Embed Size (px)
Citation preview
UNIVERSIDAD POLITÉCNICA DE SINALOA
PROGRAMA ACADÉMICO DE
INGENIERÍA EN INFORMÁTICA
TESINA
”Importancia de la seguridad en
informática”.
QUE PARA HACERSE CON EL TÍTULO DE:
INGENIERO EN INFORMÁTICA
PRESENTA:
Autor:
Joseph Raúl Bastidas Moreno
Asesor:
Gloria Irene Téllez Rodríguez
Asesor OR:
Miguel Alonso Berrelleza Pérez
Mazatlán, Sinaloa, 2019
2
3
4
5
6
ÍNDICE
Resumen………………………………………………………………………………………………..………………5
Introducción………………………………………………………………………………………….…………………8
Capítulo I. Marco Metodológico__________________________________________________________10
1.1 Planteamiento del
problema…………………………………………………………………………………………………………10
1.2 Objetivos……………………………………………………………………………………………….…………11
1.2.1 Objetivo General……………………………………………………………………………………………….11
1.2.2 Objetivos Específicos…………………………………………………………………………..……12
1.2.3 Técnicas e instrumentos de medición……………………………………………………………..12
1.2.4 Universo / Muestra…………………………………………………………………………..……….13
1.2.5 Justificación…………………………………………………………………………………..………13
Capítulo II. Estado del arte______________________________________________________________15
2.1 Seguridad informática……………………………………………………………………………………………15
2.1.1 Activos……………………………………………………………………………………...………….16
2.2 Amenazas…………………………………………………………………………………………………………16
2.3 Tipos de Amenazas……………………………………………………………………………………..……….17
2.3.1 Físicas…………………………………………………………………………………………...…….17
2.3.2 Naturales………………………………………………………………………………………………17
2.3.3 De hardware………………………………………………………………………………………….18
2.3.4 De software………………………………………………………………………………..………….18
2.3.5 Humanas…………………………………………………………………………………………………………….………………18
2.4 Riesgos…………………………………………………………………………………………………………………………………..…………..19
2.4.1 Análisis de riesgos………………………………………………………………………………………………………………19
2.5 Vulnerabilidades…………………………………………………………………………………………………………………….………….20
2.6 Impacto……………………………………..………………………………..………………………………..……………………….…………20
2.7 Seguridad lógica………………………………..………………………………..………………………………………………….…………21
2.7.1 Controles de acceso lógico………………………………..………………………………..………………….…………21
7
2.7.2 Exposiciones de acceso lógico………………………………..………………………………………………..…………..25
2.8 Seguridad física………………………………..………………………………..……………………………………….………..………………28
2.8.1 Controles de acceso físico………………………………..……………………………………………………………………28
2.8.2 Exposiciones de acceso físico………………………………..………………………………………………...……………30
2.9 Seguridad ambiental………………………………..………………………………..………………………………………………..………30
2.9.1 Controles ambientales………………………………..………………………………..………………………………..……31
2.9.2 Exposiciones ambientales………………………………..………………………………..……………….……………..…31
2.10 Delito informático………………………………………..……………..………………………………..……………..……………………32
2.11 Regulaciones………..………………………………..……………..………………………………..………………………….…..……….32
2.11.1 Políticas………..………………………………..……………..……………………………………………..…..………………32
2.11.2 Procedimientos………..………………………………..……………..……………………………………..…………..….33
2.12 Organizaciones privadas………..………………………………..……………..………………………………………..………..……33
2.12.1 Objetivo de las organizaciones privadas………..…………………………………………………..……………..34
2.12.2 Funciones de las organizaciones privadas………..…………………………………………………..…………..34
Capítulo III. Diseño y Desarrollo___________________________________________________________35
3.1 Situación actual de la organización………..………………………………..……………..…………………………….……………35
3.2 Estructura orgánica………..………………………………..……………..…………………………………………………….…………….35
3.3 Misión………..………………………………..……………..………………………………..……………..…………………………..…………36
3.4 Visión………..………………………………..……………..………………………………..……………………………………..………………36
3.5 Objetivo………..………………………………..……………..………………………………..…………………………….……..……………36
3.6 Antecedentes………..………………………………..……………..……………………………………………………………………..……36
3.7 Principales amenazas en la organización.……………..….……………...……………..….…………………………………..….37
3.8 Exposiciones físicas.……………..…….……………..…….……………..…….……………..…….………………………….…………..38
3.9 Exposiciones lógicas.……………..…….……………..…….……………..…………………………...……………..…….………………39
3.10 Exposiciones ambientales.……………..………….……………..….……………..…….………………………..…………..…….…40
3.11 Recomendaciones administrativas a la organización.……………..…….………………………………….…..…………..41
3.12 Propuesta del área de seguridad de informática.……………..…….…………………………………….…….…………….41
3.13 Estructura orgánica de la organización con el área de seguridad informática……………………………….……44
8
3.14 Políticas se seguridad informática.……………..…….……………..…….………………..……………………….………..48
3.15 Clasificación, almacenamiento y administración de la información.……………..…….……….…………..…48
3.16 Almacenamiento y respaldo de información.……………..…….……………..…….……………..……..….……….49
3.17 Administración de la información.……………..…….……………..…….……………..…….………………….………..49
3.18 Validaciones, controles y manejo de errores……………..……………..………………………………..….…………50
3.19 Planes de emergencia, contingencia y recuperación……………..……………..……………………………….….51
3.20 Normas de seguridad informática……………..……………..………………………………..……………..………..……52
3.21 Normas para el uso y operación de los recursos informáticos……………..……………..…………………..…52
3.22 Normas para la instalación, configuración y administración de los recursos informáticos………….53
3.23 Normas de seguridad para servidores……………..……………..………………………………..…………………….…53
3.24 Recomendaciones técnicas a la organización……………..……………..………………………………..…………….54
3.24.1 Físicas……………..……………..………………………………..……………..………………………………….…..…54
3.24.2 Lógicas……………..……………..………………………………..……………..…………………………..……………55
3.24.3 Ambientales……………..……………..………………………………..……………..…………………...……………57
3.25 Recomendaciones en legislación informática……………..……………..………………………………………….…….58
3.26 Fortalecer la normatividad interna de la organización, siempre con apego a derecho…………………..60
Conclusiones……………..……………..………………………………..……………..………………………………..…………………..…..61
Bibliografía……………..……………..………………………………..……………..………………………………..……………………….…63
Índice de tablas
Capítulo II. Estado del arte _____________________________________________________________15
Tabla 2.1 Tipo de contenidos de Spam……………………………………………………………………………….…………………27
Índice de imágenes
Capítulo II. Estado del arte_____________________________________________________________15
Imagen 2.1 Ejemplo de phishing………………………………………………………………………………………………………….28
Capítulo III. Diseño y Desarrollo________________________________________________________35
Imagen 3.1 Organigrama actual…………………………………………………………………………………………………………..35
Imagen 3.2. Propuesta de estructura orgánica para la organización Tata Consultancy Services…………..44
9
RESUMEN
Las empresas y organizaciones deben atender de manera óptima su negocio y clientela,
siendo conscientes del nivel de riesgo que conlleva no adentrarse e invertir en seguridad
para sus empresas. El objetivo principal de la seguridad informática, es el de garantizar que
los recursos informáticos de una compañía estén disponibles para cumplir sus propósitos y
que no se encuentren alterados por factores externos a la empresa u organización. Ya que,
cuando se presentan este tipo de problemas, se puede provocar la pérdida de varias cosas,
las principales vendrían siendo; la confianza del cliente, la buena imagen de la empresa y en
el peor de los casos, pérdida de información valiosa lo cual conlleva pérdidas económicas.
Es por eso que, en la presente investigación, se analiza la situación actual de la seguridad
en informática en organizaciones privadas, evidenciando las amenazas a las que se
encuentran expuestas y dando a conocer las posibles consecuencias, de esta manera
demostrar la importancia de contar con un apropiado esquema de seguridad que reduzca los
niveles de vulnerabilidad y riesgo existentes.
En base al estudio y análisis de diversas estadísticas, se demuestra que las organizaciones
se preocupan por salvaguardar sus activos, sin embargo no tienen los conocimientos ni la
experiencia necesaria para protegerlos adecuadamente, debido a que generalmente no
cuentan con un área de seguridad que se encargue de comprobar que se sigan políticas y
procedimientos que aseguren y garanticen la seguridad de la información, prevea las posibles
contingencias, regule la gestión de la infraestructura y que en general se dedique a guiar el
desarrollo y correcto funcionamiento de la organización mediante las auditorias
correspondientes.
De esta forma, se determina que la seguridad en informática es un tema de suma importancia
para las organizaciones debido al aumento de los delitos informáticos y al impacto que tiene
sobre las mismas, obligándolas a tomar medidas al respecto. Derivado de lo anterior, se
10
plantea un esquema genérico de seguridad que cumple con los lineamientos y regulaciones
de la normatividad, tomando en cuenta las recomendaciones de las mejores prácticas.
Al mismo tiempo, se analizan las exposiciones lógicas, físicas y ambientales más comunes
a las que se encuentran vulnerables las organizaciones y basado en las recomendaciones
generales y estadísticas sobre los controles más utilizados y eficientes, posteriormente, se
propone un esquema organizacional y técnico para que sean aplicados dentro del área de
seguridad de la información y de esta manera crear un entorno seguro en la organización.
También, se promueve un cambio en cuanto a la administración y manejo de información,
implementando una nueva estructura en la organización, determinando los roles y las
funciones que debe cumplir el personal, proponiendo lineamientos para brindar una mejor
protección y manejo de los recursos, además de la implementación de los controles de
seguridad más apropiados para este tipo de organizaciones. Por otra parte, dentro de las
funciones del área se contempla la verificación de los controles de seguridad física y lógica
establecidos, análisis de los riesgos a que está expuesta la información, definición y
validación de políticas y procedimientos que aseguren la confidencialidad, confiabilidad y
disponibilidad de los datos, garantizar la seguridad de la información y proveer las posibles
contingencias.
En cuanto a las necesidades tecnológicas de las organizaciones, éstas son muy variadas,
cada organización requiere un diseño de seguridad propio, de acuerdo a sus expectativas y
a los factores que influyen en ella. Se tiene que, la correcta planeación del esquema de
seguridad informático puede facilitar futuras necesidades, ya que, lo que en un principio
puede empezar con la compra de controles básicos de seguridad o de un software de gestión,
luego puede evolucionar en una compleja infraestructura de red o en la implantación de un
sistema de gestión empresarial global y conforme vayan surgiendo necesidades
tecnológicas, éstas puedan ser agregadas en el esquema sin necesidad de replantearlo.
11
En materia de legislación se promueve una cultura jurídica de TI además de fortalecer la
normatividad interna, siempre con apego a derecho, debido a que, normalmente, en gran
parte del personal de las organizaciones existe desconocimiento sobre las consecuencias o
sanciones a que pueden ser objeto en caso de incumplir con las normas que aplican dentro
de la empresa y las que están establecidas por la ley.
