ANÁLISIS DE LOS RIESGOS QUE CAUSAN LA FUGA DE INFORMACIÓN EN

LA EMPRESA ASESORIAS CONTABLES Y REVISORIA FISCAL JAA SAS.

JUAN CARLOS BELTRÁN BEJARANO

ANDREA KATERINE PINEDA CONEJO

ANDRÉS FELIPE QUEVEDO VEGA

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

BOGOTÁ D.C – 2016

 ANÁLISIS DE LOS RIESGOS QUE CAUSAN LA FUGA DE INFORMACIÓN EN
LA EMPRESA ASESORIAS CONTABLES Y REVISORIA FISCAL JAA SAS.

JUAN CARLOS BELTRÁN BEJARANO

ANDREA KATERINE PINEDA CONEJO

ANDRÉS FELIPE QUEVEDO VEGA

Trabajo de grado para obtener el título de especialista en Seguridad de la información.

ASESOR: HECTOR DARIO JAIMES PRADA

INGENIERO DE SISTEMAS

UNIVERSIDAD CATÓLICA DE COLOMBIA

FACULTAD DE INGENIERÍA

PROGRAMA DE ESPECIALIZACIÓN EN SEGURIDAD DE LA

INFORMACIÓN

BOGOTÁ D.C - 2016

Nota de aceptación

______________________________________

______________________________________

______________________________________

______________________________________
Presidente del Jurado

______________________________________
Jurado

______________________________________
Jurado

Bogotá D.C., noviembre de 2016.

 Dedicatoria

Dedicamos este proyecto a Dios por ser nuestro guía en cada uno de nuestros pasos, a
nuestros padres por ser nuestro apoyo y fortaleza en cada nuevo reto que tomamos en nuestras
vidas y con los que contamos en todo momento; a nuestros esposos(a), quienes nos han apoyado
de manera incondicional en el desarrollo de nuestra especialización; y a todos los profesores que
compartieron su inmenso conocimiento con nosotros cuyo trabajo y dedicación nos ayuda en la
formación como especialistas en seguridad de la información.
 Agradecimientos

Este trabajo de grado es el consolidado de un proceso de crecimiento personal, intelectual y

profesional en nuestras vidas. Agradecemos a Dios el creador del universo que me permite
construir otros mundos mentales.

A nuestras familias por el apoyo incondicional y su acompañamiento en este proceso de

crecimiento.

A los profesores de la especialización, que con su profesionalismo lograron transmitir sus mejores
conocimientos.

Al ingeniero Hector Jaimes, por su apoyo y colaboración en la consolidación de los conocimientos

adquiridos en este trabajo de grado.

A todas aquellas personas que de una u otra manera participaron y nos acompañaron en este
proceso tan significativo para nosotros.
 TABLA DE CONTENIDO

INTRODUCCIÓN ................................................................................................................................ 13

1 GENERALIDADES DEL TRABAJO DE GRADO ................................................................... 14

1.1 LÍNEA DE INVESTIGACIÓN ................................................................................................................ 14

1.2 PLANTEAMIENTO DEL PROBLEMA.................................................................................................... 14
1.2.1 Antecedentes del problema .................................................................................................... 14
1.2.2 Pregunta de investigación ..................................................................................................... 15
1.3 JUSTIFICACIÓN ................................................................................................................................. 16
1.4 OBJETIVOS ....................................................................................................................................... 17
1.4.1 Objetivo general .................................................................................................................... 17
1.4.2 Objetivos específicos ............................................................................................................. 17

2 MARCOS DE REFERENCIA .................................................................................................... 18

2.1 MARCO CONCEPTUAL ...................................................................................................................... 18

2.2 MARCO TEÓRICO ............................................................................................................................. 21
2.2.1 OCTAVE ................................................................................................................................ 22
2.2.2 METODOLOGÍA MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE RIESGOS
DE IT) 23
2.2.3 ISO/IEC 27001:2013 ............................................................................................................. 26
2.2.4 ISO 31000:2009..................................................................................................................... 27
2.3 MARCO JURIDICO ......................................................................................................................... 29

3 METODOLOGÍA ........................................................................................................................ 32

3.1 FASES DEL TRABAJO DE GRADO ....................................................................................................... 32

3.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS ............................................................................... 32

4 DESARROLLO (NUMERALES PROPIOS DEL DESARROLLO) ......................................... 33

4.1 LEVANTAMIENTO DE INFORMACIÓN ................................................................................... 33

4.1.1 ESTRUCTURA ORGANIZACIONAL .................................................................................... 34
4.1.2 MAPA DE PROCESOS ......................................................................................................... 35
4.1.3 ENTREVISTA. ....................................................................................................................... 35
4.2 CARACTERIZACIÓN DE ACTIVOS. .......................................................................................... 39
4.2.1 DEPENDENCIA ENTRE ACTIVOS ...................................................................................... 41
 4.3 CARACTERIZACIÓN AMENAZAS ........................................................................................................ 42

4.4 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD ACTUALES ASOCIADAS A LA

PREVENCIÓN DE LA FUGA DE INFORMACIÓN. ........................................................................................... 43
4.5 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS ................................................................................... 44

4.5.1 RIESGOS IDENTIFICADOS ................................................................................................. 45

4.5.2 VALORACIÓN DE RIESGOS ............................................................................................... 46
4.5.3 RIESGO VALORACION Y CONTROLES ............................................................................. 47
4.5.4 RESULTADOS DEL ANALISIS ............................................................................................. 52

5 CONCLUSIONES Y RECOMENDACIONES ........................................................................... 55

6 BIBLIOGRAFÍA ......................................................................................................................... 58
 LISTA DE FIGURAS

FIGURA 2.1 MAPA CONCEPTUAL .................................................................................................................................. 18

FIGURA 2.2 MARCO TEÓRICO ....................................................................................................................................... 21
FIGURA 2.3 FASES METODOLOGÍA OCTAVE .............................................................................................................. 22
FIGURA 2.4 METODOLOGÍA MAGERIT. “TOMADA DE ................................................................................................ 23
FIGURA 2.5 ISO 27001:2013 ........................................................................................................................................ 27
FIGURA 2.6 ISO 31000. “TOMADA DE
HTTP://WWW.ISACA.ORG/CHAPTERS8/MONTEVIDEO/CIGRAS/DOCUMENTS/CIGRAS2011-CSERRA-

PRESENTACION1%20MODO%20DE%20COMPATIBILIDAD.PDF” .......................................................................... 28

FIGURA 2.7 MARCO JURÍDICO ...................................................................................................................................... 29

FIGURA 4.1 ESTRUCTURA ORGANIZACIONAL ............................................................................................................... 34
FIGURA 4.2 MAPA DE PROCESOS .................................................................................................................................. 35
FIGURA 4.3 DEPENDENCIA ENTRE ACTIVOS TOMADA DE LA HERRAMIENTA PILAR VERSIÓN 5.4.9 LICENCIA DE
EVALUACIÓN ....................................................................................................................................................... 41

FIGURA 4.4 FACTORES DE FUGA DE INFORMACIÓN ...................................................................................................... 53

