Descargar

Impacto de la seguridad informática en el perfeccionamiento de la gestión empresarial


Partes: 1, 2

  1. Resumen
  2. Introducción
  3. Planteamiento del Problema
  4. Métodos y técnicas
  5. Definición de Impacto Económico
  6. Aplicación del modelo PHVA aplicado a los procesos de SGSI
  7. Resultado del análisis de Incidencias, notificaciones y alertas por deficiente Gestión del Sistema de Seguridad Informática (SGSI)
  8. Evaluación de criterios no cumplidos
  9. Impacto económico, forma de calcularlos, estrategia a seguir
  10. Conclusiones
  11. Recomendaciones
  12. Bibliografía
  13. Anexos

Resumen

En el siguiente trabajo propone un acercamiento al impacto económico de la Gestión de Seguridad Informática en la gestión empresarial, para dar respuesta al desequilibrio existente entre los especialistas de Tecnologías de la Información (TI) y las administraciones de las entidades y empresas, respecto a la necesidad de invertir en "Seguridad" y que tengan en cuenta que las TI son determinantes en la gestión y el negocio de estas es decir debemos mirar e interpretar a las empresas y al éxito del negocio a través de la Informática.

Para esto se elaboró un diagnóstico de la situación actual con respecto al cumplimiento del Reglamento de Seguridad Informática establecido por la Oficina de Seguridad para las Redes con la finalidad de detectar las brechas y vulnerabilidades del sistema establecido y las posibles oportunidades de mejora. Se determinan los indicadores para evaluar el impacto y se proponen formas para una mayor comprensión.

Se documentarán los procedimientos de trabajos, instrucciones, registros incidentes y de gestión. Se establecerá un sistema de indicadores que sirvan para controlar y darle seguimiento a los objetivos de la gestión económica de las entidades y el impacto de las TI en el negocio. Todo lo propuesto anteriormente contribuirá al desarrollo del Sistema de gestión de la seguridad informática elevando los niveles de Seguridad Informática en el Sector Estatal.

Nuestro objetivo es demostrar que el Sistema de Gestión de la Seguridad Informática impacta directamente en la gestión y el negocio de las entidades y que se debe invertir en seguridad proactivamente ya que los costos son superiores cuando no se invierte y sucede un suceso.

Introducción

Aceleradamente las nuevas tecnologías de la información avanzan, ocupando espacios insospechados y alcanzando una posición preponderante dentro de la estructura organizacional, haciéndose imprescindibles debido al nivel de dependencia que se va adquiriendo. La idea prevaleciente en directivos, funcionarios y especialistas consiste en garantizar que los sistemas instalados brinden los servicios y utilidades que de ellos se espera.

Pero en este escenario prácticamente tranquilo sucede algo inesperado, se produce un evento relevante que compromete la seguridad con consecuencias adversas para el funcionamiento de los sistemas instalados y las operaciones que se realizan: ha ocurrido un incidente de seguridad informática.

A consecuencia del incidente se produce gran tensión pues generalmente nadie imaginaba que pasara algo semejante. La posibilidad de que algún sistema no respondiera según lo previsto no estaba en la mente de ningún miembro de la organización. Por lo que los directivos exigen con firmeza que el problema sea resuelto en un plazo breve, el personal del área de informática comienza a enfrentar el incidente tratando de entender lo que pasó e intentando buscar soluciones y por otra parte los trabajadores se quejan que no pueden cumplir las tareas planificadas.

Comienzan a improvisarse diversas alternativas de solución aplicando métodos de prueba y error; se revisan documentos de fabricantes y bibliografía, consultan sitios Web y foros en Internet se contacta con especialistas del organismo superior y de otras organizaciones mientras el tiempo sigue pasando.

Cuando se soluciona el incidente se regresa a la normalidad. Sin embargo la falta de previsión y preparación ha provocado el gasto innecesario de valiosos recursos de todo tipo, al trabajar al mismo tiempo demasiadas personas sobre un mismo tema o con la insuficiente preparación para la solución del incidente, la perdida de información valiosa sobre las causas y efectos del incidente, y el surgimiento de usuarios insatisfechos.

Al mismo tiempo este avance de las tecnologías de la información y su influencia en casi todas las áreas de la vida social han propiciado una serie de comportamientos ilícitos o no autorizados que de manera general pudieran agruparse en aquellos dirigidos contra las redes y sistemas informáticos, por ejemplo ataques a servidores, desfiguración de sitios Web, denegación de servicio, creación introducción y propagación de códigos maliciosos, envío masivo de correos no deseados (spam, hoax) y los ejecutados con la utilización de los sistemas y redes como medios para cometer ilegalidades como el fraude, robo espionaje, pornografía, actividad económica ilícita entre otros.