Posteriormente, se analiza la empresa de consultoría Tata Consultancy Services donde se
estudia la estructura de la organización, las exposiciones lógicas, físicas y ambientales a las
que se encuentra vulnerable, basado en las recomendaciones generales, se propone un
esquema organizacional y técnico para que sean aplicados dentro del área de seguridad de
la información y de esta manera crear un ambiente seguro en la organización.
Se recomienda a la empresa modificar su estructura orgánica para mejorar su área de
seguridad en informática, en un esquema parcialmente distribuido, donde el área de
Seguridad Informática dependa directamente de la Dirección General, mientras que el área
de Desarrollo Seguro dependa del área de Sistemas. Además de promover un cambio en
cuanto a la administración y manejo de información, implementando una nueva estructura en
la organización, determinando los roles y las funciones que debe cumplir el personal,
proponiendo lineamientos para brindar una mejor protección y manejo de los recursos,
asimismo implementar los controles físicos, lógicos y ambientales más apropiados para este
tipo de organizaciones.
También, una nueva manera de manejar los incidentes de seguridad a los que tanta
importancia le da esta empresa (prestar credenciales físicas y digitales, ingresar objetos
prohibidos dentro de la empresa, etc.).
12
INTRODUCCIÓN
Con el incremento acelerado del uso de computadoras en las organizaciones para
almacenar, transferir y procesar información, se han convertido en un elemento indispensable
para el adecuado funcionamiento de las mismas. Como consecuencia, la información ha
tomado un valor importantísimo que requiere de protección para garantizar el cumplimiento
de los objetivos del negocio.
Por tal motivo, los requerimientos en seguridad informática son cada vez mayores, debido a
que se busca que los recursos informáticos de una organización estén disponibles y que no
se encuentren afectados por personas o situaciones maliciosas. Estas personas pueden ser
o no parte de la organización y buscan tener acceso no autorizado a información confidencial
para modificar, sustraer o borrar datos; cuya pérdida puede afectar sustancialmente las
actividades de la organización y generar pérdidas económicas.
Por lo anterior, resulta importante establecer políticas de seguridad que permitan
implementar una serie de soluciones tecnológicas, así como el desarrollo de un plan de
acción que nos ayude a actuar de forma rápida y eficaz en el manejo de incidentes,
recuperación de información y la disminución del impacto.
De igual manera es importante la aplicación de mejores prácticas para crear una cultura de
seguridad adecuada sobre la necesidad e importancia del aseguramiento de la información,
al igual que de las diversas normas y estándares que se requieren para lograrlo.
La presente tesina muestra una investigación que tiene por objetivo dar a conocer la
importancia de la seguridad informática en las organizaciones privadas a nivel nacional.
13
Este trabajo consta de los siguientes capítulos:
En el capítulo I se presentan las bases metodológicas que servirán de apoyo para llevar a
cabo este documento.
En el capítulo II se abordan los aspectos teóricos que dan a conocer de manera general y
sencilla la terminología empleada a lo largo de la investigación.
En el capítulo III se muestra la situación actual de la seguridad en informática en las
organizaciones, al igual que las estrategias de seguridad que se utilizan para minimizar los
riesgos y los delitos informáticos, así como el impacto que estos generan.
Finalmente, en el capítulo IV se aplican los conocimientos recabados en el desarrollo de esta
investigación con la intención de proporcionar una opinión para mejorar la seguridad
informática de TCS (Tata Consultancy Services).
14
CAPÍTULO I. MARCO METODOLÓGICO
El siguiente capítulo tiene como objetivo dar a conocer la problemática que surge en las
empresas al no darle la importancia necesaria a la seguridad informática, ya que la gran
mayoría de las empresas de tecnologías de la información son vulnerables a tener brechas
de seguridad que darán paso a pérdida de datos e información.
Se definen los objetivos del proyecto con el propósito de realizar una investigación completa,
para dar una opinión sobre cómo se pueden minimizar los riesgos y amenazas en las
organizaciones al contar con una adecuada seguridad informática.
Se presenta una justificación del proyecto con información obtenida a través de estadísticas
y estudios realizados, que demuestran los efectos que conlleva el no contar con la debida
seguridad informática en las organizaciones.
1.1 Planteamiento del Problema
Actualmente, en las organizaciones informáticas privadas a nivel nacional, se dan toda clase
de ataques a la información que manejan, esto debido a la escasa preparación en materia
de seguridad informática, lo cual deja desprotegido a este sector.
La baja asignación de presupuesto que se destina a este tema, es otra de las causas por la
cual las organizaciones se ven en un estado tal de vulnerabilidad que propicia grandes
pérdidas económicas.
Otra de las causas es la desinformación sobre el tema, ya que algunas de las organizaciones
consideran que el hecho de contar con medidas mínimas de seguridad les brinda la
protección necesaria.
15
La gran velocidad con que la tecnología de las comunicaciones ha evolucionado, es una más
de las causas por la cual existe mayor vulnerabilidad en las organizaciones, pues con ello
todo este sector se ve inmerso en la necesidad de comunicarse con ayuda de estos medios.
El hecho de que exista poca gente especializada que tenga amplio conocimiento en los
mecanismos de seguridad que se deben aplicar para establecer un ambiente seguro de
trabajo, es un factor crítico que influye de forma negativa en las organizaciones.
La poca capacitación que se le brinda al personal que labora en las organizaciones y el hecho
de que existan personas maliciosas, son otros de los puntos que demuestran la necesidad
de la seguridad informática.
1.2 Objetivo
1.2.1 Objetivo general
Analizar la situación actual respecto a la seguridad en informática en las organizaciones
privadas a nivel nacional para así determinar la importancia de contar con una estructura
segura y eficiente.
1.2.2 Objetivos específicos
Para cumplir con el objetivo general se establecen los siguientes objetivos específicos:
• Analizar las organizaciones privadas a nivel nacional que cuentan con seguridad en
informática.
• Determinar las causas que originan la falta de seguridad en informática en las
organizaciones.
• Identificar las necesidades de seguridad en informática en las organizaciones privadas
a nivel nacional.
16
• Identificar los recursos que se desean proteger.
• Identificar las amenazas y vulnerabilidades de la organización, así como las posibles
consecuencias.
• Determinar los mecanismos de seguridad física, lógica y ambiental existentes.
• Estudiar las recomendaciones de mejores prácticas que se establecen en una
organización privada a nivel nacional.
• Demostrar la importancia que tiene la seguridad en informática en las organizaciones.
• Determinar los mecanismos de seguridad física, lógica y ambiental mínimos que se
requieren en una organización para crear un ambiente seguro.
1.2.3 Técnicas e instrumentos de medición
Para la recolección de información se emplea la técnica documental porque se estudia
información secundaria, es decir, que ya ha sido obtenida y analizada por otros y que se
encuentra disponible en las distintas fuentes bibliográficas.
También se emplea la técnica de campo para obtener información primaria a través de la
aplicación de cuestionarios a los empleados de las organizaciones.
1.2.4 Universo y/o muestra
Para identificar el universo y la muestra durante esta investigación en necesario averiguar
las propiedades o características de nuestra población, por lo que nos interesa que sea un
reflejo representativo de la misma.
En lo que respecta a la población o universo que se abarca, son todas las organizaciones
privadas a nivel nacional, sin embargo, lo que nos interesa es distinguir la población
muestreada. La población muestreada es aquella a partir de la cual se extrae la muestra, que
está constituida por la empresa Tata Consultancy Services.
17
1.2.5 Justificación
La seguridad informática juega un papel muy importante ya que permite manejar las
herramientas, políticas, lineamientos y mecanismos necesarios para establecer una
completa y eficiente protección de la información, minimizando así costos innecesarios que
repercuten en el cumplimiento de los objetivos del negocio. Como se muestra en el estudio
realizado recientemente por el Ingeniero Superior de Telecomunicaciones Eneko Huarte
Mendicoa, el cual trata sobre la seguridad informática en las organizaciones y los efectos en
la economía de éstas, se ve reflejado que:
• El 75.1% de las empresas dispone de una función encargada de asumir las
responsabilidades de seguridad y un 10.4% contrata apoyo externo.
• Finanzas, seguros y bienes raíces, es el sector más preparado, pues el 28.4%
disponen de un departamento especial.
Un 76.3% de las empresas tiene entre uno y tres empleados dedicados a esta tarea de seguridad;
pero el número de personas dedicadas a la misma no guarda relación con el tamaño de la plantilla.
• El 70% dispone de una política que recoge los principales preceptos de seguridad,
100% copias de seguridad, 96.8% control de accesos y 96% usos de contraseñas.
• 85.3% de las empresas creen que la seguridad ha mejorado en los últimos años.
• 69,3% de las empresas declara no haber tenido incidentes de seguridad destacables.
• Los sectores más castigados por incidencias: son la Construcción y contratas (37,5%)
y finanzas, seguros y bienes raíces (38,1%).
• Las incidencias relacionadas con la apertura de los sistemas a internet son las que
parecen tener mayor impacto en las empresas, tales como; Internet (spam, virus,
troyanos, etc.) y Gestión de configuraciones y mantenimiento técnico de las
plataformas (caídas de sistemas 75% y fallos técnicos 60%).
• Las incidencias con menor presencia son; ataques internos, robos de información,
desastres o contingencias graves, intrusiones externas, fraudes y robos de identidad.
• En relación con las principales causas que motivan la aparición de este tipo de
incidencias, el 51,6% de los panelistas aduce como la principal causa la existencia de
una débil cultura de seguridad.
18
• 81,6% declara haber realizado las auditorias que requiere el reglamento.
• 97,1% de los panelistas dice que realiza copias de seguridad y que éstas se custodian,
en la mayoría de los casos, fuera de la sede de la empresa.
https://elpais.com/diario/2007/05/06/negocio/1178456606_850215.html
En este sentido, hay muchas organizaciones que promueven la difusión entre las empresas,
organismos, particulares y la sociedad en general, el uso y la necesidad de las mejores
prácticas en seguridad informática. Al no asegurar correctamente la información puede traer
consecuencias negativas tanto a nivel económico, legal y social.
Es de suma importancia tener en claro las metodologías, técnicas, procedimientos y políticas
necesarias para protegerse y minimizar los riesgos que se dan inevitablemente con el uso de
las tecnologías de información.
19
CAPÍTULO II. ESTADO DEL ARTE
Dentro de este capítulo se muestra una visión amplia de los conceptos básicos relacionados
con la seguridad informática.
Se estudian los diferentes tipos de activos con los que cuenta una empresa, las
vulnerabilidades a las que se encuentran expuestas y las diversas amenazas que puedan
presentarse en busca de alterar la disponibilidad, confidencialidad e integridad de la
información, para así minimizar el impacto que pudieran provocar.
Asimismo, se menciona en qué consiste la seguridad física, lógica y ambiental, además de
los controles existentes para proteger los activos de la organización y lograr reducir los
riesgos en caso de que ocurra alguna incidencia.