FIGURA 4.5 CANTIDAD DE RIESGOS ............................................................................................................................. 53
FIGURA 4.6 CONTROLES POR RIESGO ........................................................................................................................... 54
 LISTA DE TABLAS

TABLA 2.1 MAR.1 CARACTERIZACIÓN DE ACTIVOS - METODOLOGÍA MAGERIT ...................................................... 24

TABLA 2.2 MAR.2 CARACTERIZACIÓN DE AMENAZAS - METODOLOGÍA MAGERIT ................................................... 25
TABLA 2.3 MAR.3 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD – METODOLOGÍA MAGERIT ................................... 25
TABLA 2.4 MAR.4 ESTIMACIÓN DEL RIESGO – METODOLOGÍA MAGERIT ................................................................ 26
TABLA 4.1 CARACTERIZACIÓN DE LOS ACTIVOS. ......................................................................................................... 40
TABLA 4.2 CARACTERIZACIÓN DE LOS ACTIVOS. ......................................................................................................... 41
TABLA 4.3 CUADRO COMPARATIVO VULNERABILIDADES – AMENAZAS. ...................................................................... 43
TABLA 4.4 RIESGOS IDENTIFICADOS. ........................................................................................................................... 45
TABLA 4.5 MATRIZ DE VALORACIÓN DE RIESGOS........................................................................................................ 46
TABLA 4.6 CONSECUENCIA. ......................................................................................................................................... 46
TABLA 4.7 PROBABILIDAD. .......................................................................................................................................... 46
TABLA 4.8 RIESGO, VALORACIÓN Y CONTROLES. ........................................................................................................ 51
 RESUMEN

La seguridad de la información es un tema que concierne no solo a grandes empresas, sino

a medianas y pequeñas empresas ya que su afectación puede causar daños que repercuten
directamente a la confidencialidad, a la integridad y la disponibilidad de la información causando
un impacto en la imagen y reputación que conlleva a pérdidas económicas.

La fuga de información es un tema muy importante que afecta directamente la

confidencialidad de la información y que de forma directa o indirecta las compañías están
expuestas a amenazas cuyo origen puede ser interno o externo. La identificación de los riesgos a
través de un análisis de riesgos permite minimizar el impacto que conlleva la fuga de información
si se toman los controles preventivos, detectivos y correctivos adecuados que estén alineados con
los objetivos del negocio y aplicando las mejores prácticas de acuerdo a la norma ISO 27001.

Palabras clave: Fuga de información, riesgos, amenazas, vulnerabilidades, activos.

ABSTRACT

Information security is an issue that concerns not only large companies, but also small and
medium-sized enterprises, as their impact can cause damage that directly affects the
confidentiality, integrity and availability of information causing an impact on the image and
reputation that leads to loss of type economic.

The leak of information is a very important issue that directly affects the confidentiality of
information and that directly or indirectly companies are exposed to threats that may be internal
or external. Identifying risks through risk analysis minimizes the impact of information leakage by
taking appropriate preventive, detective and corrective controls that are aligned with business
objectives.

Keywords: Leak of information, risks, threats, vulnerabilities, assets.

11
12
 INTRODUCCIÓN

Uno de los activos más importantes en una compañía es la información. En los últimos
tiempos las compañías están conectadas con todo el mundo a través de la integración de la
tecnología, esto genera un alto riesgo para la confidencialidad, integridad y disponibilidad de la
Información.

En la actualidad, las compañías han experimentado un alto crecimiento en la fuga de

información, donde documentos de carácter confidencial son expuestos al exterior de la compañía.
En el año 2010, se presentó hasta hoy la catalogada como la mayor fuga de información en
Wikileaks. Este hecho hizo que en el mundo evidenciara la gran dificultad de mantener la
confidencialidad de la información y por ello grandes compañías con herramientas robustas y
personal especializado han sido víctimas de este tipo de divulgación, lo que presume que cualquier
compañía puede ser víctima de fuga de información. (AMAYA, 08)

El mayor desafío para controlar la fuga de información en las compañías, son los
colaboradores, dado que voluntaria o involuntariamente, causan fuga de información, el eslabón
más débil en la cadena de la seguridad es el humano.

Esto genera una mala imagen o reputación corporativa, dado que es cuestionable la
incapacidad de controlar ataques o fuga de información crítica.

La seguridad de la información depende de tres factores o elementos muy importantes, las

herramientas tecnológicas, los procesos y las personas. La mayoría de compañías suele invertir
mucho dinero en herramientas tecnológicas, que garanticen la protección frente a los ataques o
fuga de información, sin embargo esto no es suficiente, si no se establecen políticas de seguridad
y se realizan sesiones de capacitación para sensibilizar al usuario en cuanto a la seguridad de la
compañía.

13
 1 GENERALIDADES DEL TRABAJO DE GRADO

1.1 LÍNEA DE INVESTIGACIÓN

Este trabajo de investigación se torna alrededor de la necesidad de conocer la evolución

que las empresas u organizaciones colombianas se encuentran en el tema de seguridad de la
información, basados en el gran nivel de desarrollo del país, esta temática se inscribe en la línea
de “Software inteligente y convergencia tecnológica” avalada por la Universidad Católica de
Colombia, toda vez que al realizar este estudio, se pueden identificar diferentes variables que desde
el mismo, posibilitan tomar acciones preventivas y correctivas en el ámbito técnico, tecnológico y
financiero para buscar en un proceso de mejora la satisfacción del cliente y el posicionamiento
competitivo.

1.2 PLANTEAMIENTO DEL PROBLEMA

1.2.1 Antecedentes del problema

Asesorías contables y revisoría fiscal JAA SAS es una empresa que presta servicios
financieros de revisoría fiscal, auditoria externa e interna y soluciones contables, legales y
tributarias de alta calidad. Tiene clientes en sectores de petróleo, comercio, turismo, manufactura
y telecomunicaciones.

Dentro de las responsabilidades y políticas de la organización se encuentra, ofrecer

confidencialidad en el manejo de la información de los clientes dentro y fuera de la compañía y
cumpliendo los estándares de calidad para ofrecer un buen servicio.

Con 20 años de funcionamiento, Asesorías contables y revisoría fiscal JAA SAS requiere
los servicios de seguridad de la información enfocado al análisis de los riesgos que pueden causar
la fuga de información y que ponga en peligro la confidencialidad, la integridad y la disponibilidad

14
de los datos manejados, esto con el fin de tomar las acciones pertinentes para el fortalecimiento de
la seguridad dentro de la compañía.

Con base a la problemática planteada, es importante realizar esta investigación ya que la

información es uno de los activos más valiosos en las organizaciones y de ella depende tanto los
procesos internos como externos de negocio. Por ello es importante el aseguramiento de la misma
haciendo uso de mecanismos y herramientas que ayuden a resguardar la información ya que en
caso de caer en manos incorrectas podía ocasionar daños a la imagen y credibilidad.

En el mismo contexto, el desarrollo de esta investigación beneficiará a la empresa

Asesorías contables y revisoría fiscal JAA SAS como usuario final, ya que le permitirá a la misma
tomar decisiones de carácter importante sobre el estado de seguridad de su información y generar
medidas que garanticen el manejo seguro de la misma, evitando demandas y pérdidas financieras.
Por otro lado, beneficiará a todas aquellas empresas, grupos, sociedades, entre otras
organizaciones, que podrán basarse en el análisis generado para crear conciencia del estado de
seguridad de su información.