Las empresas estatales y nuestros ordenadores no están suficientemente protegidos ante estas nuevas formas delictivas. Este es el reto al que debemos dar respuesta. El problema ya existe y avanza a una velocidad que nos obliga a hacer sonar las necesarias señales de alarma.

En las últimas décadas, y de forma exponencialmente acelerada, el desarrollo de la sociedad y de la economía globalizada ha hecho que dependamos absolutamente de la informática y de las telecomunicaciones. La realidad es que las empresas, las grandes, pero también las medianas y pequeñas, dependen casi al 100% del correcto funcionamiento de aplicaciones informáticas y de sistemas de telecomunicaciones para sus actividades.

Este nuevo escenario económico y social, supone enormes ventajas y posibilidades en el desarrollo económico. El mundo globalizado se hace accesible para todos. Los emprendedores tienen a su alcance cualquier posibilidad de intercambio comercial y, todos tenemos acceso a una gran cantidad de información acerca de cualquier rincón del planeta.

El panorama ha hecho que aparezcan nuevos riesgos para las empresas, unos de carácter técnico, pero, los más preocupantes son los intencionados. Las consecuencias de estas amenazas suponen para las empresas afectadas importantes daños económicos, graves problemas en la reputación, incumplimientos de la obligación de custodiar datos de carácter personal, y la peor de todas, es la sensación de impotencia e inseguridad.

Hay que tener en cuenta que el porcentaje de denuncias o reportes por ataques informáticos aún es muy bajo, Estamos ante un reto formidable, pues, según la encuesta global de delitos económicos 2015, el 25% de las empresas en el mundo son víctimas de un delito cibernético.

Los informes de Interpol estiman que solo en Europa, el coste asociado a esta modalidad delictiva ha alcanzado los 750.000 millones de euros en 2013, y según el World Economic Forum, este tipo de delincuencia podría generar unas pérdidas económicas en todo el mundo de más de 9 billones de dólares en el periodo 2015-2020.

La veloz evolución de estas figuras delictivas, la complejidad del entorno en que se realizan, el de la informática y las telecomunicaciones, y el carácter ubicuo e internacional de los orígenes de esta moderna ciberdelincuencia, presentan un reto formidable al Estado. No solo hay que adaptar legislación penal y procesal a nuevas figuras (delitos realizados desde otros países, necesidad de captar las evidencias instantáneamente, etc.), también, se necesita un esfuerzo ingente de formación de jueces, fiscales, fuerzas y cuerpos de seguridad y, algo importante, de reclutamiento de especialistas para colaborar con estos colectivos.

En definitiva, es evidente que en Cuba, como en prácticamente en todos los países, el Estado corre en una carrera en la que su vehículo es de los más lentos y además, ha salido con retraso.

En nuestro país en los últimos años se ha realizado un gran esfuerzo por parte del Estado: Dicta los lineamientos de Seguridad informática, se crea la Oficina de Seguridad para las Redes Informáticas, el Consejo de Ciberseguridad Nacional, creación del CuCERT etc. Pero aún no disponemos de los procedimientos jurídicos para responder adecuadamente ante estos delitos.

La oficina de Seguridad para las Redes Informáticas (OSRI) en Santiago de Cuba desde el 2014 hasta la fecha ha recibido reportes de incidentes ocurridos en varias entidades relacionados con:

  • Accesos no autorizados.

  • Reclamaciones internacionales.

  • Cambio de características de HW.

  • Correos en cadenas no deseados, Spam y Hoax.

  • Denegación de servicios.

  • Desfiguración de sitios.

  • Programas Malignos (Daños considerables en los sistemas y la información).

  • Suplantación de identidad.

  • Robo de cuentas de correo.

  • Subversión Política e Ideológica.

Por otra parte se han realizado 85 notificaciones a entidades por presentar incidentes de seguridad no detectados por sus sistemas y 83 alertas por vulnerabilidades en los servidores y sistemas informáticos las cuales podrían ser utilizadas por personas no autorizadas para comisión de hechos delictivos, robo de información y cualquiera de los incidentes antes mencionados. Del total de las empresas inspeccionadas el 26,5 % han tenido resultados negativos en su Gestión de la Seguridad Informática.

Los sistemas informáticos no solo están expuestos a fallos sino también son blancos potencialmente atractivos para ataques maliciosos.

Planteamiento del Problema

¿Cómo impacta la Gestión de la Seguridad Informática en la actividad económica de las empresas?

No se trata ya solo de que los Estados protejan a los ciudadanos, a las empresas y que recaben la colaboración de todos. La lucha contra los ciberdelitos debe partir de una nueva cooperación entre sociedad civil y Administración, con la necesaria presencia de todos los actores implicados: las empresas, los especialistas, las universidades, en fin la "Guerra de todo el pueblo"

Hace falta voluntad, especialistas y recursos económicos concretos e importantes. Las empresas así lo demandan. Aunque no queramos mirar, la realidad sigue corriendo a velocidad de gigas.