2.1 Seguridad Informática
De acuerdo con diferentes definiciones estudiadas y encontradas en portales de internet se
define seguridad informática “como aquella disciplina que busca garantizar y proteger todos
los recursos de un sistema de información de una empresa u organización y verificar que
estos sean utilizados al máximo, sin intromisiones”
2.1.1 Activos
Con base en información encontrada en un portal de Internet se definen que los activos son
los elementos que la seguridad informática tiene como finalidad proteger, los tres elementos
que los conforman son:
• Información: es el objeto de mayor valor en una organización, y por ello su salvaguarda
debe ser una prioridad, independientemente del lugar en donde se encuentre
20
registrada y de la naturaleza del medio que lo soporte, electrónico o físico.
• Equipamiento: se identifica con ello al Software, hardware, elementos de
comunicación y demás componentes estructurales, que dan soporte a la información.
• Usuarios: son los profesionales que utilizan el equipamiento en el manejo de la
información, con el objetivo de intercambiar y generar conocimiento útil a la
organización.
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
2.2 Amenazas
Derivado del análisis a diferentes definiciones de amenazas encontradas en internet, se
concluye que “son agentes capaces de explotar los fallos de seguridad que denominamos
puntos débiles y, como consecuencia de ello, causar pérdidas o daños a los activos de una
empresa”, también se define como cualquier potencial violación de la seguridad, es decir,
cualquier acción o acontecimiento que pueda provocar una pérdida o daño en la
confidencialidad, integridad o disponibilidad de la información.
2.3 Tipos de Amenazas
Las amenazas son constantes y estos pueden ocurrir en cualquier momento, a continuación,
se muestran los diferentes tipos de amenazas que se obtienen de un portal de Internet las
cuales se dividen en diferentes grupos y se mencionan algunos ejemplos de los mismos:
2.3.1 Físicas
Los puntos débiles de orden físico son aquellos presentes en los ambientes en los cuales la
información se está manejando o almacenando físicamente
21
• Instalaciones inadecuadas del espacio de trabajo
• Ausencia de recursos para el combate a incendios
2.3.2 Naturales
Son aquellos relacionados con las condiciones de la naturaleza que puedan poner en riesgo
a la información.
• Ambientes sin protección contra incendios
• Locales próximos a ríos propensos a inundaciones
• Infraestructura incapaz de resistir a las manifestaciones de la naturaleza como
terremotos, maremotos, huracanes etc.
http://ingwebsu.wordpress.com/tag/humano/
http://ingwebsu.wordpress.com/2008/11/18/53-amenazas-y-vulnerabilidades/
2.3.3. De Hardware
Los posibles defectos en la fabricación o configuración de los equipos de la empresa que
pudieran permitir el ataque o alteración de los mismos:
• La ausencia de actualizaciones conforme con las orientaciones de los fabricantes de
los programas que se utilizan.
• Conservación inadecuada de los equipos.
2.3.4 De software
Los puntos débiles de aplicaciones permiten que ocurran accesos indebidos a sistemas
informáticos incluso sin el conocimiento de un usuario o administrador de red.
22
• Programas lectores de e-mail que permiten la ejecución de códigos maliciosos
• Editores de texto que permiten la ejecución de virus de macro etc.
• Programas para la automatización de procesos
2.3.5 De Almacenamiento
• Plazo de validez y caducidad
• Defecto de fabricación
2.3.5 Humanas
• Contraseñas débiles
• Compartimiento de identificadores tales como nombre de usuario, credencial de
acceso, entre otros.
2.4 Riesgos
La Organización Internacional de Estandarización (ISO) define al riesgo dentro del mundo de
los negocios para la seguridad informática y de TI como: "El potencial de que una amenaza
determinada se aproveche de las vulnerabilidades de un activo o grupo de activos y ocasione
pérdida o daño a los activos. El impacto o severidad relativos del riesgo es proporcional al
valor de la pérdida/daño y a la frecuencia estimada de la amenaza para el negocio".
De acuerdo con lo anterior se define entonces al riesgo como la posibilidad de que cualquier
evento afecte el logro de los objetivos del negocio. Estos producen un Impacto sobre los
activos y los procesos de la organización.
Manual de Preparación al Examen CISA, pagina 299.
2.4.1 Análisis de riesgos
Respecto a la información publicada por la Universidad de Zaragoza, España en su página
de Internet donde se menciona que “el análisis de riegos ayuda a identificar las
23
vulnerabilidades de las organizaciones para ayudar a determinar los controles que se
necesitan para mitigar esos riesgos. Los análisis de riesgos, por tanto, tratan de estudiar,
evaluar, medir y prevenir los fallos y las averías de los sistemas técnicos y de los
procedimientos operativos que pueden iniciar y desencadenar sucesos no deseados
(accidentes) que afecten a las personas, los bienes y el medio ambiente”, se concluye que el
análisis de riesgos está enfocado en la evaluación y medición de cualquiera de los
procedimientos de la organización, ya sean tecnológicos y operativos los cuales pueden
ocasionar un impacto negativo de manera física, lógica o ambiental, que afecte el curso y los
objetivos de la misma.
El objetivo que persigue el análisis de riesgos es definido de igual manera por la Universidad
de Zaragoza, España, en el mismo sitio, y nos dice que: “Los métodos para la identificación,
análisis y evaluación de riesgos son una herramienta muy valiosa para abordar con decisión
su detección, causa y consecuencias, con la finalidad de mitigarlos o atenuarlos”. En
consecuencia, se resume que el objetivo se refiere a identificar y medir los riesgos para
determinar las consecuencias, aplicando determinados criterios de vulnerabilidad, con la
finalidad de analizar las causas de dichos accidentes.
2.5 Vulnerabilidades
Respecto a las diferentes definiciones que presentan algunos autores que vulnerabilidad se
refiere a los puntos débiles, que, al ser explotados por amenazas, afectan a un individuo u
organización, permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad,
control de acceso y consistencia de sus datos y aplicaciones.
Para realizar una implementación de la seguridad es necesario rastrear y eliminar los puntos
débiles de un ambiente de tecnología de la información. Al ser identificados los puntos
débiles, será posible dimensionar los riesgos a los cuales el ambiente está expuesto y definir
las medidas de seguridad apropiadas para su corrección.
24
http://www.unizar.es/guiar/1/Accident/An_riesgo/An_riesgo.htm
2.6 Impacto
El término impacto, de acuerdo con el diccionario de uso del español proviene de la voz
“impactus”, del latín tardío y significa, en su tercera acepción, “impresiones o efectos muy
intensos dejados en alguien o en algo por cualquier acción o suceso”
El impacto en relación con el tema de la información y con el uso de un sistema de
información, está determinado por aquellos resultados que se obtienen del uso y manejo de
la información en la práctica y los cambios que pueden producirse como efecto de ese uso.
2.7 Seguridad lógica
Según una fuente en internet que habla sobre seguridad informática, define a la seguridad
lógica como “La que se encarga de los controles de acceso que están diseñados para
salvaguardar la integridad de la información almacenada de una computadora, así como de
controlar el mal uso de la información. Identifica individualmente a cada usuario y sus
actividades en el sistema y restringe el acceso a datos, a los programas de uso general, de
uso específico, de las redes y terminales.”
Otro portal la define como “la aplicación de barreras y procedimientos que resguarden el
acceso a los datos y sólo se permita acceder a ellos a las personas autorizadas para hacerlo.
Existe un viejo dicho en la seguridad informática que dicta que „todo lo que no está permitido
debe estar prohibido‟ y esto es lo que debe asegurar la Seguridad Lógica”
Por lo tanto, se concluye que la seguridad lógica es la correcta aplicación de controles para
resguardar el acceso a la información de la empresa, con el objeto de minimizar el riesgo de
hacer un mal uso de ésta, asegurando su integridad y, conjuntamente, procurar que solo sea
manejada por el personal apropiado.
http://www.mitecnologico.com/Main/SeguridadLogicaYConfidencial
http://www.segu-info.com.ar/logica/seguridadlogica.htm
25
2.7.1 Controles de acceso lógico
El Manual de Preparación al Examen CISA, menciona que el concepto de control de acceso
se refiere a “administrar y controlar el acceso a los recursos de información de una
organización que reside en sistemas de computadora basados en anfitriones y en la red. Los
controles inadecuados de acceso lógico aumentan el potencial de una organización de
pérdidas resultantes de las exposiciones. Estas exposiciones pueden tener como
consecuencia pequeños inconvenientes hasta un cierre total de las funciones de
computación”
Entonces, los controles de acceso lógico son el medio para administrar y proteger la
información, para reducir riesgos a un nivel aceptable para una organización.
Algunos ejemplos de controles de acceso lógico son:
Identificación y Autenticación. - También en el Manual de Preparación al Examen CISA se
menciona que, “para la mayoría de los sistemas, la identificación y la autenticación es la
primera línea de defensa. Es una medida técnica que impide que personas no autorizadas
(o procesos no autorizados) entren a un sistema de computadora. Si los usuarios no son
identificados y autenticados debidamente, en particular en los actuales ambientes de red de
sistemas abiertos, las organizaciones están en mayor riesgo de acceso no autorizado”
Entonces, la Identificación y la autenticación en el control de acceso lógico es el proceso de
probar la identidad de alguien, donde la identificación es el medio por el cual un usuario
provee sus credenciales para ingresar al sistema y donde las credenciales son autenticadas
26
por el sistema para proveer el acceso al sistema del usuario. Asigna la responsabilidad de
un usuario.
Identificadores de Inicio de Sesión y contraseñas. - De acuerdo a la investigación, se define
que este proceso de autenticación de usuario es usado para restringir el acceso a la
computadora. El equipo al que se intenta acceder debe contar con una lista interna de ID
válidos para el inicio de sesión y un conjunto correspondiente de permisos para cada ID.
Dispositivos de Token. - La descripción de este control, según el Manual de Preparación al
Examen CISA. “Es una técnica de autenticación de dos factores, como por ejemplo tarjetas
inteligentes controladas por microprocesador, genera contraseñas de una sola vez que son
válidas sólo para un inicio de sesión. Los usuarios ingresan esta clave junto con una
contraseña que ellos hayan memorizado para obtener acceso al sistema. Esta técnica
involucra algo que uno tiene (un dispositivo sujeto a robo) y algo que uno sabe (un número
de identificación personal)”.
Según esta definición, esta técnica se caracteriza porque cuenta con dos parámetros, la
contraseña que uno sabe y la clave (válida solo para un inicio de sesión) que es
proporcionada por el dispositivo.
Manual de Preparación al Examen CISA, pagina 276.
Manual de Preparación al Examen CISA, pagina 278.
Encriptación/ Cifrado. - De acuerdo a los diferentes conceptos que existen, la encriptación es
el proceso de convertir un mensaje que se encuentra en texto claro a una forma de texto
codificado seguro al que se le denomina texto cifrado y que no puede ser entendido sin
descifrarlo (el proceso inverso) convirtiéndolo nuevamente a texto plano, por medio de una
función matemática y de una contraseña llamada llave.