1.2.2 Pregunta de investigación

¿Cómo mitigar los riesgos que causan la fuga de información en la empresa Asesorías
contables y revisoría fiscal JAA SAS?

15
1.3 JUSTIFICACIÓN

La fuga de información es un problema que ha venido tomando fuerza en la actualidad.

Uno de los incidentes presentados por este evento, fue en el año 2007 donde se vio comprometido
un centro médico de Bilbao en España debido a un error accidental de un empleado que publico
alrededor de 11300 historias clínicas donde 400 de ellas son casos de aborto. Esta fuga de
información causo que el centro médico fuera multado pagando la suma de 150.000 euros. Una
vez detectada esta falencia, la compañía fortaleció sus controles de seguridad. (Moyano, 2007)

El desarrollo del presente proyecto, busca establecer las fuentes que permiten la
manifestación de este incidente de seguridad que cada día va tomando más fuerza y trae mayor
impacto en las compañías. Al identificar y entender las diferentes causas que pueden usarse para
llevar a cabo la fuga de información, se podrán utilizar los mecanismos adecuados para la
prevención, manejo y concientización a los empleados de las organizaciones para disminuir este
riesgo.

Al evidenciar cuales son los riesgos que causan la fuga de información en Asesorías
contables y revisoría fiscal JAA SAS, se lograra establecer procedimientos, mecanismos,
herramientas y controles que eviten que la información establecida como confidencial salga de la
compañía sin autorización.

El proceso de investigación beneficiara a la compañía, dado que, al encontrar las fuentes

de fuga de información, se podrán tomar controles para evitar que la información confidencial
caiga en manos no deseadas que utilicen esta información inadecuadamente, causando demandas
y pérdidas financieras que afecten directamente el buen nombre de Asesorías contables y revisoría
fiscal JAA SAS.

16
1.4 OBJETIVOS

1.4.1 Objetivo general

Realizar un análisis de riesgos para identificar las causas que generan fuga de información
en la empresa Asesorías contables y revisoría fiscal JAA SAS.

1.4.2 Objetivos específicos

 Caracterización de activos y amenazas en la empresa Asesorías contables y revisoría fiscal

JAA SAS.

 Caracterización de las medidas de seguridad asociadas a la prevención de la fuga de

información.

 Evaluar los riesgos encontrados con el fin de establecer su nivel de criticidad.

 Presentar los resultados del análisis de los principales factores de fuga de información en
la empresa Asesorías contables y revisoría fiscal JAA SAS.

17
 2 MARCOS DE REFERENCIA

2.1 MARCO CONCEPTUAL

Figura 2.1 Mapa conceptual

18
 En este trabajo de grado se utilizan conceptos que aquí se definirán para ayudar a entender
el enfoque y la temática del mismo.

Software. “Software es todo programa o aplicación creada o desarrollada para realizar una
tarea específica”.1

Hardware. El hardware hace referencia a cualquier componente físico que interactúa de

alguna manera con el computador.

Seguridad Informática. Se refiere a las características y condiciones de sistemas de

procesamiento de datos y su almacenamiento, para garantizar su confidencialidad,
integridad y disponibilidad.

Seguridad de la información. Cuando existe una información y la misma tiene una

relevancia especial en un contexto determinado y que, por tanto, hay que proteger.

Fuga de información. Es el incidente que pone en poder de una persona ajena a la

organización, información confidencial y que sólo debería estar disponible para integrantes
de la misma (tanto todos como un grupo reducido)” (BORTNIK, 2010)

Riesgo informático. Un riesgo es un problema potencial que puede ocurrir en un proceso

de la organización o entidad.

Tecnología. “Es la aplicación coordinada de un conjunto de conocimientos (ciencia) y

habilidades (técnica) con el fin de crear una solución (tecnológica) que permita al ser
humano satisfacer sus necesidades o resolver sus problemas". (Areatecnología)

Activo: Se considera un activo a aquello que es de alta validez y que contiene información
de vital la cual es importante proteger.

Amenaza: Se define como un peligro potencial a la información a sistema. Una amenaza

se presenta cuando un atacante identifica una vulnerabilidad sobre un activo y es usada
para generar daños que afectan la compañía.

Vulnerabilidad: Una vulnerabilidad es una debilidad a nivel de software, hardware,

procedimientos o error humano que permite a un atacante aprovecharla para causar daño.
La vulnerabilidad de caracteriza por ausencia en controles de seguridad que permite ser
explotada.

19
Por ejemplo, una vulnerabilidad a nivel de software se puede presentar a nivel de sistema
operativo, en donde la no actualización a últimas versiones o instalaciones de parches
permiten generar huecos de seguridad que son aprovechados por un atacante.

Riesgo: Grado de exposición de un activo que cual permite la materialización de una

amenaza ocasionando daños a la compañía

Probabilidad: Estimación de ocurrencia de una evento el cual está relacionado a

características de las vulnerabilidades presentadas y el origen de la amenaza.

E-mail: Sistema que permite el intercambio de mensajes entre distintas computadoras

interconectadas a través de una red interna o internet.

Impacto: consecuencia generada a partir de la materialización de una amenaza. El impacto

es clasificado de acuerdo al daño que produce sobre el activo la cual puede ser alta, media
o baja.

Política de seguridad: Reglas establecidas, de acuerdo al comportamiento de los usuarios

y de los atacantes que permiten minimizar ataques hacia los activos de la información. Las
políticas van de la mano con el modelo de seguridad corporativo y son independientes de
las demás organizaciones ya que su objetivo es cubrir las necesidades y requerimientos
específicos de cada empresa.

Controles: Son aquellos mecanismos utilizados para monitorear y controlar acciones que
son consideradas sospechosas y que pueden afectar de alguna manera los bienes de la
compañía.

Riesgo residual: Se denomina riesgo residual al riesgo remanente como resultado de la

aplicación de medidas de seguridad sobre el activo.

Contramedida: Practica que reducen los riesgos identificados sobre los activos, Estas
acciones permiten disminuir el impacto a la probabilidad de ocurrencia. Generalmente
consiste en la instalación de dispositivos que mitiguen las amenazas, y mediante la
configuración adecuada de parámetros permiten establecer un nivel de seguridad.

Análisis de riesgos: Método que permite la identificación de las amenazas y

vulnerabilidades que ponen en riesgo los activos de información, y estima los posibles
riesgos que pueden causar si una amenaza llega a materializarse.

Tratamiento del riesgo: Aplicación de las medidas adecuadas que permitan minimizar o
mitigar el grado de los riesgos encontrados en un análisis de riesgos realizado previamente.

20
2.2 MARCO TEÓRICO
Para poder identificar cuáles son los riesgos que causan la fuga de información, es necesario
seguir una metodología que permita una adecuada gestión de la seguridad de la información.
Actualmente existe las normas OCTAVE, MAGERIT ISO 27001:2013 y la norma ISO 31000.