Todas las empresas son conscientes de que la Gestión de la Seguridad Informática es un asunto prioritario. Pero, como pueden cuantificar el valor de negocio que aporta una red segura? Como pueden evaluar y justificar la inversión en productos de seguridad de red, como firewalls de próxima generación, sistemas de prevención de intrusiones y dispositivos de gestión unificada de amenazas? No existe una formula exacta ni una herramienta para calcular el "costo de los ataques".

Los daños causados por los ataques, independientemente de la fuente, se dividen en dos categorías principales: la filtración de datos y la pérdida de servicio.

La filtración de datos siempre da lugar a noticias sensacionalistas, pues la extracción de información corporativa confidencial va a parar a manos de criminales o competidores. Los daños causados por las filtraciones de datos son visibles y muy graves. Pueden ser daños de carácter financiero (pérdida de ingresos, costos legales y normativos, costes derivados de procesos judiciales y multas), costes 'blandos' (pérdida de la confianza y fidelidad de los clientes) y pérdida de competitividad (como resultado de la pérdida de propiedad intelectual).

Después de sufrir filtraciones de información, las empresas se gastan cantidades enormes de tiempo y dinero en tareas de detección y corrección técnica, en la identificación y el bloqueo de ataques, así como en la valoración de los daños causados y en la aplicación de medidas correctivas. Además, los casos de filtración de datos generan una publicidad negativa que dura mucho más que el ataque en sí.

Los ataques por denegación de servicio resultan en la degradación o en la total inoperatividad de los sistemas informáticos, tanto de estaciones de trabajo como de servidores web, de aplicaciones o de bases de datos. Pero los daños colaterales en el Ámbito financiero de estos daños también pueden ser catastróficos. El comercio se ralentiza o se detiene por completo, lo cual repercute directamente en los ingresos. Los procesos cotidianos se interrumpen o los empleados no pueden desempeñar sus tareas porque la red está fuera de servicio.

departamento de TI y el personal de soporte, que tienen que diagnosticar los problemas, ayudar a los empleados, reiniciar los servicios y restablecer la imagen inicial de los PC.

En realidad, no existe un modelo de costos universal aplicable a todos los casos. Lo que si queda claro lo costosos que resultan estos ataques para los resultados, la reputación y la competitividad de las empresas.

Objeto de Conocimiento

El Sistema de Gestión de Seguridad para las Tecnologías de la Información basado en el Reglamento de Seguridad para las Tecnologías de la Información.

Campo de Acción

Impacto económico de la Gestión de Seguridad Informática en el sector estatal en Santiago de Cuba.

Objetivo General

Diseñar un procedimiento para determinar el impacto económico de la Gestión de la Seguridad Informática en el sector estatal.

Objetivos Específicos

1. Revisar la documentación referente a los sistemas de gestión de la Seguridad Informática, su impacto económico.

2. Realizar el levantamiento de toda la información existente en las empresas relacionada con la implementación de procedimientos para determinar el impacto económico de la gestión de seguridad informática.

3. Comprobar el resultado de todas las inspecciones e investigaciones de incidentes generados desde las entidades y terceros, afectaciones económicas provocadas por incidentes y deficiente gestión de la Seguridad Informática

Hipótesis

  • La correcta gestión del sistema de Seguridad Informática así como el conocimiento de su impacto económico contribuirá a que los directivos, usuarios y el personal de la actividad informática de las entidades estén en capacidad de ver la eficiencia, eficacia y el triunfo del negocio a través de los procesos informáticos.

Métodos y técnicas

Entrevista: se utilizó para determinar los requerimientos del sistema de gestión de seguridad informática y su impacto económico.

 Consulta de documentos: se empleó para comprobar el estado de la gestión de seguridad con el propósito determinar los problemas que persisten.

Encuesta: proporcionó la evaluación del estado actual del proceso de gestión de seguridad.

Análisis y síntesis: permitió estructurar y organizar las características básicas del sistema de gestión de seguridad y métodos para calcular el impacto económico.

 Histórico lógico: posibilitó evaluar la evolución del problema para identificar las principales necesidades. 

Desarrollo

La realidad nos muestra que las organizaciones empresariales se enfrentan en la actualidad con un alto número de riesgos e inseguridades procedentes de una amplia variedad de fuentes entre las que se encuentran los nuevos negocios y nuevas herramientas de las Tecnologías de la Información y la Comunicación (TIC). Todas estas herramientas deben aplicarse según objetivos empresariales con la mayor seguridad, garantizando la confidencialidad (asegurando que sólo quienes estén autorizados pueden acceder a la información), integridad (garantizando que la información es fiable y exacta) y disponibilidad (asegurando que los usuarios autorizados tienen el acceso debido a la información). La información, como uno de los principales activos de las organizaciones, debe protegerse a través de la implantación, mantenimiento y mejora de las medidas de seguridad para lograr el cumplimiento de su objeto social, garantice el cumplimiento legal, de prestigio y de imagen de las empresas.