La encriptación se usa en general para:
27
• Proteger los datos que viajan a través de las redes, de la interceptación y manipulación
no autorizada
• Proteger la información almacenada en las computadoras de la visualización y
manipulación no autorizadas.
• Disuadir y detectar las alteraciones accidentales o intencionales de datos
• Verificar la autenticidad de una transacción o documento.
Firmas Digitales. - El Manual de Preparación al Examen CISA menciona que “una firma digital
es una identificación electrónica de una persona o entidad creada usando un algoritmo de
llave pública y que está destinado a verificar a un destinatario, la integridad de los datos y la
identidad del remitente.
Para verificar la integridad de los datos, un algoritmo Hashing criptográfico es calculado
contra todo el mensaje, lo cual genera un mensaje corto compuesto por una cadena de
caracteres fija, por lo general de aproximadamente 128 bits de longitud.
Este proceso, al que también se hace referencia como un algoritmo de firma digital, crea un
resumen de mensaje (es decir, una versión extrapolada más pequeña del mensaje original)
Los tipos comunes de algoritmos de hash son MD5 y SHA-1.
Por lo tanto, según la definición anterior, la firma digital es un método criptográfico que
asegura:
• La integridad de los datos, ya que cualquier cambio al mensaje de texto plano tendría
como resultado que el Hash sea diferente. El proceso de crear el Hash de un archivo
28
no puede ser revertido.
• Autenticación, porque el destinatario puede asegurar que el mensaje ha sido enviado
por quien dice haberlo hecho ya que únicamente quien lo envió tiene la llave.
• Evidencia, puesto que, quien alega que envió un mensaje, después no tiene como
descalificar que lo hizo.
2.7.2 Exposiciones de Acceso Lógico
Malware o software de actividades ilegales, según varios conceptos vistos en Internet, se
define que el malware siempre busca explotar las vulnerabilidades existentes en los
sistemas, además, lo tienen como una categoría de código malicioso, que se diferencia de
las demás porque utiliza herramientas de comunicación conocidas por el usuario, por
ejemplo, para distribuir gusanos que se envían por correo electrónico y mensajes
instantáneos, caballos de Troya que provienen de ciertos sitios Web y archivos infectados de
virus que se descargan de conexiones P2P (como ejemplo de conexiones P2P se encuentran
ARES, KAZAA y demás programas para descarga de archivos).
Caballos de Troya/backdoors. - Estos implican ocultar código malicioso, fraudulento en un
programa autorizado o pseudo autorizado de computadora. Este código será ejecutado en
una forma oculta cada vez que se ejecute el programa autorizado.
Virus. - Consiste en la inserción de un código malicioso de programa en otro código
ejecutable que puede auto replicarse y diseminarse de una computadora a otra, al
compartirse los medios extraíbles de la computadora, transferir programas por líneas de
telecomunicación o por contacto directo con una máquina y/o código infectado. Un virus
puede mostrar de una manera inofensiva mensajes agradables en las terminales de
29
computadora, borrar peligrosamente o alterar los archivos de computadora o simplemente
llenar la memoria de la computadora con basura hasta el punto que la computadora ya no
puede funcionar.
Gusanos (Worms). - Son programas destructivos que puede dañar los datos o utilizar
recursos tremendos de computadora y de comunicaciones, pero no se replican como los
virus. Dichos programas no cambian otros programas, sino que pueden ejecutarse
independientemente y viajar de una máquina a otra a través de conexiones de red explotando
las vulnerabilidades y debilidades de las aplicaciones/sistemas. Los gusanos pueden también
tener porciones de ellos mismos ejecutándose en muchas máquinas diferentes.Según los
conceptos antes descritos, se tiene que los tres son programas con código malicioso dentro
de su contenido, pero los caballos de Troya se diferencian de los virus y gusanos por la
manera en cómo se comporta, ya que el código malicioso lo oculta en un programa autorizado
por el usuario y es así como entra al sistema y ejecuta su código.
Por otra parte, los virus se caracterizan porque su código tiene la capacidad de replicarse,
las acciones que ejecuta varían y van desde borrar archivos hasta correr infinidad de
procesos y así acabarse la memoria del sistema.
Por último, los gusanos, también saturan los recursos del sistema con procesos que ejecutan,
pero a diferencia de los virus, los gusanos no tienen la capacidad de replicarse.
Spam. - Después de leer varias definiciones en internet se concluye que el spam es el correo
electrónico no solicitado que es enviado en cantidades masivas a un número muy amplio de
usuarios con el fin de comercializar productos o servicios.
Se tienen los siguientes tipos de spam en función del contenido:
30
• El spam con fines comerciales. Es el pionero de todos los tipos. Trata de difundir la
posibilidad de adquirir algún producto o servicio a un precio inferior al de mercado. En
la tabla 2.1 se muestran los diversos tipos de contenido de spam.
Tipo de Contenido de Spam
Potenciador Sexual
70%
Stocks 3%
Réplica 10% Financieros 2%
Software 6% Pornografía 1%
Apuestas 4% Otros 4%
Tabla 2.1. Tipo de contenidos de spam
El bulo (en inglés hoax). Son mensajes de correo con contenido falso o engañoso. Este tipo
de mensajes es enviado de forma encadenada y se solicita al receptor que prosiga la cadena
de envíos. Su contenido son historias inverosímiles relativas a injusticias sociales o fórmulas
para conseguir éxito.
• El spam con fines fraudulentos. En muchos casos el spam puede ser la cabeza de
puente para cometer phishing, spam u otras modalidades fraudulentas a través de
mensajes electrónicos que son enviados de forma masiva a un gran número de
usuarios.
31
Phishing. - El phishing consiste en un proceso que como primer punto envía correos
electrónicos que, aparentando provenir de fuentes fiables, intentan obtener datos
confidenciales del usuario y en caso de ser exitoso, son utilizados para la realización de algún
tipo de fraude.
Por lo regular incluyen un link que, al ser pulsado, lleva a páginas web falsificadas. De esta
manera, el usuario, creyendo estar en un sitio de toda confianza, introduce la información
solicitada que, en realidad, va a parar a manos del estafador. En la figura 2.1 se muestra un
típico ejemplo de phishing:
Figura 2.1. Ejemplo de
phishing
2.8 Seguridad Física
En un portal de Internet lo definen como “todos aquellos mecanismos, generalmente de
prevención y detección, destinados a proteger físicamente cualquier recurso del sistema;
estos recursos son desde un simple teclado hasta una cinta de backup con toda la
información que hay en el sistema, pasando por la propia CPU de la máquina. Dependiendo
32
del entorno y los sistemas a proteger esta seguridad será más o menos importante y
restrictiva, aunque siempre deberemos tenerla en cuenta”
Entonces, la seguridad física son los mecanismos, dispositivos o elementos que tienen como
finalidad evitar accesos físicos no autorizados y así proteger los recursos de la organización.
2.8.1 Controles de acceso físico
Para evitar todo este tipo de problemas se pueden implementar mecanismos de prevención
(control de acceso a los recursos) y de detección (si un mecanismo de prevención falla o no
existe se debe al menos detectar los accesos no autorizados cuanto antes). Los controles de
acceso físico están diseñados para proteger la organización contra los accesos no
autorizados.
A continuación, se mencionan algunos de los problemas de seguridad física en los cuales en
un momento se puede enfrentar el usuario y las medidas a tomar en cuenta para evitarlos o
al menos minimizar su impacto.
Los siguientes son algunos de los controles de acceso más comunes:
• Cerraduras con Cerrojo - Estas cerraduras requieren la llave tradicional de metal para
lograr entrar.
• Cerraduras Electrónicas - Este sistema usa una llave o tarjeta magnética basada en
chips integrados que se pasa por un lector sensor para entrar.
• Cerraduras Biométricas - Las características físicas únicas de una persona, como por
ejemplo la voz, la retina, las huellas digitales o la firma, activan estas cerraduras.
33
• Cámaras de video - Las cámaras deben estar ubicadas en puntos estratégicos y
deben ser monitoreadas por guardias de seguridad. Las cámaras sofisticadas de video
pueden ser activadas por movimiento.
• Sistema de Alarma - Un sistema de alarma debe estar conectado a los puntos de
entrada inactivos, a los detectores de movimientos y al flujo inverso de ingreso para
las puertas que son exclusivamente de salida.
• Sistemas Biométricos - Los controles de acceso biométricos son el mejor medio de
autenticar la identidad de un usuario con base en un atributo o rasgo único mesurable
para verificar la identidad de un ser humano.
2.8.2 Exposiciones de Acceso Físico
De acuerdo al Manual de Preparación al Examen CISA las exposiciones de acceso físico:
“Se originan principalmente en peligros naturales y artificiales, pueden exponer el negocio a
accesos no autorizados y falta de disponibilidad de la información del mismo”
De manera general las exposiciones se presentan por la violación accidental o intencional de
estas rutas o vías de acceso.
2.9 Seguridad Ambiental
Según lo cita una fuente en internet, “Nos referimos a la seguridad ambiental como los
procedimientos existentes para evitar que efectos ambientales perjudiquen el procesamiento,
34
los equipamientos y el personal. Ante los mayores riesgos e incertidumbres naturales se
originó la seguridad ambiental que es capaz de promover políticas que mitigan a la vez
conflictos ambientales, sociales y humanos”
En un documento de Internet lo definen de la siguiente manera, “La seguridad ambiental se
entiende como el equilibrio entre las acciones que el hombre realiza sobre la naturaleza y el
uso de lo que ésta le provee y también el manejo del impacto que la propia naturaleza ejerce
sobre el hombre, vinculando el diagnóstico del presente con los objetivos en el futuro”
De acuerdo a los diferentes conceptos que se mencionan, la seguridad ambiental es un
conjunto de procedimientos, medidas o acciones que se toman para minimizar los efectos
ambientales sobre la organización.
2.9.1 Controles ambientales
Una buena opción para minimizar el impacto de los fenómenos naturales en la organización
es implementar o contar con mecanismos de prevención y de detección. Los controles
ambientales están diseñados para proteger a la organización contra las anomalías del medio
ambiente. Los siguientes son ejemplos que se obtuvieron del Manual de Preparación al
examen CISA sobre los controles ambientales más comunes que se tienen en las
organizaciones.
• Panel de Control de Alarmas
• Detectores de Agua
• Extintores Manuales de Incendios
35
• Alarmas Manuales de Incendios
• Detectores de Humo
• Sistemas de Supresión de Incendios
• Ubicación Estratégica de la Sala de Computadoras
• Suministro /Generador de Energía Eléctrica Ininterrumpida (UPS).
2.9.2 Exposiciones Ambientales
Las exposiciones ambientales son definidas por Mireya Delgado, autora del de Preparación
al Examen CISA como: “se deben principalmente a acontecimientos que ocurren
naturalmente, como, por ejemplo, tormentas eléctricas, terremotos, erupciones volcánicas,
huracanes, tornados y otros tipos de condiciones climatológicas extremas”. De cierta manera
son eventos que no es posible controlar, sin embargo, se puede estar preparado para
disminuir las consecuencias y el impacto de los mismos.