Figura 2.2 Marco Teórico

21
2.2.1 OCTAVE

Operationally Critical Threat, Asset, and Vulnerability Evaluation (OCTAVE), es una técnica
de planificación y consultoría estratégica basada en riesgos cuyo enfoque está orientado a los
riesgos operativos, estado a nivel de tecnología y las prácticas de seguridad. (Huerta, 2012)

Muchas veces el análisis de riesgos es enfocado a la identificación y control de los riesgos de

la infraestructura y no se tienen en cuenta otros parámetros que también son causales de riesgos
y que tienen el mismo impacto para los activos. Octave centra sus estudios en los riesgos
organizacionales dentro de las compañías, verificando todos los aspectos que interactúan con
los bienes de gran valor minuciosamente lo que conlleva a un seguimiento diario de los
procesos. De esta forma, Octave verifica el funcionamiento de los bienes, analiza cómo está
constituida la infraestructura y como esta es usada para la protección de los activos y valida
las políticas de seguridad existentes con la finalidad de cumplir los objetivos de las empresas.

FASES

El método OCTAVE maneja tres fases para examinar la estructura de la organización y la

tecnología permitiendo la comprensión de las necesidades en la seguridad de la información.
A continuación, se describe en que consiste las fases del método OCTAVE:

Figura 2.3 Fases Metodología OCTAVE

22
2.2.2 METODOLOGÍA MAGERIT (METODOLOGÍA DE ANÁLISIS Y GESTIÓN DE
RIESGOS DE IT)

MAGERIT es la metodología de análisis y gestión de riesgos elaborada por el consejo superior

de administración electrónica, que investiga los riesgos que soportan los sistemas de
información y el entorno asociado. Con base a esto, se realiza un análisis de riesgos donde se
realiza una evaluación del impacto que puede causar la materialización de una amenaza sobre
el sistema de información y así determinar la vulnerabilidad que es aprovechada para ser
explotada. (PAe)

Los resultados obtenidos del análisis de riesgos permitirán la generación de recomendaciones

de acuerdo a las mejores prácticas en seguridad cuyo objetivo es la prevención, mitigación,
reducción o evitar los riesgos identificados previamente minimizando daños.

Figura 2.4 Metodología MAGERIT. “Tomada de

https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_M
agerit.html#.WC0gW_rhDIU”

23
Método de Análisis de Riesgos:

Este método consta de 4 fases generales:

MAR.1 caracterización de los activos: Se identifican los activos más críticos de la organización
verificando su relación entre los activos y su valor.

Tabla 2.1 MAR.1 Caracterización de activos - Metodología MAGERIT

MAR.2 Caracterización de las amenazas: Identificación y valorización de amenazas La

categorización se realiza de acuerdo al impacto y la probabilidad de ocurrencia. Como
resultado, se obtiene un mapa de riesgos.

24
 Tabla 2.2 MAR.2 Caracterización de amenazas - Metodología MAGERIT

MAR.3 Caracterización de las medidas de seguridad: Identificación y valoración de las medidas

de seguridad existentes proporcionando una calificación por su efectividad frente a las
amenazas. Esta actividad comprende la aplicabilidad de cada una de las tecnologías de
seguridad para la prevención de amenazas e identificación de deficiencias en el sistema.

Tabla 2.3 MAR.3 Caracterización medidas de seguridad – metodología MAGERIT

MAR. 4 Estimación del estado del riesgo: Resultados de las actividades que determinan el
estado de riesgo (impacto, probabilidad), y las deficiencias encontradas en las medidas de
seguridad establecidas.

25
 Tabla 2.4 MAR.4 Estimación del Riesgo – Metodología MAGERIT

2.2.3 ISO/IEC 27001:2013

ISO 27001 es una norma desarrollada por la ISO y la IEC que proporciona un modelo para la
organización de un sistema de gestión de seguridad de la información en las organizaciones el cual
se rige por un conjunto de procesos para establecer, implementar, mantener y mejorar el SGSI de
las empresas. (ISO 27000)

La norma ISO 27001 surge a partir de la norma BS 7799 -1 creada en 1995 donde su enfoque es
mostrar las buenas prácticas para la gestión de la seguridad de la información.
Hacia el año 1998 fue publicada la norma BS 7799 -2 que establece una serie de requisitos que un
sistema de gestión de seguridad de la información debe cumplir para obtener la certificación por
una entidad externa. En el año 2005 se integraron las dos partes de la norma BS 7799 para definir
el estándar ISO 27001

A través del uso de la presente norma, podremos formular contramedidas para el aseguramiento
de la información en las organizaciones. LA norma ISO 27002:2013 se encuentra alrededor de 133
controles con los cuales podemos guiarnos para dar recomendaciones teniendo en cuenta en lo
estipulado en la norma y no en la experiencia.

26
 Figura 2.5 ISO 27001:2013

2.2.4 ISO 31000:2009

La norma ISO 31000 está orientada para proporcionar los principios integrales y directivas
correspondientes con la finalidad de dar gestión al riesgo a partir de un análisis y evaluación
de los mismos, así mismo, la norma brinda las mejores prácticas de gestión para garantizar la
protección y seguridad de la información en las organizaciones.

La presente norma busca mejorar la eficiencia corporativa, incentivando la gestión proactiva

en todas las áreas del negocio con el fin de minimizar las pérdidas.

27
 Figura 2.6 ISO 31000. “Tomada de
http://www.isaca.org/chapters8/Montevideo/cigras/Documents/cigras2011-cserra-
presentacion1%20modo%20de%20compatibilidad.pdf”

Para efectos de nuestro proyecto, vamos a realizar el análisis de riesgos basado la

metodología MAGERIT con el fin de realizar el análisis y gestión de los riesgos.

28
2.3 MARCO JURIDICO

Figura 2.7 Marco Jurídico

Para garantizar una viabilidad normativa, la ejecución de este análisis de riesgos debe estar
acorde con los requisitos legales y normativos de la actualidad.

La normatividad en la cual nos basamos para ejecutar este análisis de riesgos de la manera
más adecuada es la siguiente:

Privacidad y confidencialidad: Cualquier investigación que contenga datos de carácter

personal tiene que cumplir con la legislación de protección de datos, en Colombia las leyes que
regulan estos aspectos son:

29
 Protección de Datos Personales

 Ley 1581 de 2012

“La presente ley tiene por objeto desarrollar el derecho constitucional que tienen todas las
personas a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en
bases de datos o archivos, y los demás derechos, libertades y garantías constitucionales a que se
refiere el artículo 15 de la Constitución Política; así como el derecho a la información consagrado
en el artículo 20 de la misma”. (Congreso de la republica, 2012)

Derechos de autor

 Ley 23 de 1982

Los autores de obras literarias, científicas y artísticas gozarán de protección para sus obras
en la forma prescrita por la presente Ley y, en cuanto fuere compatible con ella, por el derecho
común. También protege esta Ley a los intérpretes o ejecutantes, a los productores de programas
y a los organismos de radiodifusión, en sus derechos conexos a los del autor. (Alcaldia de Bogotá,
1982)

 Ley 1403 de 2010

Por la cual se adiciona la Ley 23 de 1982, sobre Derechos de Autor, se establece una
remuneración por comunicación pública a los artistas, intérpretes o ejecutantes de obras y
grabaciones audiovisuales o “Ley Fanny Mikey”.