Actualmente las entidades del Estado, instituciones financieras, centros de enseñanzas, instituciones de salud y en menor grado el sector no estatal, entre otros, acumulan una gran cantidad de información sobre sus empleados, clientes, productos y servicios; que son fundamentales para su organización. Dicha información está amenazada por el aumento de la delincuencia informática, que pone en riesgo a las bases de datos de las organizaciones.

Por lo tanto, es necesario contar con mecanismos apropiados con el fin de recolectar, tratar y almacenar dicha información y no poner en peligro la continuidad de las operaciones o del negocio.

Por otra parte, las organizaciones implementan Sistemas para la Gestión de Seguridad Informática (SGSI), con el fin de contar con herramientas para la gestión de la seguridad de la organización.

Cabe mencionar que proteger la información confidencial de una institución o entidad es un requisito del negocio, por lo tanto, la seguridad debe ser un proceso continuo de mejora, en donde las políticas y controles establecidos para la protección de la información sean revisados y actualizados periódicamente.

Esta estrategia de seguridad de la información debe incluir tanto medidas orientadas a garantizar la seguridad informática como medidas más generalistas, todas ellas definidas de manera adaptada al negocio. La dirección de una Empresa debe mostrar un compromiso firme con la seguridad de la información, evitando la creación de nichos de seguridad no alineados con los objetivos marcados.

El mantenimiento, evolución y adaptación de la seguridad deben ser una constante en las organizaciones; la concienciación tiene un papel protagonista. La implantación, mantenimiento y evolución de esta estrategia de seguridad tiene asociados unos costos directos e indirectos que deben estar presentes a la hora de definir objetivos y establecer el presupuesto con el que se dota, sin olvidarla criticidad de la seguridad y las consecuencias nefastas que una estrategia errónea y limitada pueden suponer para las empresas o entidades.

Definición de Impacto Económico

Impacto económico: es el choque, efecto, huella o golpe que nos deja alguna noticia, suceso, disposición o catástrofe en nuestra propia economía ya sea familiar, local, regional o nacional, es decir, que nos pega en nuestros propios bolsillos o en los bolsillos de la sociedad o del erario público (en las arcas del gobierno o del país en donde vivimos) influyendo ya sea de manera negativa o positivamente.

PROCEDIMIENTO PARA DETERMINAR EL IMPACTO ECONOMICO.

edu.red

Teniendo en cuenta lo antes expuesto se aplicó este procedimiento propuesto a la Empresa Geominera del Oriente con vista a determinar el impacto económico sobre el SGSI obteniendo el siguiente resultado:

GEOMINERA, S.A. es una Sociedad Mercantil cubana de carácter privado y capital 100 % estatal. Fue constituida en agosto de 1993 y tiene como objeto impulsar la actividad negociadora con la finalidad  de captar inversionistas extranjeros interesados en desarrollar Programas de Trabajos de Prospección – Exploración a Riesgos para determinar posibles yacimientos que permitan constituir Empresas Mixtas para la Explotación y Comercialización de minerales sólidos de yacimientos cubanos, para contribuir al desarrollo del país.

Paralelamente desarrolla la prestación de Servicios Técnicos Profesionales en el sector de la Geología y Minería, altamente competitivos y rentables, con probada experiencia internacional. Ha estado presente en Proyectos en países de América y África pudiendo abarcar todas las etapas de un proyecto llave en mano, desde la Proyección geológica, la ejecución de todas las actividades de campo (Geología, Topografía, Geofísica, Perforación, Laboreos mineros, etc), análisis de muestras en los Laboratorios, el procesamiento de la información, la evaluación de reserva de los yacimientos, hasta la ingeniería y el Estudio de Factibilidad Técnico – Económica de la posible inversión para la explotación de los recursos.

Encaminada a captar nuevos socios para la inversión en Cuba y clientes potenciales en Cuba y en el exterior interesados en los servicios Geólogos Mineros. Igualmente tiene gran fortaleza en la actividad salinera desde la etapa de Ingeniería, construcción de plantas completas, así como el montaje, puesta en marcha y explotación de salinas.

La Geominera del oriente dentro de su encargo estatal se encuentran los servicios geológicos uno de sus principales frentes de trabajo y ahora acometen proyectos de investigación de minerales metálicos y no metálicos en la región oriental y otros solicitados por Moa Níquel S.A. abarcan la geología, topografía, geofísica, hidrogeología, perforación y estudios medioambientales.