2.10 Delito informático
En la iniciativa sobre delitos informáticos del 22 de marzo de 2000 se definen como: “todas
aquellas conductas ilícitas susceptibles de ser sancionadas por el Derecho Penal, que hacen
referencia al uso indebido de cualquier medio informático"
En esta misma iniciativa se menciona que un delincuente informático “se refiere a cualquier
persona que utilice como medio o como fin el uso de una computadora para cometer un acto
doloso, que provoque cualquier tipo de daño a la información, base de datos, redes de
comunicación, entre otros”
36
2.11 Regulaciones
Las regulaciones se refieren a los diversos medios con los que cuenta una organización para
regir o normalizar al personal que labora en ella y los procesos que lleva acabo.
2.11.1 Políticas
Las políticas son “Documentos de alto nivel que representan la filosofía corporativa de una
organización y el pensamiento estratégico de la alta gerencia y de los dueños del proceso de
negocio. Las políticas deben ser claras y concisas para que sean efectivas. La administración
debe crear un ambiente positivo de control asumiendo la responsabilidad de formular,
desarrollar, documentar, promulgar y controlar las políticas que abarcan las metas y las
directrices generales”
Con base a diversos conceptos, se concluye que la política de seguridad refleja el propósito
y compromiso de la seguridad de la información en una organización. Se compone por las
reglas y procedimientos que regulan la forma en que una organización previene, protege y
maneja los diversos riesgos a los que se exponen.
2.11.2 Procedimientos
Después de analizar diferentes conceptos acerca del juego que tienen los procedimientos en
las organizaciones, se define que son documentos detallados que se derivan de la política
madre y deben implementar la intención del lineamiento de la política. Los procedimientos
deben ser escritos en una forma clara y concisa de modo que sean comprendidos fácil y
correctamente por todos los que se deben regir por ellos.
37
Los procedimientos son formulados por la gerencia media como una traducción efectiva de
las políticas y documentan procesos del negocio (administrativos y operacionales) y los
controles integrados en los mismos.
http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf
2.12 Organizaciones Privadas
De acuerdo a algunas definiciones encontradas en el diccionario Economía- Administración
– Finanzas30, las empresas privadas son sociedades comerciales o industriales en que todas
o la mayoría de las acciones u otras formas de participación en el capital para su constitución
y funcionamiento, pertenecen a particulares de los residentes únicamente del país y son
controladas por éstos, unidades productoras de bienes y/o servicios para la venta en el
mercado, independientes del estado, cuya finalidad es totalmente lucrativa.
2.12.1 Objetivo de las Organizaciones Privadas
En base a una fuente del Internet, su principal objetivo es “la obtención de utilidades
considerando los riesgos, al competir en el mercado al cual se dirige la producción”
2.12.2 Funciones de las Organizaciones Privadas
Es bien sabido que las principales funciones de las organizaciones privadas son:
38
Poner en marcha las actividades procesos, dependiendo del giro de la empresa, mismas que
les permitan obtener ganancias por la aportación de sus capitales.
Evaluar la competencia y realizar lo prioritario de acuerdo para obtener la mayor utilidad para
la empresa, en las unidades productoras de bienes y/o servicios para la venta en el mercado.
CAPÍTULO III. DISEÑO Y DESARROLLO
En este capítulo se estudia la situación actual de la organización Tata Consultancy Services,
iniciando con la estructura orgánica que la compone, políticas, normas, metodologías,
procedimientos y mecanismos de seguridad con los que cuenta, con la finalidad de identificar
las vulnerabilidades de la organización respecto a las amenazas en las que se ve inmersa,
para aportar diferentes recomendaciones con las que se forme un ambiente seguro dentro
de las diferentes áreas que la conforman, tomando en cuenta las sugerencias que ofrecen
las mejores prácticas.
3.1 Situación actual de la organización
A continuación, se expone la estructura con la que cuenta la organización Tata Consultancy
Services, giro comercial, objetivos y actividades que desempeña.
3.2 Estructura Orgánica
39
Como se observa en la figura 3.1 todas las áreas dependen directamente del Gerente
General ya que solo se han ido agregando al organigrama conforme se crean.
Imagen. 3.1. Organigrama Actual
3.3 Misión
Ayudar a los clientes a lograr sus objetivos comerciales al proporcionar servicios y soluciones
de consultoría, TI y servicios innovadores y de primera clase. Para que sea una alegría para
todos los interesados trabajar con nosotros.
3.4 Visión
La visión de TCS es desacoplar el crecimiento empresarial y la huella ecológica de sus
operaciones para abordar el resultado final del medio ambiente. El enfoque ecológico está
integrado en nuestros procesos internos y ofertas de servicios ... Desde edificios ecológicos
hasta TI ecológica y una cadena de suministro ecológica, nuestro lema es crecer de manera
sostenible y ayudar a nuestros clientes a lograr un crecimiento sostenible a través de nuestras
soluciones ecológicas y ofertas de servicios.
3.5 Objetivo
Satisfacer las necesidades de nuestros clientes del sector público y privado, desarrollando
soluciones integrales que faciliten la administración, organización y control de los recursos y
procesos de cada organización.
Ser una empresa 100% ágil para 2020 (70% de la empresa usa metodologías ágiles a Agosto
de 2019).
40
3.6 Antecedentes
Tata Consultancy Services es una empresa de servicios de TI, consultoría y organización en
soluciones de negocios. TCS ofrece una cartera integrada de consultoría en servicios TI,
BPS, infraestructura, ingeniería y servicios de control de calidad.
Algunas de las experiencias de nuestros consultores incluyen:
• Diseño, construcción e instalación del “Planeación de Recursos Gubernamentales”
(GRP) de utilización a nivel internacional.
• Diseño, construcción e instalación del “Planeación de Recursos Empresariales” (ERP)
de utilización a nivel internacional.
• Análisis, diseño, construcción e implantación de sistemas de información a la medida.
• Preparación y evaluación de proyectos de inversión.
• Procesos de privatización de entidades y empresas públicas.
• Administración y fortalecimiento institucional y reingeniería de procesos.
• Asesoría financiera, análisis del entorno económico y administración del riesgo.
• Asesoría en la organización y administración de servicios de información científica y
tecnológica.
Los sistemas desarrollados por Consultoría Tata Consultancy Services a su vez, han sido
diseñados específicamente para contemplar los requerimientos que exige la normatividad
establecida por la administración pública tanto en su operación como en cuanto a los
requerimientos programáticos, de control de metas físicas, de cumplimiento y demás
requisitos sin centrarse como los ERP‟s únicamente en el apoyo informático a la
administración, como su nombre lo indica, de los recursos financieros, materiales y humanos
desde una perspectiva de una empresa comercial.
41
3.7 Principales amenazas en la organización
Debido al hecho de que Tata Consultancy Services es una organización grande, con
alcances específicos, existen muchas razones por las que se puede poner en riesgo la
información con la que trabaja del a día a día. Por tal motivo, justifican la inexistencia de
diversos controles de seguridad recomendables para las organizaciones de carácter
informático.
Sin embargo, aunque hasta el momento no se ha presentado ningún ataque que se considere
crítico no significa que esté exenta de cualquier tipo de delito.
A continuación, se presentan los distintos factores a los que se encuentra expuesta la
organización Tata Consultancy Services tanto lógica, física como ambientalmente.
3.8 Exposiciones Físicas
Las instalaciones de Tata Consultancy Services están ubicadas al interior de un parque
tecnológico en Guadalajara, Jalisco., comparte su espacio con otro número considerable de
empresas, lo que significa que su acceso general está marcado por las políticas del edificio.
El primer control de acceso que existe se encuentra a la entrada del edificio que está
organizado de la siguiente manera: un registro manual manejado por el personal de vigilancia
para externos, considerando a dos elementos por turno; el siguiente control radica en una
credencial que contiene los datos de la empresa a que pertenecen, de igual forma el personal
de vigilancia se encarga de verificar que se muestre esta credencial cuando se va a acceder
42
al interior del edificio. Además, se hace un chequeo con detectores de metal y un chequeo
de mochilas justo antes de entrar a la puerta.
Los problemas detectados consisten en la ausencia de alguna firma de autorización por parte
del personal de vigilancia para la entrada y salida de equipo, así como del respectivo registro
para su control. De igual forma al interior de las oficinas de Tata Consultancy Services no
hay un control ordenado para el inventario de los activos. Por otro lado, hay acceso de
personal no especializado al improvisado site, que por omisión o intención podría interrumpir
o alterar el procesamiento de la información operativa de la compañía.
3.9 Exposiciones Lógicas
Analizando el esquema de seguridad informática con que cuenta Tata Consultancy Services
se tiene que la principal problemática, lógicamente hablando, a la que se enfrenta la
organización es la existencia de virus en los equipos de cómputo, contagiados principalmente
por el uso de medios extraíbles infectados, otra exposición lógica bastante común es el spam,
que, aunque no ha afectado para el desempeño de las labores, es un riesgo siempre
constante al que se exponen los empleados.
Por otra parte, la amenaza más importante que existe, a nuestra consideración, es que no
se cuenta con perfiles de seguridad para los usuarios con base en sus roles y
responsabilidades, para que, de esta manera, se limite el acceso al usuario únicamente a lo
que requiere para desarrollar su trabajo, ya que, al tener acceso a todos los recursos
disponibles, pueden presentarse diversas problemáticas, que van desde abuso de privilegios
de Internet, accesos no autorizados, hasta algo más grave como puede ser, robo de
información, sabotaje o fraude. Y que, como se mostró en capítulos anteriores, estos
problemas pueden traer consigo pérdidas económicas importantes para la organización.
43
Es de suma importancia que todos los usuarios sean conscientes de los peligros existentes,
pues prevenir ataques a nuestros equipos de cómputo y en especial nuestra información, es
responsabilidad de todos los empleados de la organización.
3.10 Exposiciones Ambientales
Correspondiente a las exposiciones de carácter ambiental que ponen en riesgo la integridad
de la información de Tata Consultancy Services se encontraron las siguientes observaciones:
En principio el espacio, infraestructura y comunicaciones es compartido, lo que significa que
independientemente de la seguridad que maneje, la consultora está totalmente expuesta a
los posibles incidentes que puedan surgir por descuido de alguna de las otras
organizaciones.
Por su parte al interior de las oficinas y debido a que el site es un pequeño espacio para los
servidores que distribuyen los servicios y en los que residen las bases de datos, se encuentra
rodeado de materiales inadecuados y temperaturas no muy bien reguladas.
El problema detectado consiste en que la temperatura no regulada y monitoreada pudiera
ocasionar graves daños al equipo de cómputo, en caso de una contingencia provocada por
44
un incendio, las herramientas para combatirlo podrían no funcionar ocasionaron pérdidas
considerables en el equipo de cómputo. La presencia de material inadecuado dentro del
Centro de Procesamiento de Datos puede representar un riesgo para los equipos de cómputo
ya que podrían ser un factor para la creación y expansión de incendios también. Y la
ubicación de la consultora en el piso tres la deja vulnerable a los daños provocados por un
evento sísmico.