Desde el momento en que los artistas, intérpretes o ejecutantes autoricen la incorporación

de su interpretación o ejecución en una fijación de imagen o de imágenes y sonidos, no tendrán
aplicación las disposiciones contenidas en los apartes b) y c) del artículo 166 y c) del artículo 167
anterior. (Alcaldia de Bogotá, 1982)

30
 Delitos Informáticos

 Ley 1273 de 2009

El 5 de enero de 2009, el Congreso de la República de Colombia promulgó la Ley 1273

“Por medio del cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado –
denominado “De la Protección de la información y de los datos”- y se preservan integralmente los
sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras
disposiciones”.

Dicha ley tipificó como delitos una serie de conductas relacionadas con el manejo de datos
personales, por lo que es de gran importancia que las empresas se blinden jurídicamente para evitar
incurrir en alguno de estos tipos penales.

Privacidad y confidencialidad: Cualquier investigación que contenga datos de carácter

personal tiene que cumplir con la legislación de protección de datos, en Colombia la ley que regula
estos aspectos es

31
 3 METODOLOGÍA

3.1 FASES DEL TRABAJO DE GRADO

Para lograr cumplir el desarrollo de esta investigación y con ello su alcance, se han definido
las siguientes fases: la fase de planeación, la fase de ejecución y la de verificación y control. En la
primera fase se desarrolla la propuesta y el anteproyecto los cuales, siendo aprobados, dan vía a la
segunda fase que se consolida en el desarrollo de las tareas para cumplir cada uno de los objetivos
planteados. La fase final correspondiente a la verificación y mejora es una fase que se aplica desde
la fase de planeación con el fin de tomar acciones correctivas sobre el desarrollo de las tareas que
así lo exijan.

3.2 INSTRUMENTOS O HERRAMIENTAS UTILIZADAS

Las técnicas e instrumentos que se implementan para realizar esta investigación y lograr
desarrollar cada uno de los objetivos es el análisis de los procesos de la empresa y la
documentación asociada al tema de la problemática. Lo anterior se debe a que la información es
obtenida mediante la indagación y la observación de los procesos de Asesorías contables y
revisoría fiscal JAA SAS y otros estudios realizados. También se realizarán reuniones puntuales
para conocer los procesos de la empresa y entrevistas para observar como asumen los empleados
los procesos. Por último, se realizará el análisis y gestión de riesgos basándonos en la metodología
Magerit v.3 y para la formulación de contramedidas, nos guiaremos bajos las recomendaciones y
mejores prácticas de la norma ISO 27001:2013.

32
 4 DESARROLLO (NUMERALES PROPIOS DEL DESARROLLO)

Para dar cumplimiento a los objetivos definidos en el proyecto de grado, realizamos un

levantamiento de información acerca de los procesos, procedimientos, inventarios y demás
información con el fin de realizar la caracterización de los activos e identificar las amenazas
asociadas a los mismos.

Para ello, tomamos como base la metodología MAGERIT para llevar a cabo la
caracterización de los activos donde es de suma importancia la información recolectada.

4.1 LEVANTAMIENTO DE INFORMACIÓN

A continuación, se relacionan los documentos entregados por Asesorías Contables y

Revisoría Fiscal JAA SAS para llevar a cabo la actividad:

 Estructura Organizacional
 Procesos y procedimientos contabilidad
 Procesos y procedimientos declaración de renta.
 Inventario
 Procedimiento para el mantenimiento de equipos.
 Manual políticas de protección de datos personales.
 Mapa de procesos.
 Política de seguridad informática
 Procedimiento servicios de auditoría y revisoría fiscal
 Entrevista

33
4.1.1 ESTRUCTURA ORGANIZACIONAL

En la figura 4.1 se encuentra la estructura organizacional de la compañía:

Nivel estratégico Nivel Táctico Nivel Operativo

Figura 4.1 Estructura Organizacional

34
4.1.2 MAPA DE PROCESOS

El mapa de procesos de JAA SAS establece los procesos que la empresa tiene
establecidos para el cumplimiento de los objetivos. En la figura 4.2 se encuentra el
diagrama de procesos:

Figura 4.2 Mapa de Procesos

4.1.3 ENTREVISTA.

Durante el levantamiento de información, se llevó a cabo entrevistas con el administrador

y jefe de sistemas para aclarar inquietudes y conocer en detalle el funcionamiento de la compañía
y como fortalecen la seguridad de la información a través de procesos, procedimientos y
mecanismos. Referente a estos temas, el Ingeniero José Moreno nos brindó la siguiente
información:

35
 A que se dedican: Servicios de auditoría, contabilidad, revisoría fiscal y servicio tributario.

Cantidad de empleados: 43 empleados

Normatividad: Se rigen por la ley 1581 de 2012 (Protección de datos personales), el

decreto 1377 y control de calidad a través de la ISO 9000.

Área de sistemas:

 Encargada de realizar mantenimiento y backup.

 Manejan formatos de privacidad.

 Políticas y acuerdos de confidencialidad.

 En el contrato de trabajo especifican los roles, funciones y responsabilidades.

 Maneja una política de interna de seguridad, pero no está formalizada.

 No hay programas de concientización enfocada a los empleados y de acuerdo al rol que

desempeñan.

 1 persona realiza todas las labores, en caso de enfermedad o cualquier evento no

planeado, no tiene personal de apoyo (backup).

EQUIPOS INFORMATICOS

 Servidor de datos, telefonía y cámaras.

36
 EQUIPOS TELECOMUNICACIONES

 Firewall DLINK

 Consola Antivirus: Control de navegación.

 Switch (No hay controles de seguridad habilitados. Asignación de IPs de manera

estática).

 Equipo Backup (Servidor espejo)

 No hay controlador de dominio

 Equipos con sistema operativo Windows XP, Windows vista (home, profesional,
Premium). No cuentan con permisos de administrador.

 Realizan auditorías internas y externas para proceso crítico (contabilidad)

Roles y perfiles: Los usuarios pueden visualizar la información de todas las carpetas.

 No hay trazabilidad de lo que hacen los usuarios con la información.

Impresora: Solicita usuario y contraseña para sacar copias a documentos, pero no para
imprimir.

Red Inalámbrica

Tienen definidos 2 SSID que son utilizados de la siguiente manera:

SSID Corporativa: Utilizada por gerentes y computadores portátiles autorizados.

37
 SSID Invitados: Red con salida a internet diferente a la corporativa. Utilizada para
dispositivos móviles y visitantes (Todos los dispositivos móviles sin excepción se conectan al
SSID en mención).

ACCESO REMOTO

No manejan VPNs, utilizan la funcionalidad de escritorio remoto nativa del servidor y se

conectan por la dirección IP pública.

PROCESOS CRITICOS

Programa contable

INFRAESTRUCTURA:

Empresa ubicada en el tercer piso. Acceso a las instalaciones es a través de la recepción

(solicitan documento, persona a quien visita.) Ingreso a través de tarjeta inteligente.