Respecto a la actividad minera, cuentan con una planta de carbonato de calcio en Palmarito de Cauto, en el municipio santiaguero de Mella, y una de zeolita, en San Andrés, Holguín. El primer renglón se emplea en la elaboración de pienso animal y en producciones industriales como polvo limpiador y pigmentos para pintura, a la par que se utiliza en la construcción como material árido. En caso de la zeolita se destina a la industria de fertilizantes y la agricultura, y constituye para el país un renglón exportable, con mercados que se consolidan en América Latina y Europa.

Una importante labor desarrolla el Laboratorio Elio Trincado en los análisis del níquel, proyectos geológicos y estudios del medio ambiente.

Verificación del cumplimiento de normativas, leyes y resoluciones del Ministerio de Comunicaciones.

  • No se tenían en cuenta el uso de la norma/estándar UNE ISO/IEC 27001:2007 del "Sistema de Gestión de la Seguridad de la Información" por lo que sus proceso carecían de mejoras continuas y no evaluaban adecuadamente los riesgos físicos (incendios, inundaciones, sabotajes, vandalismos, accesos indebidos e indeseados) y lógicos (virus informáticos, ataques de intrusión o denegación de servicios) sin establecer las estrategias y controles adecuados que aseguren una permanente protección y salvaguarda de la información.

La piedra angular de este sistema SGSI-ISO 27001 es el análisis y gestión de los riesgos basados en los procesos de negocio/servicios de TI. Esto es una herramienta muy útil para evaluar y controlar una organización con respecto a los riesgos de los sistemas de información. De esta forma los servicios de TI se fundamentan en los activos de las TIC que dan soporte a los servicios de TI. Esto exige un análisis y gestión de los riesgos de sistemas de información realista y orientado a los objetivos de la organización.

Es importante resaltar que cada vez que se incorpora una nueva herramienta o negocio de TIC a la empresa no se actualizaba el análisis de riesgos para poder mitigar de forma responsable los riesgos y, por supuesto por ende tampoco se consideraba la regla básica de Riesgo de TI vs. Control vs. Costo, es decir, minimizar los riesgos con medidas de control ajustadas y considerando los costos del control.

  • Cumplimiento del acuerdo 6058 del Comité Ejecutivo del Consejo de Ministro (CECM), resolución 127/2007 y Reglamento de Seguridad para las Tecnologías de la Información y faculta a la Oficina de Seguridad para las Redes Informáticas (OSRI) para verificar estas normas se confeccionó una guía de control que recoge todos sus artículos y la forma de comprobar la efectividad del SGSI diseñado en un lenguaje claro donde con mínimos conocimientos de informática pudiera aplicarla, partiendo del estudio del Plan de Seguridad Informática como expresión gráfica del sistema, determinándose que incumplían lo dispuesto, por lo que evaluamos en varias ocasiones de Muy Vulnerable la Seguridad Informática, poniendo en riesgo la información y los procesos a continuación le relacionamos los artículos no cumplidos asociadas a la base legal vigente:

ARTÍCULO 7: Los jefes de entidades responden por la actualización de los planes de Seguridad Informática, considerando para ello los siguientes factores:

a) La aparición de nuevas vulnerabilidades.

b) Los efectos de los cambios de tecnología o de personal.

c) La efectividad del sistema, demostrada por la naturaleza, número y daño ocasionado por los incidentes de seguridad registrados.

ARTÍCULO 10: El responsable de la actividad informática en cada entidad tiene las siguientes obligaciones:

a) Participar en el diseño del Sistema de Seguridad y en la elaboración, evaluación y actualización del Plan de Seguridad Informática, supervisar su aplicación y disciplina de cumplimiento.

b) Establecer y mantener los controles en correspondencia con el grado de protección requerido por el Sistema de Seguridad Informática diseñado.

c) Garantizar la disponibilidad de los bienes informáticos.

d) Asesorar a las distintas instancias sobre los aspectos técnicos vinculados con la seguridad de las tecnologías de la información.

e) Establecer los controles necesarios para impedir la instalación de cualquier tipo de hardware o software sin la autorización de la Dirección de la Entidad.

f) Participar en la elaboración de los procedimientos de recuperación ante incidentes de seguridad y en sus pruebas periódicas.

g) Informar a los usuarios de las regulaciones establecidas.

ARTÍCULO 18: El personal previsto para ocupar cargos vinculados a la actividad informática en órganos, organismos, entidades, organizaciones políticas, sociales y de masas, incluyendo personal eventual, estudiantes insertados y otros casos similares con acceso a sistemas críticos, a información de valor o a la supervisión y seguridad de los sistemas, deberá ser seleccionado adecuadamente.