3.11 Recomendaciones administrativas a la organización
En los siguientes puntos de las recomendaciones a la organización se detalla la propuesta
específica que contempla cuales serían las actualizaciones más adecuadas para lograr este
objetivo, comenzando por proponer los cambios pertinentes en la estructura orgánica, las
funciones del área y del personal que la conforme, las normas y leyes que debe conocer y
tomar en cuenta para el desarrollo de sus actividades, así como las políticas y procedimientos
con las que debe contar para lograr la continuidad adecuada del negocio y las herramientas
tecnológicas que le permitan salvaguardar de forma eficiente y eficaz los activos de la
organización.
3.12 Propuesta del Área de Seguridad Informática
Es bien sabido que actualmente existe la necesidad de crear un ámbito de seguridad en
cualquier organización, debido al aumento de casos de fraudes tanto contables como
informáticos, como ya se mencionó anteriormente el activo más valioso de cualquier
organización actualmente es precisamente la información.
45
Se propone la modificación del área de Seguridad en Informática dentro de la organización
Tata Consultancy Services, que proporcione seguridad y control en el ámbito administrativo
y tecnológico, que se encargue de promover y elevar una cultura de seguridad.
El área de Seguridad Informática deberá estar encargada de constatar que se sigan
procedimientos que aseguren la confidencialidad, confiabilidad y disponibilidad de los datos,
garanticen la seguridad de la información y prevean las posibles contingencias en cuanto a
la seguridad de la información que se maneja en esta organización, asimismo que regule la
gestión de la infraestructura y que en general se dedique a guiar el desarrollo y correcto
funcionamiento de la organización mediante las auditorías correspondientes.
Adicionalmente, esta área deberá contar con las actualizaciones sobre las regulaciones de
la seguridad informática y mejores prácticas para aplicarlas en la organización, así como de
las nuevas herramientas tecnológicas, apoyados en profesionales capacitados para
mantener sistemas informáticos seguros, confiables y confidenciales, que eviten y prevengan
la ocurrencia de situaciones de riesgo derivadas de las actuales debilidades en los sistemas
de control.
El área de Seguridad Informática deberá realizar las actividades correspondientes a la
verificación de los controles de seguridad física, lógica y ambiental establecidos y realizar el
análisis de los riesgos a que está expuesta la información.
A continuación, se listan las funciones principales que esta área, deberá llevar a cabo.
• Identificar objetivos de seguridad.
• Definir metodologías y procesos relacionados a la seguridad de la información.
46
• Realizar evaluaciones periódicas de las vulnerabilidades se los sistemas que
conforman la organización.
• Proteger los sistemas informáticos de la organización ante posibles amenazas.
• Establecer y documentar las responsabilidades del personal de la organización en
cuanto a seguridad informática.
• Desarrollo y mantenimientos de las políticas y estándares de seguridad de la
información.
• Comunicar aspectos de seguridad de la información a los empleados, esto incluye un
programa de concientización para comunicar las políticas y procedimientos
establecidos.
• Monitorear el cumplimiento de la política se seguridad.
• Mantenimiento de los usuarios, contraseñas y accesos a los sistemas por parte de los
usuarios de la organización.
• Elaborar y mantener un registro con la relación de los accesos de los usuarios a las
instalaciones y sobre los sistemas.
• Desarrollo e implementación de un Plan de Seguridad.
• Asegurarse que los aspectos relacionados con la seguridad son considerados cuando
se seleccionen los contratistas, esto es, controlar la seguridad en el intercambio de
47
información con entidades externas.
• Monitoreo del día a día de la implementación y uso de los mecanismos de seguridad
de la información.
• Coordinar investigaciones de incidentes de seguridad informática.
• Participar en los proyectos informáticos de la organización agregando todas las
consideraciones de seguridad informática.
3.13 Estructura orgánica de la organización con el área de Seguridad Informática
La reestructuración de la organización Tata Consultancy Services no estará completa si no
contempla una modificación a su estructura orgánica que incluya un área que se dedique a
realizar las funciones propias de la seguridad en informática, como se puede apreciar en la
imagen.
Imagen 3.2. Propuesta de estructura orgánica para la organización Tata Consultancy
Services
48
Se conforma en un esquema parcialmente distribuido, donde el área de Seguridad
Informática dependa directamente de la Dirección General, mientras que el área de
Desarrollo Seguro dependa del área de Sistemas.
Una de las razones principales de que el área de Desarrollo Seguro dependa del área de
Sistemas es para que se tenga una relación más estrecha, para que desde el inicio de los
proyectos se contemple la integración de controles de seguridad efectivos.
En el área de Seguridad Informática se encuentra el Oficial de Seguridad Informática, que es
quien define, de forma general, la forma de resolver y prevenir problemas de seguridad con
el mejor costo-beneficio para la organización.
El oficial de seguridad informática tiene la función primordial de brindar los servicios de
seguridad en la organización, a través de la planeación, coordinación y administración de los
procesos de seguridad informática, así como difundir la cultura de seguridad informática entre
todos los miembros de la organización.
El oficial debe cumplir con las siguientes funciones:
• Definir la misión de seguridad informática de la organización en conjunto con las
autoridades de la misma.
• Aplicar una metodología de análisis de riesgo para evaluar la seguridad informática en
la organización.
• Definir la Política de seguridad informática de la organización.
• Definir los procedimientos para aplicar la Política de seguridad informática.
• Seleccionar los mecanismos y herramientas adecuados que permitan aplicar las
políticas dentro de la misión establecida.
49
• Crear un grupo de respuesta a incidentes de seguridad, para atender los problemas
relacionados a la seguridad informática dentro de la organización.
• Promover la aplicación de auditorías enfocadas a la seguridad, para evaluar las
prácticas de seguridad informática dentro de la organización.
• Crear y vigilar los lineamientos necesarios que coadyuven a tener los servicios de
seguridad en la organización.
• Crear un grupo de seguridad informática en la organización.
• Administración del presupuesto de seguridad informática.
• Administración de proyectos.
En este caso, esta área va a llevar a cabo las funciones correspondientes a normatividad,
operaciones y supervisión, como son:
Normatividad. - Encargada de la documentación de políticas, procedimientos y estándares
de seguridad, así como del cumplimiento de las normas y leyes que apliquen a la
organización. Dentro de sus funciones se encuentran:
• Desarrollo de las diversas políticas de seguridad.
• Definición de los procedimientos necesarios para el desarrollo de las actividades de la
organización.
• Promoción de las políticas y procedimientos establecidos.
• Verificar que se cumplan las normas y regulaciones que aplican a la organización,
para evitar consecuencias.
Operaciones. - Se encarga de llevar a cabo las acciones congruentes con la estrategia
definida por el Oficial de Seguridad para lograr los objetivos del área, realiza pruebas de
productos de seguridad informática y del mantenimiento de la seguridad informática activa
en todos los sectores, es responsable de:
50
• Implementación, configuración y operación de los controles de seguridad informática
(Firewalls, IPS/IDS, antimalware, etc.)
• Monitoreo de indicadores de controles de seguridad.
• Primer nivel de respuesta ante incidentes (típicamente a través de acciones en los
controles de seguridad que operan).
• Soporte a usuarios.
• Alta, baja y modificación de accesos a sistemas y aplicaciones.
• Gestión de parches de seguridad informática (pruebas e instalación).
Supervisión. - Responsable de verificar el correcto funcionamiento de las medidas de
seguridad, se dedica a revisar la seguridad informática de la red de la organización y de los
sistemas que se están utilizando. Entre sus responsabilidades se tienen:
• Evaluaciones de efectividad de controles.
• Evaluaciones de cumplimiento con normas de seguridad.
• Investigación de incidentes de seguridad y cómputo forense (2° nivel de respuesta
ante incidentes).
• Atención de auditores y consultores de seguridad.
El área de Desarrollo Seguro es responsable del diseño, desarrollo y adecuación de controles
de seguridad informática (típicamente controles de software) desde el inicio de los proyectos.
La razón de requerir un área dedicada para esto es que el perfil de un programador promedio
no incluye experiencia ni conocimientos en seguridad, por lo que se requiere personal
capacitado para que desde el principio los proyectos cuenten con un entorno seguro y se
implementen de forma segura.
51
Dentro de las funciones que debe cumplir, se tienen:
• Diseño y programación de controles de seguridad (control de acceso, funciones
criptográficas, filtros, bitácoras de seguridad de aplicativos, etc.)
• Preparación de librerías con funciones de seguridad para su uso por parte del área de
desarrollo de sistemas.
• Consultoría de desarrollos seguros (integración de seguridad en aplicaciones
desarrolladas por sistemas).
Una vez establecidas dichas áreas, se recomienda la contratación de 2 personas para
realizar las actividades correspondientes a cada una.
3.14 Políticas de Seguridad Informática
En la norma ISO 27001 se recomienda como primer paso de la puesta en marcha o
mantenimiento del SGSI, el desarrollo y establecimiento de una Política de Seguridad que
enliste la líneas a seguir para cubrir los aspectos más importantes que hay que desarrollar
en el Sistema de Gestión, que planta una metodología eficiente, partiendo desde el plano
más alto de la organización hasta llegar al nivel de detalle, para comparar nuevamente las
decisiones tomadas y reingresar las conclusiones al sistema evaluando los resultados y
modificando las deficiencias.
De acuerdo a las necesidades de la organización se proponen los siguientes lineamientos a
implementar para con ello brindar una mejor protección y manejo de los recursos.
3.15 Clasificación, almacenamiento y administración de la Información
Los encargados de cada área, son responsables de la información que manejan y deberán
seguir los siguientes lineamientos para protegerla y evitar pérdidas, accesos no autorizados
y utilización indebida de la misma.
52
Cuando se consolida la información con varias clasificaciones de sensibilidad, los controles
dados deben proteger la información más sensible y se debe clasificar con el máximo nivel
de restricción que contenga la misma.
La información que se clasifica dentro de las categorías de sensibilidad debe identificarse
con la marca correspondiente y se debe indicar la fecha en que deja de ser sensible, esto
aplica para la información que se reclasifica tanto en un nivel inferior como en un nivel
superior de sensibilidad.
La eliminación de la información debe seguir procedimientos seguros y debidamente
aprobados por el responsable de la seguridad informática y de datos en la organización.
3.16 Almacenamiento y Respaldo de Información
Toda información secreta debe estar encriptada, ya sea que se encuentre al interior de la
organización o externamente, en cualquier medio de almacenamiento, transporte o
transmisión.
Toda información sensible debe tener un proceso periódico de respaldo, ya sea mensual,
semanal, pero debe ser respaldada periódicamente; tener asignado un periodo de retención
determinado, la fecha de la última modificación y la fecha en que deja de ser sensible o se
degrada; sin embargo, la información no se debe guardar indefinidamente por lo cual se debe
determinar un periodo máximo de retención para el caso en que no se haya especificado este
tiempo.