Ingreso a las oficinas: recepción JAA SAS

CENTRO DE DATOS

A nivel físico se observa que las condiciones físicas del centro de datos no son adecuadas:

 Puerta de acceso de madera con cerradura tipo pomo Dublín.

 La pared no está construida hasta el techo por tanto es un punto de ingreso.

 No hay techo falso.

38
  Se encuentra una escalera sobre la pared de acceso al centro de datos.

 El rack de comunicaciones no tiene la puerta instalada por temas de calentamiento de

equipos.

 No hay sistema de refrigeración en el centro de datos.

 En caso de falla de impresora principal se deja abierto el ingreso al centro de datos para
que los usuarios puedan imprimir, sin realizar ningún tipo de registro de acceso.

4.2 CARACTERIZACIÓN DE ACTIVOS.

Realizamos el análisis de la información recolectada, con el fin de identificar los activos

de JAA SAS. En las tablas 4.3 y 4.4 se encuentran los activos relacionados:

PROCESOS PERSONAS

Planeación Estratégica Gerente General

Dirección Gerencial Gerente Administrativo y Financiero
Director de Servicio de Auditoria y Revisoría
Mejoramiento de Calidad
Fiscal
Desarrollo Comercial Director de Servicio de Contabilidad
Servicio de Auditoria y Revisoría Fiscal Líder de Servicio de Contabilidad
Servicio de Contabilidad Asistente de Servicio de Contabilidad
Servicio Asesoría Tributaria y Legal Auxiliar de Servicio de Contabilidad
Declaración de renta Director Servicios Tributaria y Legales
Talento Humano Líder de Servicios Tributarios y Legales
Administrativo Asistente de Servicios Tributarios y Legales
Control Interno Usuarios de Computo

39
 Administrador redes seguridad y soporte técnico
Ingeniero de sistemas
Auditor sénior
Auditor Junior
Psicóloga
Abogado Líder
Abogado Junior

Tabla 4.1 Caracterización de los Activos.

EQUIPOS E
INFORMACIÓN SOFTWARE
INFORMACIÓN

Equipos de Cómputo
Sistemas de Información Software de contabilidad
(computadores, teléfonos)

Equipos Comunicaciones Software de documentación.

Datos de información.
(router, switch, Access point) (Excel, Word, PowerPoint)

Centro de monitoreo
(Cámaras, servidor de Bases de datos Software antivirus.
cámaras).

Documentos físicos
Centro de Comunicaciones (contratos, balances, Software de Comunicación.
folios)

Software de circuito cerrado de

Servidores (Datos, voz) Carta a la gerencia
cámaras.

Centro de Datos Dictamen

Unidades externas de
información

40
 Tabla 4.2 Caracterización de los Activos.

4.2.1 DEPENDENCIA ENTRE ACTIVOS

Se hace una valoración “rápida y aproximada” común para todos los activos en el dominio.
Es más rápido que la valoración por dependencias. Usando este método, todos los activos en el
dominio reciben los mismos valores.

Los activos definidos dependen directamente de los dominios definidos en este caso todos
los procesos que se manejan en la compañía Asesorías Contables y Revisoría Fiscal JAA SAS.

Figura 4.3 Dependencia entre activos Tomada de la Herramienta Pilar versión 5.4.9
Licencia de evaluación

41
4.3 CARACTERIZACIÓN AMENAZAS

Para realizar la caracterización de las amenazas, es necesario conocer las vulnerabilidades

asociadas a los activos de información. En la tabla 4.3 se encuentra relacionadas las
vulnerabilidades encontradas y las amenazas que puede aprovechar un atacante con fines
maliciosos

VULNERABILIDADES AMENAZAS

El servidor y los equipos de Comunicaciones

Acceso no autorizado a equipos e información.
se encuentran en un área de fácil acceso.

Ausencia de logs de las operaciones de

Uso no autorizado de equipos
usuarios

No hay directorio activo ni controlador de

Uso no autorizado de equipos
dominio.

Ausencia de políticas de contraseña. Contraseñas débiles.

Las sesiones de los computadores no son bloqueadas

Falta de concientización de los empleados.
por los usuarios al levantarse de los equipos

No hay autenticación para imprimir

Impresiones no autorizadas
información.

La información no está clasificada de acuerdo

Acceso no autorizado
a su nivel de criticidad.

No se cifra la información que es enviada a

Interceptación de la información.
través del correo electrónico corporativo.

No hay registro de las carpetas físicas de los

Hurto de medios o documentos
clientes prestadas a los empleados.

Falta de concientización de los empleados. Divulgación de información confidencial.

Presencia de correo basura Inyección de malware

Los equipos informáticos no manejan cifrado. Hurto de equipos

42
Hay un único administrador de tecnología. Manipulación de la información sin supervisión.

Tabla 4.3 Cuadro comparativo vulnerabilidades – amenazas.

4.4 CARACTERIZACIÓN MEDIDAS DE SEGURIDAD ACTUALES ASOCIADAS A

LA PREVENCIÓN DE LA FUGA DE INFORMACIÓN.

Validando con el administrador de sistemas las medidas de seguridad actuales que se

encuentran implementadas en JAA SAS se encuentran:

Antivirus: Herramienta cuya funcionalidad mitiga la ejecución de software malicio en los

equipos corporativos de la compañía y evita su propagación.

Control de Dispositivos: Ino de los medios más propensos para la propagación de virus y
malware son los dispositivos extraíbles. Al utilizar una herramienta de control de dispositivos, se
asegura los equipos conectados a la red ya que bloquea los dispositivos USB de almacenamiento
Extraíble

Control de Navegación: Evita que los usuarios a través de los exploradores de Internet
ingresen a sitios catalogados como malintencionados por la herramienta, adicionalmente bloquea
categorías específicas de navegación, como correo web, evitando que los usuarios compartan
información a través de sitios web o a través de sus correos personales.

Controles de acceso al servidor de Archivos: Se tienen controles de acceso lógico y

perfiles de acceso a la información compartida en las carpetas del servidor de archivos.

Controles de acceso a los equipos: Todos los usuarios cuentan con un usuario y
contraseña para el acceso a los equipos.

43
 Acuerdo de Confidencialidad: se establece la información confidencial y hasta que
niveles cada empleado la puede acceder.

Firewall: Permite el Bloqueo de acceso no autorizado desde fuera de la Compañía.

Acceso biométrico a las instalaciones de la compañía a través de registro (toma de huella

y foto) e ingreso a las instalaciones por medio de lectura de huella.

4.5 IDENTIFICACIÓN Y VALORACIÓN DE RIESGOS

Una vez identificados los activos y las amenazas, procedemos con la identificación de los
riesgos, Para ello; es importante mencionar que el riesgo es la probabilidad de que se materialice
una amenaza, afectando el logro de los objetivos y metas de una organización.

R RIESGO Es la probabilidad de que se materialice una amenaza

C= CONSECUENCIA

P= PROBABILIDAD

R=CXP

Materialización del Riesgo = Fuga de Información

44
4.5.1 RIESGOS IDENTIFICADOS

RIESGOS IDENTIFICADOS

Fuga de Información por impresión de información confidencial realizada por usuarios no autorizados.