ARTÍCULO 21: El uso no autorizado de las tecnologías de información y sus servicios asociados constituye una violación de los derechos de la entidad que es sancionable. Es un deber y un derecho de la dirección de cada entidad la supervisión del empleo de las tecnologías de la información por parte de los usuarios.

ARTÍCULO 57: Los órganos, organismos y entidades están en la obligación de implementar los mecanismos de seguridad de los cuales están provistas las redes, así como de aquellos que permitan filtrar o depurar la información que se intercambie.

ARTÍCULO 58: En todas las redes se habilitarán las opciones de seguridad con que cuentan los sistemas operativos de forma tal que se garantice la protección de los servidores y las terminales, el acceso a la información solamente por personal autorizado y los elementos que permitan el monitoreo y auditoria de los principales eventos por un tiempo no menor de un año.

ARTÍCULO 60: La arquitectura y la configuración de los diferentes componentes de seguridad de una red y la implementación de sus servicios estarán en correspondencia con las políticas definidas y aprobadas para su empleo y en ningún caso deben ser el resultado de la iniciativa de una persona con independencia de la preparación que ésta posea.

ARTÍCULO 62: El Administrador de una red tiene, en relación con la Seguridad Informática, las siguientes obligaciones:

a) Garantizar la aplicación de mecanismos que implementen las políticas de seguridad definidas en la red.

c) Garantizar que los servicios implementados sean utilizados para los fines que fueron creados.

ARTÍCULO 63: La gestión de administración de las redes implica la concesión de máximos privilegios, debiéndose realizar directamente desde los puestos de trabajo habilitados al efecto. Se prohíbe la administración remota de estas redes mediante conexiones conmutadas a través de las redes públicas de transmisión de datos.

ARTÍCULO 67: Las entidades instrumentarán la ejecución de procedimientos periódicos de verificación de la seguridad de las redes con el fin de detectar posibles vulnerabilidades, incluyendo para ello cuando sea procedente la comprobación de forma remota por entidades autorizadas oficialmente a esos efectos, debido a la sensibilidad de estas acciones.

ARTÍCULO 73: Los servidores de redes de una entidad destinados a facilitar accesos hacia o desde el exterior de las mismas no serán instalados en las máquinas en que se instalen los servidores destinados para el uso interno de dicha red.

Aplicación del modelo PHVA aplicado a los procesos de SGSI

edu.red

Se obtuvo lo siguiente:

Planificar (establecer el SGSI)

Políticas, objetivos, procesos y procedimientos de seguridad insuficientes y sin calidad con los cuales era ineficiente gestionar el riesgo y mejorar la seguridad de la información y los procesos informáticos, no se correspondían los resultados con las políticas y objetivos globales de una organización.

Hacer (implementar y operar el SGSI)

No implementación ni operación de políticas, controles, procesos y procedimientos del SGSI.

Verificar (hacer seguimiento y revisar el SGSI)

No se evaluaba, ni se aplicaba como medir el desempeño del proceso contra la política y los objetivos de seguridad y la experiencia práctica, y reportar los resultados a la dirección, para su revisión.

Actuar (mantener y mejorar el SGSI)

No se aplicaban acciones correctivas y preventivas basadas en los resultados de la auditoría interna del SGSI y la revisión por la dirección, ni de terceros para lograr la mejora continua del SGSI.

 

Resultado del análisis de Incidencias, notificaciones y alertas por deficiente Gestión del Sistema de Seguridad Informática (SGSI)

  • En el 2014 se notificó en dos ocasiones a la entidad por presentar vulnerabilidades en los servidores esto propició que desde el exterior le desfiguraran el sitio WEB. A raíz de esto nuestra oficina se concentró en un control de los servidores detectando cuatro deficiencias importantes alertándoles que le podía suceder lo que hoy notificamos.

  • En el 2014 se notificó por presentar vulnerabilidades de los servidores las cuales se explotan para obtener el dominio total de sus servicios y la comercialización no autorizada de correo electrónico y navegación. Cuestión que se mantiene actualmente y está implícito en la presente notificación.

  • En el 2015, introducción de virus por vulnerabilidades en el sistema de seguridad el cual provocó la pérdida de conectividad y servicios informáticos por varios días a los usuarios en el Laboratorio Elio Trincado de la misma entidad.

Cómo Win32 / Madang.A! Presa invade en el sistema?

Presa Win32 / Madang.A! Es creado por los delincuentes cibernéticos que viene en el sistema sin ninguna notificación previa. Hay varias maneras a través del cual se instala en el PC que se mencionan a continuación:

  • Ejecución automática de medios extraíbles, como pen drives, tarjetas de datos, etc.

  • Visitar sitios malignos de los delincuentes cibernéticos.