La información clasificada como sensible (secreta, confidencial o privada) debe tener un
respaldo, además debe tener copias recientes completas en sitio externo a la entidad o en
un lugar lejano de donde reside la información origen; en caso que no se tengan copias de
53
la información crítica no se deben llevar a cabo un proceso de restauración puesto que se
corre el riesgo de perder la única copia que se tenga.
3.17 Administración de la Información
Todos los derechos de propiedad intelectual de los productos desarrollados o modificados
por los empleados de la institución, durante el tiempo que dure su relación laboral, son de
propiedad exclusiva de la organización.
Los datos y programas de la entidad deben ser modificados únicamente por personal
autorizado de acuerdo con los procedimientos establecidos, al igual que el acceso a bodegas
de información debe restringirse únicamente a personal autorizado.
Cuando la información sensible no se está utilizando se debe guardar en los sitios destinados
para esto, los cuales deben contar con las debidas medidas de seguridad que garanticen su
confidencialidad e integridad.
Toda divulgación de información secreta, confidencial o privada a terceras personas debe
estar acompañada por un contrato que describa explícitamente qué información es
restringida y cómo puede o no ser usada.
Toda la información de la organización debe contemplar las características de Integridad,
Confidencialidad, Disponibilidad, Auditabilidad, Efectividad, Eficiencia, Cumplimiento y
Confiabilidad.
3.18 Validaciones, controles y manejo de errores
54
Para reducir la probabilidad de ingreso erróneo de datos de alta sensibilidad, todos los
procedimientos de ingreso de información deben contener controles de validación.
Se deben tener procedimientos de control y validaciones para las transacciones rechazadas
o pendientes de procesar, además de tiempos determinados para dar la solución y tomar las
medidas correctivas.
Todas las transacciones que ingresen a un sistema de producción computarizado, deben ser
sujetos a un chequeo razonable, chequeos de edición y/o validaciones de control.
3.19 Planes de emergencia, contingencia y recuperación
La Administración debe establecer, mantener y probar periódicamente el sistema de
comunicación que permita a los usuarios de la plataforma tecnológica notificar posibles
intromisiones a los sistemas de seguridad, estos incluyen posibles infecciones por virus,
intromisión de hackers, divulgación de información no autorizada y debilidades del sistema
de seguridad.
El mantenimiento del plan de Contingencias y Recuperación general debe incluir entre otros
un proceso estándar que integre los planes de contingencia para computadoras y
comunicaciones, así como también el inventario de hardware, software existente y los
procesos que correrán manualmente por un periodo de tiempo.
Métodos Sugeridos para Aumentar el Nivel de Conciencia en la Organización
Emita periódicamente declaraciones escritas sobre políticas, procedimientos y normas
técnicas.
Discuta ideas acerca de las políticas y otro material en las reuniones de orientación de nuevos
empleados.
55
Comience a disciplinar personal por infracciones de las políticas de seguridad e informe a los
demás sobre las razones de las medidas disciplinarias.
Redacte declaraciones ampliadas de misión para varios departamentos de manera que la
seguridad informática sea explícitamente reconocida como parte de sus estatutos.
Publique un manual de seguridad informática que contenga políticas, contactos y una lista
de productos aprobados internamente.
Se puede tomar como referencia la Norma ISO 27001 en el apartado Política de seguridad,
este estándar es muy útil y puede resultar de gran apoyo durante el desarrollo de las políticas
de esta empresa.
Así mismo consultar el apartado ISO Seguridad de los recursos humanos resulta prescindidle
en la realización de la planeación de la capacitación que es un tema de mucho valor para
cualquier empresa.
Por otra parte, en el principio Adquisición de sistemas de información, desarrollo y
mantenimiento se podrían obtener un amplio margen para el desarrollo de los procedimientos
de la empresa.
3.20 Normas de Seguridad Informática
A continuación, se dan a conocer algunas normas que se recomiendan establecer dentro de
las organizaciones con el propósito de proteger y garantizar el buen funcionamiento de la
infraestructura computacional y dar seguridad a la información almacenada en los equipos
de cómputo.
3.21 Normas para el Uso y Operación de los Recursos Informáticos
Los recursos informáticos deben ser utilizados en el desarrollo de funciones y actividades
laborales vinculadas al cumplimiento de empresa.
56
Queda prohibida la instalación de software en los equipos de cómputo de la empresa que no
haya sido debidamente licenciado y/o autorizado por personal para su uso.
Toda información y/o software obtenido de Internet deberá alojarse de manera local en la
computadora y bajo responsabilidad absoluta del usuario.
La creación, administración y mantenimiento de las cuentas de Correo Electrónico serán
responsabilidad del Administrador de Servidores y Bases de Datos.
Queda prohibido el envío de correos masivos con contenido ajeno a las labores del usuario.
3.22 Normas para la Instalación, Configuración y Administración de los Recursos
Informáticos
Su principal objetivo es regular el uso tanto de las instalaciones y administración de los
recursos informáticos, con el fin de optimizar el uso de dichos recursos y servicios y asegurar
una mayor calidad en el desarrollo de las funciones.
Actuar oportunamente para prevenir, detectar y responder a cualquier violación a la
seguridad de la información y a los equipos e instalaciones de la empresa.
Analizar y aprobar todo el software adquirido que tenga como uso primario la seguridad
informática
Mantener actualizado el patrón de claves asignadas al personal de las áreas usadas.
Realizar las labores de configuración necesarias para garantizar la continua disponibilidad
de la información almacenada en las Bases de Datos.
3.23 Normas de Seguridad para Servidores
57
Los sistemas y aplicaciones desarrolladas en la empresa deberán contar con dos ambientes
separados: el ambiente de desarrollo y el ambiente de producción.
El ambiente de desarrollo contendrá datos de prueba y tiene como finalidad que el personal
de Desarrollo y Mantenimiento de Sistemas realizar pruebas,
Así mismo, la organización Tata Consultancy Services puede tomar en cuenta la norma ISO
27001, para plantearse un apropiado modelo de gestión de seguridad de la información.
3.24 Recomendaciones Técnicas a la organización
Derivado de las necesidades y exposiciones físicas, lógicas y ambientales a las que se
encuentra expuesta la organización Tata Consultancy Services.
Una vez que se ha estudiado el caso de la consultora en términos de exposiciones
corresponde brindar las recomendaciones pertinentes que ayuden a evitar cualquier intento
de intrusión a la información o a los equipos de cómputo que posee Tata Consultancy
Services.
3.24.1 Físicas
A pesar de la ausencia de incidentes se recomienda considerar los siguientes aspectos, para
lo cual se está sustentando lo que en este momento están usando las organizaciones para
incrementar su seguridad:
Conviene adoptar un control de acceso a la entrada de las oficinas de Tata Consultancy
Services ya sea implementando una bitácora de registro manejada por personal de vigilancia
58
o una cerradura eléctrica con privilegios específicos que sea complementado con
credenciales de banda magnética.
Por otro lado, proponer un control de entrada y salida de mobiliario tanto de las oficinas como
del edificio, esto se puede lograr aplicando un proceso de inventarios para los activos con
que cuenta la organización.
Estas sugerencias también se encuentran presentes, en el apartado Seguridad física y del
entorno de la norma ISO 27001, donde se propone implementar seguridad física y perimetral,
control físico de entradas y protección contra amenazas externas y del entorno. Así como la
correcta ubicación y protección de los equipos que la integran.
También conviene tomar referencia de Control de Accesos examinados en la misma norma,
donde se menciona el acceso a los recursos a través de una correcta autenticación donde
quede delimitado sus respectivos permisos.
Por su parte Administración de Recursos menciona que es preciso documentar el uso
adecuado de los recursos y la información efectuando inventarios precisos.
3.24.2 Lógicas
Las necesidades tecnológicas para esta organización, donde no se requiere de un alto nivel
de protección a la información o los datos que se manejan, pueden satisfacerse
implementando controles mínimos de seguridad, donde su objetivo primordial sea el de
proteger a la organización de las amenazas a las que se encuentra expuesto, proporcionando
soluciones elementales.
De acuerdo a las exposiciones lógicas que pueden afectar a la organización de soluciones
integrales Tata Consultancy Services analizadas anteriormente, se tiene que la problemática
existente es la presencia de virus informáticos y en cuanto a riesgos latentes que pueden
59
causar alto impacto económico, se encuentran el robo de información, fraude y sabotaje
electrónico.
Dado estos problemas y riesgos existentes, es que los recursos informáticos de la
organización deben estar protegidos bajo un apropiado esquema de seguridad que reduzca
los niveles de vulnerabilidad y riesgos existentes.
Para el inconveniente de los virus en los equipos de cómputo, el uso de antivirus,
debidamente actualizado y ejecutado continuamente, es un control que, aunque es muy
básico, sirve para mantenerlos libres de código maligno que afecte su rendimiento.
Como se ha comentado anteriormente, la integridad de los datos es vital en la organización
para brindar la certeza de que la información sobre la que sustentan sus decisiones es
confiable, segura, fidedigna y está disponible cuando se la necesita.
Para estas necesidades y con base en la información recolectada, se recomienda a la
organización Tata Consultancy Services implementar los siguientes controles lógicos, con la
finalidad de buscar el correcto aseguramiento de su información.
• Instalar antivirus en cada uno de los equipos que se encuentran conectados a la red.
• Activar el firewall personal en cada equipo de cómputo.
• Cifrar información clasificada.
• Establecer métodos, por ejemplo, el del Hash, para tener la certeza de que la
información crítica que se maneja no ha sido alterada.
• Establecer políticas de password planteadas por la organización de manera que no
cualquier persona tiene acceso al sistema.
• Crear y mantener perfiles de seguridad para todos los usuarios con base en sus roles
y responsabilidades. Para, de esta manera, limitar el acceso del usuario únicamente
a los recursos que requiere para desarrollar sus labores.
• Generar respaldos de configuración periódicamente.
• Limitar los lugares desde donde el usuario puede conectarse a la red interna.
• Implementar un Firewall como parte de la solución de seguridad, este debe ser el único
punto de acceso entre la red interna y redes externas.
60
• Implementar un Proxy permitiendo la definición de diferentes filtros que inhabilitan el
acceso a categorías Web no relacionadas con la actividad profesional de la empresa,
además de controlar el consumo de ancho de banda por usuario y así contribuir a una
mejora en cuanto al desempeño laboral.
Cumpliendo con las recomendaciones anteriores, dada la situación actual de la organización
y las amenazas que ponen en riesgo su información, se puede decir que se está preparado
para mantener la seguridad de la información de la organización Tata Consultancy Services
Por otra parte, con estas modificaciones se promueve un cambio en cuanto a la
administración y manejo de datos, basado en recomendaciones de gente del medio,
implementando los controles lógicos más utilizados en este tipo de organizaciones y si bien,
los últimos dos consejos implican una inversión económica importante, sería conveniente
pensar en implementarlos en un futuro, ya que trae consigo varias ventajas, ya comentadas.