Fuga de Información por no tener trazabilidad de las operaciones de usuarios.

Fuga de Información por uso inadecuado de contraseñas.

Fuga de Información por no tener trazabilidad de la información impresa por parte de los usuarios.

Fuga de Información por no tener trazabilidad de las carpetas físicas que se prestan a los empleados

Fuga de Información por acceso sin restricción al centro de datos por parte de los empleados de la
compañía.

Fuga de Información por no clasificación de la información de acuerdo a su criticidad.

Fuga de Información por utilización de sistema operativo (WXP) que ya no es soportado por el fabricante

Fuga de Información por no cifrar la información que es enviada a través del correo electronico
corporativo.

Fuga de Información por no cifrado de información alojada en los computadores de la compañía.

Fuga de Información por el no bloqueo de la sesión del computador, al levantarse de los puestos de
trabajo.

Fuga de Información porque no se cuenta con módulos anti spam dedicados 2C.

Tabla 4.4 Riesgos Identificados.

45
4.5.2 VALORACIÓN DE RIESGOS

Matriz de valoración de riesgos

1 2 3 4 5
Sucede varias Sucede varias
No ha ocurrido en Ha ocurrido en Ha ocurrido en
veces por año en la veces por año en el
la industria la Industria la empresa
empresa área
5 5 10 15 20 25
4 4 8 12 16 20
3 3 6 9 12 15
2 2 4 6 8 10
1 1 2 3 4 5
0 0 0 0 0 0

Tabla 4.5 Matriz de Valoración de Riesgos.

CONSECUENCIA
No. Descripción
0 Ninguna afectación
1 Fuga de un documento
2 Fuga de Información publica
3 Fuga de Información reservada
4 Fuga de información confidencial
5 Fuga de información ultra secreta

Tabla 4.6 Consecuencia.

PROBABILIDAD
1 No ha ocurrido en la industria
2 Ha ocurrido en la Industria
3 Ha ocurrido en la empresa
4 Sucede varias veces por año en la empresa
5 Sucede varias veces por año en el área

Tabla 4.7 Probabilidad.

46
 Para la valorización de los riesgos se toman los siguientes valores

 Si la calificación del riesgo esta de 0 a 4 el riesgo es Bajo

 Si la calificación del riesgo esta de 5 a 14 es Medio
 Si la calificación del riesgo esta de 15 a 24 es Alto
 Si la calificación del riesgo es 25 es Muy Alto

4.5.3 RIESGO VALORACION Y CONTROLES

De acuerdo a la escala definida para realizar la valoración de riesgos, en la tabla 4.8 se

encuentra relacionada el riesgo, el nivel de criticidad y los controles recomendaos de acuerdo a las
mejores prácticas de la norma ISO 27001.

RIESGO - VALORACIÓN – CONTROLES

CONTROLES ISO
ID RIESGO VALORACIÓN CRITICIDAD CONTROLES
27001

Implementar autenticación para la impresión

de documentos.
Fuga de Información por
RI-ADM- impresión de información
25 Muy Alto
001 confidencial realizada por
empleados de la Compañía Data Loss Prevention

47

Fuga de Información por no
RI-ADM-
tener trazabilidad de las
002
operaciones de usuarios.
RI-ADM- Fuga de Información por uso
003 inadecuado de contraseñas.
Fuga de Información por no
RI-ADM- tener trazabilidad de la
004 información impresa por parte
de los usuarios.
Se debe contar con un proceso formal, el cual
debe ser comunicado, para
A 7.2.3 emprender acciones contra empleados que
hayan cometido una violación
a la seguridad de la información.
Implementación de Directorio Activo
Se deben elaborar, conservar y revisar
regularmente los registros
A 12.4.1 acerca de actividades del usuario,
excepciones, fallas y eventos de
seguridad de la información.
Las actividades del administrador y del
operador del sistema se deben
A 12.4.3
registrar, y los registros se deben proteger y
revisar con regularidad.
15 Alto
Las instalaciones y la información de registro
A 12.4.2 se deben proteger contra
alteración y acceso no autorizado.
Los relojes de todos los sistemas de
procesamiento de información
pertinentes dentro de una organización o
A 12.4.4
ámbito de seguridad se deben
sincronizar con una única fuente de referencia
de tiempo.
Implementación Directorio Activo
15 Alto
Los sistemas de gestión de contraseñas deben
A 9.4.3 ser interactivos y deben
asegurar la calidad de las contraseñas.
Configuración en las Impresoras los usuarios
15 Alto asociados a los números de documento y
generación de log de trazabilidad
48
 Fuga de Información por no
tener trazabilidad de las
15
carpetas físicas que se prestan
a los empleados
Establecer Planilla de Registros con firma de
Alto
entrega y devolución

Se deben definir y usar perímetros de

seguridad, y usarlos para proteger áreas
A 11.1.1 que contengan información confidencial o
crítica, e instalaciones de manejo de
información.
Fuga de Información por
RI-ADM- acceso sin restricción al centro
10 Medio
005 de datos por parte de los
empleados de la compañía.

Las áreas seguras se deben proteger mediante

controles de acceso
A 11.1.2 apropiados para asegurar que solo se permite
el acceso a personal
autorizado

La información se debe clasificar en función

de los requisitos legales, valor,
A 8.2.1
criticidad y susceptibilidad a divulgación o a
modificación no autorizada

Se deben identificar, documentar e

Fuga de Información por no
RI-ADM-
clasificación de la información
006
de acuerdo a su criticidad.
implementar reglas para el uso aceptable de
A 8.1.3 información y de activos asociados con
información e instalaciones de
procesamiento de información.
10 Medio

Se debe desarrollar e implementar un conjunto

adecuado de procedimientos para el
A 8.2.2 etiquetado de la información, de acuerdo con
el esquema de clasificación de
información adoptado por la organización.

49
 Se deben desarrollar e implementar
procedimientos para el manejo de activos, de
A 8.2.3 acuerdo con el esquema de clasificación de
información adoptado por la
organización.

Fuga de Información por

Aislarlos de la red corporativa o actualizarlos
RI-ADM- utilización de sistema
10 Medio a una versión de Windows que tenga
007 operativo (WXP) que ya no es
actualizaciones a la fecha
soportado por el fabricante

emplear herramienta de cifrado ejemplo(

Winrar Con contraseña), o la que se desee
utilizar

Se debe desarrollar e implementar una política

Fuga de Información por no sobre el uso de controles
RI-ADM- cifrar la información que es A 10.1.1
10 Medio criptográficos para la protección de la
008 enviada a través del correo información.
electrónico corporativo.

Se debe proteger adecuadamente la

A 13.2.3 información incluida en la mensajería
electrónica.

Emplear herramienta de Cifrado de Discos

duros( Windows trae BitLocker) o la que se
dese utilizar

Fuga de Información por no

RI-ADM- cifrado de información alojada
10 Medio
009 en los computadores de la
compañía. Se debe desarrollar e implementar una política
sobre el uso de controles
A 10.1.1
criptográficos para la protección de la
información.