  • Descarga de software libre, la música, los vídeos de páginas no autorizadas.

  • Acceso a mensajes de correo electrónico de spam.

  • Descarga de archivos de redes peer-to-peer o sitios de redes sociales.

Consecuencias de la presa de Win32 / Madang.A!: –

Después de la instalación de la presa de Win32 / Madang.A!, la Pc tendrá un rendimiento raro del sistema y que va a responder muy lento a sus instrucciones. De hecho, también se lleva a cabo cambios en la configuración por defecto de la PC, incluyendo la configuración de privacidad o de seguridad. Algunos de los síntomas comunes se dan a continuación lo que ayudará a detectar su presencia en el sistema:

  • La mayoría de los programas dejan de responder.

  • Aparecerán Un montón de alertas de advertencia y mensajes de error.

  • Su sesión de Internet se desviará a los enlaces desconocidos.

  • Los archivos no deseados, carpetas, accesos directos e iconos que se ve.

  • Modificación en las entradas del registro también es posible.

  • Su PC se reiniciará en algunos intervalos.

  • Aumenta el uso de la CPU mediante la creación de procesos falsos en el administrador de tareas.

  • Cuelgues del sistema o la congelación también es posible.

  • En el 2015 (Junio). El Ministerio del Interior le realiza inspección a la entidad y determina que el sistema de seguridad informática es vulnerable.

  • 13 de julio de 2015 le notificamos que aprovechando las vulnerabilidades existentes en la red de su entidad se están realizando ataques hacia redes en el exterior, cuestión que puede generar reclamación internacional contra nuestro país lo cual es considerado de extremadamente GRAVE.

  • El 13 de julio de 2015, nuestro país es objeto de una reclamación internacional por realizar ataques de envío de SPAM y Diccionario IP desde la red de esta entidad.

  • Con los servidores aun vulnerables siguieron dando servicio lo que provocó que los días 17 y 28 de julio nuestro país fuera objeto de otras tres reclamaciones internacionales por las razones antes expuestas.

Por lo antes expuesto y teniendo en cuenta la peligrosidad de las deficiencias, alertas, notificaciones y la no reacción adecuada de la entidad el 29 de julio se decide por la OSRI el cierre de la red y su conectividad con el exterior (Internet, Páginas WEB y Correo electrónico). Hasta la fecha de concluida esta investigación no habían restablecido los servicios (junio 2016)

Evaluación de criterios no cumplidos

Una vez aplicada la guía de control estamos en condiciones evaluar los criterios de seguridad no cumplidos que no son más que los artículos del reglamento que fueron pasados por alto, así como el resultado de un análisis cuantitativo y cualitativamente de los efectos del no cumplimiento.

En sentido general estos criterios no cumplidos prevalecen e impactan negativamente en el negocio:

  • Deficiente gestión de la seguridad informática. La gestión de la seguridad informática en la mayoría de las organizaciones es prácticamente nula. La seguridad se ve como un producto y no como un proceso. Se elabora el Plan de Seguridad Informática (PSI) y se implementan controles de seguridad y no se hace más nada hasta que ocurra un incidente.

  • Delegación de responsabilidades. El diseño e implementación del Sistema de gestión de incidentes se delegan al área de Informática y los directivos se limitan escasamente a aprobarlo. El personal de informática tiene vía libre para casi todas las cosas, desde la introducción o cambio de un equipo hasta la implementación de un nuevo servicio.

  • Deficiente control y exigencia (o ausencia de ambas cosas). No se supervisa el trabajo del personal, en particular el de los administradores de redes. No existe un control adecuado de los servicios que brindan las redes de datos, ni la asignación de las cuentas de acceso a estos servicios y su utilización.

  • Subestimación del factor humano. No se presta la debida atención a la selección, preparación y concienciación del personal ni al control de sus acciones y las exigencias de sus obligaciones. Se instala un cortafuego y un buen antivirus y se piensa que el problema está resuelto, cuando en realidad la mayoría de los problemas se derivan de la acción del hombre.

  • Todas las responsabilidades en una misma persona. Se designa una persona para atender la seguridad sobre la cual caen todas las obligaciones y responsabilidades en esta materia, incluso las que corresponden a otros miembros de la organización.

  • Nadie conoce el PSI (solo el que lo elaboró). Una vez elaborado el plan, se guarda en una gaveta o en la OCIC y se saca solamente cuando se anuncia una inspección. Se van los inspectores: ya todo terminó. La seguridad no es vista como una necesidad de la organización y se establece en función de los controles que realizan los niveles superiores. Se trabaja "de control en control".

  • Recursos compartidos. Se comparten archivos, carpetas e incluso discos completos de forma indiscriminada con usuarios que no los requieren para su trabajo y con privilegios de acceso total.

