesgo por encima de la media………………..........79

Figura 24. Detalles generales…………………………………………………………..80

89

Figura 25. Informacion consolidada……………………………………………………80

Figura 26. Correo recordatorio…………………………………………………………81

Figura 27. Certificación del programa de conciencia………………………………...82

90

LISTA DE ANEXOS

1. Política de Seguridad para el uso de los dispositivos móviles en TODO1

2. Check list para el proceso de aprovisionamiento de los dispositivos

3. Programa de conciencia en seguridad

91

GLOSARIO

BYOD: Concepto con el cual se conoce al hecho de que los empleados de una

organización utilicen sus propios dispositivos móviles –de uso personal- para

labores corporativas con toda la inclusión de riesgos de seguridad que esto

supone para las organizaciones.

VLE: Plataforma virtual en línea, llamada “Virtual Learning Environment” por medio

de la cual los empleados de TODO1, pueden acceder al contenido de los módulos

de seguridad definidos en el programa de conciencia de seguridad.

MALWARE: Código malicioso o malintencionado que tiene como finalidad el robo

de informacion o daña en los dispositivos sin el consentimiento de los dueños. Es

utilizado por los hackers para realizar fraudes financieros y/o de robo de

información con el objetivo de atacar a objetivos de gran valor.

CHECK LIST: Documento con la definición de la línea base de aseguramiento de

los dispositivos móviles, diseñado para que las áreas de TI de TODO1 puedan

aprovisionarlos cuando se requiera y que busca de manera básica proteger la

información que se procesa por este canal.

LAPTOPS: Dispositivos o computadores portátiles, usados por los empleados

para sus labores corporativas.

HACKERS: Personas que buscan la manera de acceder a recursos, sistemas,

información de manera fraudulenta y no autorizada, con el fin de obtener

reconocimiento, dinero, imagen, etc. y con consecuencias casi siempre negativas

para la víctima.

proceso de aseguramiento y estandarizacion en el...

Documents