Las recomendaciones previamente sugeridas, también están contempladas en la norma ISO
27001, apartado Control de accesos, al igual que en la seguridad física, sin embargo aquí la
recomendación menciona que es imperativo que el usuario autenticado, únicamente pueda
acceder a los recursos sobre los cuales tiene derecho y a ningún otro, también se sugiere
tener un control de acceso a la red, al sistema operativo y a la información en general, todo
esto mediante la implementación de controles lógicos. Otros controles también son
contemplados en el apartado Adquisición de sistemas de información, desarrollo y
mantenimiento donde recomiendan la protección contra el código malicioso, gestión de
respaldos y gestión de redes.
3.24.3 Ambientales
Para garantizar la disponibilidad de los sistemas informáticos, debe haber una conjunción
entre los controles de seguridad utilizados para protegerlo y los canales de comunicación
61
seguros que se utilizan para acceder a la información, ambos deben estar funcionando
correctamente.
Cabe destacar que, dada la localización que tiene esta organización, pisos intermedios de
un edificio en la zona sur de la ciudad de México, en cuanto a la ubicación estratégica
recomendada, según estudios realizados y comentados anteriormente, se encuentra ubicada
en una zona con bajo riesgo de inundaciones. Aunque es poco probable que se presenten
estos problemas, es recomendable contar con detectores de agua para que no impacte a la
organización.
Por último, para combatir los incendios, que es la amenaza de carácter ambiental más
importante a la que se encuentra expuesta la organización, se recomienda contar, con un
sistema de supresión de incendios o en su defecto con extintores manuales. Acompañados
de controles preventivos, como lo son las alarmas manuales de incendios y los detectores
de humo.
El apartado Seguridad física y del entorno para ISO 27001 considera para la seguridad
ambiental la documentación e implementación de una estructura de seguridad que contemple
las medidas de protección y acciones necesarias para combatir incendios, caídas de tensión,
inundaciones, aplicando controles como: alarmas contra incendios, control de climatización
(refrigeración y ventilación), sistemas de vigilancia, limpieza, etc.
3.25 Recomendaciones en Legislación Informática
Para que la empresa cuente con mayor seguridad se recomienda definir un plan de seguridad
informática, el cual deberá regirse por políticas que garanticen la salvaguarda de los recursos
de la organización, la confidencialidad de la información y la continuidad de las operaciones
como lo establece el artículo 2 de la Ley de Protección de Datos Personales, por otro lado
en el artículo 4to de la misma ley recomienda implementar una estructura organizacional de
seguridad que diseñe, organice, implemente y de seguimiento al plan de seguridad
62
institucional con la delimitación de responsabilidades claramente identificadas en la
estructura definida y avalada por la alta dirección.
Esta misma ley en su artículo 12 hace referencia a la seguridad física, el cual establece que
deberá incluir tanto los procedimientos y estándares que permitan combatir amenazas
latentes como fuego, agua, temperaturas inusuales, terremotos y otros, como también
controlar el acceso físico a edificio e instalaciones.
Así mismo uno de los puntos importantes a considerar es lo que rige la Ley Federal del
Derecho de Autor en cuanto a la reproducción no autorizada de programas informáticos ya
que en su artículo 13 establece que las bases de datos, al igual que las obras literarias
quedan protegidas por las disposiciones de la Ley en el sentido de que los autores tienen
los derechos patrimoniales y morales sobre sus obras; así como la facultad de transmitir esos
derechos, de igual forma esta misma ley hace énfasis en cuanto a la protección de la
información privada de las personas ya dentro de los artículos 107 al 110 establece que de
ninguna manera será divulgada , transmitida ni reproducida salvo con el consentimiento de
la persona.
Por otro lado, en cuanto a la probabilidad de que ocurra un desastre natural la Ley General
de Protección Civil en su artículo 30 fracción I recomienda realizar acciones de emergencia
para dar atención a las necesidades prioritarias de la población, particularmente en materia
de protección a la vida humana con la única finalidad de contar con una mayor seguridad y
respaldo tanto al personal que labora como los activos de la organización.
Por lo que se ha visto anteriormente, se encontró que el personal de la organización en
ningún momento se encuentra sujetos ni siquiera a normas morales, por lo que se requiere
de un ambiente claro que especifique las disposiciones y sanciones, es decir, normas
jurídicas.
63
De esta forma se recomienda resolver los siguientes aspectos legales:
• Promover una cultura jurídica en materia de TI que en consecuencia
impacte en un robustecimiento de las normas jurídicas existentes al día de
hoy, y
• Fortalecer la normatividad interna de la organización, siempre con apego a
derecho.
3.26 Fortalecer la normatividad interna de la organización, siempre con apego a
derecho.
Por último, cabe mencionar que la norma ISO 27001 en su apartado Marco legal y Buenas
prácticas sugiere implementar e identificar la legislación aplicable a la organización, así como
también hace hincapié en el control del cumplimiento de las mismas con la única finalidad de
evitar graves problemas, por ello propone asegurar que todos aspectos legales se cumplan
y así mismo verificar periódicamente que las regulaciones estén vigentes, sean aplicables y
estén de acuerdo con toda la organización.
64
CONCLUSIONES
Después de haber realizado el estudio sobre la situación actual respecto a la seguridad
informática en las organizaciones donde se conocen sus vulnerabilidades y los métodos que
las mitigan para determinar la importancia de contar con una estructura segura y eficiente, y
tras haber realizado la investigación pertinente de los métodos tecnológicos y
organizacionales que existen y que se están utilizando se concluye que:
Es imprescindible adoptar un esquema de seguridad informática eficiente que apoye a la
mejora de las actividades tecnológicas y organizacionales del día a día y que se adapte a las
necesidades de cada organización para protegerla de ataques propiciados por agentes
externos.
El resultado del trabajo se remonta en aplicar, desde el punto de vista del equipo que participó
en su desarrollo, una estructura orgánica básica y una serie de mecanismos tecnológicos
que puedan implementarse en un área de seguridad cuya finalidad sea mitigar las
vulnerabilidades que ocasionan los delitos informáticos para disminuir el impacto que genera
en el negocio.
65
Se concluye también que el objetivo de la tesina se logró ya que las cifras arrojados durante
la investigación determinan por si mismos la importancia de la seguridad informática debido
a que el impacto que han venido teniendo las organizaciones las obliga a tomar medidas al
respecto, por lo cual se menciona en su capítulo V la propuesta general para ser
implementada en el área de seguridad informática de cada una de ellas cubriendo sus
necesidades básicas.
A pesar del esfuerzo realizado para implementar el caso práctico en una organización de
mayor tamaño y al no conseguirlo, se considera que existe la posibilidad de aplicar los puntos
esenciales de éste trabajo en alguna organización madura que brinde la posibilidad de tener
acceso a su esquema de seguridad del cual se desprenda una propuesta más elaborada que
eficiente sus métodos de seguridad, ya que en la actualidad es muy difícil que brinden
información de su situación actual, quieren mantener confidencialidad tanto de sus
vulnerabilidades como de los métodos que utilizan para mitigarlo.
Finalmente los esquemas ineficientes de seguridad con los que cuentan la mayoría de las
compañías a nivel nacional e internacional, da como resultado la violación de los sistemas,
provocando la pérdida o modificación de los datos sensibles de la organización, traducido en
pérdidas financieras, resultado de la falta de conocimiento relacionado con la planeación de
un esquema de seguridad eficiente que proteja los recursos informáticos y mitigue el
resultado de las amenazas constantes a las que está expuesta la organización.
66
BIBLIOGRAFÍA
Manual de Preparación al Examen CISA Edit. QAE-5S, Information Systems Audit and Control
Association, Panamá, 2005.
http://www.elpais.com/articulo/empresas/recursos/dirigidos/seguridad/informatica/elpepuec
oneg/20070506elpnegemp_4/Tes
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://es.wikipedia.org/wiki/Seguridad_inform%C3%A1tica
http://ingwebsu.wordpress.com/tag/humano/
http://ingwebsu.wordpress.com/2008/11/18/53-amenazas-y-vulnerabilidades/
http://www.unizar.es/guiar/1/Accident/An_riesgo/An_riesgo.htm
http://www.mitecnologico.com/Main/SeguridadLogicaYConfidencial
http://www.segu-info.com.ar/logica/seguridadlogica.htm
http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/spam
http://www.pandasecurity.com/spain/homeusers/security-info/cybercrime/phishing/
http://www.uv.es/~sto/cursos/icssu/html/ar01s04.html
http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/SEGURIDAD2.pdf,
http://www.seguridadhumana.com.ve/Charla%20Seguridad%20Humana%20PDF.pdf
http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf
http://seguridad.internet2.ulsa.mx/congresos/2003/uaem/delitos_info.pdf
http://www.eco-finanzas.com/E/EMPRESAS_PRIVADAS.htm
http://www.monografias.com/trabajos16/empresa/empresa.shtml
67
http://blog.segu-info.com.ar/2008_11_01_archive.html
http://www.e-mexico.gob.mx/wb2/eMex/eMex_2e650_not233_sin_estrategi
http://www.esemanal.com.mx/articulos.php?id_sec=2&id_art=4839
http://www.cisiar.org/proyectos/encuesta/CISIar_Encuesta_Seguridad_Informatica_2002
http://www.netmedia.info/video/netmedia-news-23-de-abril
www.acis.org.co/memorias/JornadasSeguridad/IIIJNSI/IIIENSI.ppt
http://www.acis.org.co/index.php?id=859
http://www.iworld.com.mx/iw_Opinions_read.asp?IWID=37
http://www.bsecure.com.mx/en-linea/mayoria-de-empleados-desobedecen-politicas/
http://www.ditae.uat.edu.mx/index.php?view=article&id=188:cisco-lanzo-su-indice-de- seguridadel-
cual-mide-el-estado-de-la-seguridad-informatica-en- latinoamerica&option=com_content&Itemid=50
http://www.mailxmail.com/curso-delitos-informaticos/accesos-no-autorizadosg
http://www.ditae.uat.edu.mx/index.php?view=article&id=188:cisco-lanzo-su-indice-de- seguridadel-
cual-mide-el-estado-de-la-seguridad-informatica-en- latinoamerica&option=com_content&Itemid=50
http://cxocommunity.com.ar/index.php?option=com_content&task= blogcategory&id=81&Itemid=131
http://www.cs.cinvestav.mx/Estudiantes/TesisGraduados/2008/tesisJorgeAlvarado.pdf
http://www.segu-info.com.ar/fisica/seguridadfisica.htm
http://www.argon.es/argon/informatica/esp/noticia3.html
http://sociedaddelainformacion.telefonica.es/jsp/articulos/detalle.jsp?elem=2073
http://www.mailxmail.com/curso-delitos-informaticos/sistemas-empresas-mayor-riesgo
http://seguridad.internet2.ulsa.mx
http://www.dodomex.com/noticias2.php?id=37
http://www.cert.org.mx/index.html
http://www.cert.org.mx/index.html
http://www.cert.org.mx/index.html
http://www.segu-info.com.ar/logica/identificacion.htm
http://www.segu-info.com.ar/logica/acceso.htm
http://www.segu-info.com.ar/fisica/seguridadfisica.htm