  • Gestión de trazas de auditoria. No se analizan las trazas de los eventos para detectar indicios de comportamientos anómalos, limitándose su utilización al momento en que se produce un incidente de seguridad. No se conservan o se conservan solo los de algunos eventos o por un tiempo menor de lo establecido por las normas, debido frecuentemente a mecanismos mal configurados, indiferencia o intencionalidad.

  • Información de respaldo. No se realizan copias de seguridad (salvas) de la información crítica de la entidad que permitan la recuperación efectiva después de un incidente. Con frecuencia tampoco se guarda copia de las configuraciones de los sistemas y redes.

  • Medios removibles. Empleo indiscriminado de medios removibles (discos externos, dispositivos USB, tarjetas de memoria, CD`s, DVD"s), sin autorización ni control.

  • Medidas proactivas. No se escanean las redes para detectar vulnerabilidades y el sistema de parches y actualizaciones de los sistemas operativos es deficiente.

  • Capacitación. Algunos de los directivos y varios usuarios no tienen claro o desconocen temas relacionado con la Seguridad Informática así como el rol que deben jugar dentro del Sistema de Gestión de Incidentes.

Impacto económico, forma de calcularlos, estrategia a seguir

Los costos derivados de pérdida de seguridad no son sólo costos económicos directos, sino que también afectan a la imagen y por ende el negocio, por lo que, cada vez más, la seguridad de la información forma parte de los objetivos de las organizaciones y, sin embargo, y a pesar de esa concienciación generalizada, la entidad no lo tenía en cuenta.

Para evaluar el impacto de los ataques basados en la red y el "valor preventivo", se determinaron los ocurridos en el sistema informático de la entidad:

• Virus, troyanos, gusanos y otros tipos de malware que pueden poner fuera de servicio servidores y estaciones de trabajo o robar datos. (Laboratorio).

• Ataques distribuidos de denegación de servicio (DDoS) y flooding, que pueden sobrecargar los servidores y poner páginas web fuera de servicio. (Gerencia)

• Desfiguración de sitios web. (Gerencia).

• Reclamaciones internacionales, poniendo en riesgo la seguridad nacional. (Repercusión internacional).

Los daños causados por los ataques, independientemente de la fuente, se dividen en dos categorías principales: la filtración de datos y la pérdida de servicio. En este caso solo se pudo demostrar el segundo ocasionando los daños de carácter financiero (pérdida de ingresos, costos comunicación, costes 'blandos' (pérdida de la confianza y fidelidad de los clientes) y pérdida de competitividad.

Los ataques por denegación de servicio pusieron en riesgo la total inoperatividad de los sistemas informáticos de redes extranjeras, generando reclamaciones internacionales contra nuestro país.

El negocio se demora considerablemente por falta de comunicación entre las partes y se encarece al utilizar medios ya obsoletos en el mundo como la telefonía fija, correo postal, presencial etc. lo cual repercute directamente en los ingresos y costos de forma negativa. Los procesos cotidianos se interrumpieron y los empleados no pueden desempeñar sus tareas porque la red está fuera de servicio.

Poner en riesgo la información ya que se utilizan vías de infocomunicación no autoriza por ejemplo, correos electrónicos no propiedad de la entidad, páginas web alojadas en el exterior etc.

Cuáles son las consecuencias para los administradores de TI? La mala noticia es que los ataques basados en la red son costosos, interrumpen la actividad del negocio y pueden resultar catastróficos a muchos niveles, por lo que deben evitarse a toda costa. La buena noticia es que hay disponible una amplia variedad de herramientas y servicios que le ayudarán a comprender exactamente como la filtración de datos y la pérdida de servicio pueden repercutir en el negocio de su empresa. Por lo que se recomienda que sean adoptadas las siguientes medidas (Ver anexo II).

Conclusiones

Con la realización de este procedimiento para calcular el impacto económico de la Gestión de Seguridad, lograríamos establecer un equilibrio de criterios entre directivos y personal de TI desde un punto de vista económico y que sean aceptadas las políticas de seguridad e integradas a las estrategias del negocio, a su misión y visión, con el propósito de que los que toman las decisiones reconozcan su importancia e incidencias en las proyecciones y utilidades de las empresas.

Recomendaciones

Continuar con la investigación con el propósito de obtener todos los elementos necesarios para la elaboración de una fórmula matemática o una aplicación informática que nos facilite traducir lo antes expuesto en un lenguaje financiero contable. Para demostrar en "dinero" cuanto afecta a las entidades la deficiente o nula gestión de la SI así como la no inversión proactivamente en seguridad.

Bibliografía

  • Acuerdo 6058 del Comité Ejecutivo del Consejo de Ministro de la República de Cuba.

  • Partes: 1, 2
Página siguiente