50
 Todos los empleados de la organización, y en
donde sea pertinente, los
contratistas, deben recibir la educación y la
formación en toma de
A 7.2.1
conciencia apropiada, y actualizaciones
regulares sobre las políticas y
procedimientos de la organización pertinentes
para su cargo.

Fuga de Información por el no

RI-ADM- bloqueo de la sesión del
4 Bajo
010 computador, al levantarse de
los puestos de trabajo.

A 7.2.2
La dirección debe exigir a todos los
empleados y contratistas la aplicación
de la seguridad de la información de acuerdo
con las políticas y
procedimientos establecidos por la
organización.

A 11.2.9 Se debe adoptar una política de escritorio

limpio para los papeles y medios
de almacenamiento removibles, y una política
de pantalla limpia en las
instalaciones de procesamiento de
información.

Tabla 4.8 Riesgo, Valoración y Controles.

51
4.5.4 RESULTADOS DEL ANALISIS

Al realizar esta investigación, y después de haber evaluado los riesgos, relacionamos los
resultados del análisis de riesgos realizado.

El factor más alto que genera el riesgo de fuga de información en la compañía Asesorías
contables y revisoría fiscal JAA SAS:

 Fuga de Información por impresión de información confidencial realizada por empleados

de la Compañía.

Esto se presenta debido a que no se cuenta con ningún control que permita monitorear las
impresiones que realizan los empleados, en las cuales puede presentarse impresiones de
documentos confidenciales y así salir de la compañía, sin que se presente ninguna trazabilidad.

Adicionalmente también se identifican también 4 riesgos altos que pueden generar que se
presente fuga de información en alto grado.

52
 A continuación, relacionamos las gráficas de los factores de fuga de Información
en la compañía.

Factores de Fuga de Informacion

Riesgo Muy Alto Riesgo Alto Riesgo Medio Riesgo Bajo

Figura 4.4 Factores de Fuga de Información

Cantidad de Riesgos

1 1

4
5

Muy alto Alto Medio Bajo

Figura 4.5 Cantidad de Riesgos

53
Controles Sugeridos para cada Riesgo

Controles Por Riesgos

3 3

12

Muy Alto Alto Medio Bajo

Figura 4.6 Controles por Riesgo

54
 5 CONCLUSIONES Y RECOMENDACIONES

 Asesorías Contables y Revisoría Fiscal JAA SAS, cuenta con algunos controles para evitar
la fuga de información en la compañía, pero estos no garantizan un alto nivel de
efectividad, dado que algunos son muy poco efectivos o simplemente no se están
ejecutando.

 Asesorías contables y Revisoría Fiscal JAA SAS, piensa que al ser una empresa pequeña
no está expuesta a ningún ataque externo o no presentara algún tipo de fuga de información
interna, pero al contrario si son exitosos los ataques contra grandes compañías, que poseen
infraestructuras de seguridad robustas, en mayor medida contra entidades con poca
infraestructura de seguridad, además cualquier compañía siempre estará expuesta a que un
empleado comparta por correo electrónico, imprima, coloque en un sitio web, o transfiera
a sus dispositivos de almacenamiento extraíble USB, información confidencial de la
compañía.

 En Colombia las pequeñas y medianas empresa no invierten en soluciones para fortalecer

la seguridad de la información, dado que al no ser el Core de negocio y como no realizan
un seguimiento acerca de los incidentes de seguridad críticos en los que tengan afectación
de tipo económico o de reputación no tienen forma de identificar de forma eficiente los
riesgos a los que están expuestos. Por esta razón, las empresas siguen trabajando con lo
que se tiene, exponiéndose a que se puedan presentar fugas de información.

 Se recomienda fortalecer la política de seguridad que maneja la compañía realizando

ajustes enfocados a los objetivos de negocio.

 Se recomienda realizar sesiones de concientización en seguridad de la información con los

empleados de la compañía.

55
 Se recomienda realizar una clasificación de la información de acuerdo a su sensibilidad y
criticidad.

 Se recomienda revisar la posibilidad de la implantación de un sistema Software DLP (Data

Loss Prevention), que garantice que la información clasificada como confidencial, no sea
enviada fuera de la compañía por funcionarios no autorizados.

 Se recomienda reforzar las medidas de control de acceso físico para ingreso al centro de
datos, colocando un sistema biométrico y llevando un control de los empleados
autorizados.

 Es importante realizar la configuración del servicio de directorio activo con el fin de tener
una trazabilidad de los movimientos que realizan los usuarios al consultar información de
la compañía. Al realizar este proceso de forma manual, se puede presentar errores de
asignación y retiro de privilegios sobre la información contenida en el servidor.

 Es importante hacer cumplir la política de seguridad, ya que su no cumplimiento puede

ocasionar perdidas de imagen y de reputación del negocio.

 Es importante que se realice un monitoreo, seguimiento y aplicación de las actualizaciones

tanto de sistema operativo de los equipos, como actualizaciones de aplicación y software
contable para evitar que un atacante pueda aprovechar estas brechas de seguridad y se lleve
a cabo la fuga de información.

 Es importante realizar actualizaciones programadas y periódicas de las firmas de antivirus,

antispyware y demás aplicaciones que ayuden en la prevención de amenazas potenciales.

 Es importante que por parte de la gerencia general y el administrador de tecnología no

pierdan de vista que la fuga de información se puede mitigar si toman los controles

56
necesarios para su aseguramiento y no olvidar que el eslabón más débil son las personas;
por tanto, no hay que perder de vista las acciones de los empleados dentro de la empresa.

57
 6 BIBLIOGRAFÍA

Alcaldia de Bogotá, S. (28 de 01 de 1982). alcaldiabogota.gov.co. Recuperado el 16 de 10 de

2016, de LEY 23 DE 1982:
http://www.alcaldiabogota.gov.co/sisjur/normas/Norma1.jsp?i=3431

AMAYA, C. G. (2015 de 01 de 08). welivesecurity. Recuperado el 15 de 03 de 2016, de

http://www.welivesecurity.com: http://www.welivesecurity.com/la-es/2015/01/08/10-
anos-fuga-de-informacion

Areatecnología. (s.f.). www.areatecnología.com. Recuperado el 29 de 04 de 2016, de

www.areatecnología.com: http://www.areatecnologia.com/que-es-tecnologia.html

BORTNIK, S. (13 de 04 de 2010). www.welivesecurity.com. Recuperado el 28 de 04 de 2016, de

www.welivesecurity.com: http://www.welivesecurity.com/la-es/2010/04/13/que-es-la-
fuga-de-informacion/

CHAMPAGNAT. (s.f.). Recuperado el 29 de 04 de 2016, de CHAMPAGNAT Dinamismos en los

sitios Web: http://www.champagnat.org/000.php?p=36

CHAMPAGNAT. (s.f.). CHAMPAGNAT Historias de las conferencias generales Web.

Recuperado el 29 de 04 de 2016, de http://www.champagnat.org/000.php?p=36

Congreso de Colombia. (04 de 01 de 2009). MINTIC. Recuperado el 25 de 09 de 2016, de

http://www.mintic.gov.co/portal/604/w3-article-3705.html

58
Congreso de la republica. (18 de 10 de 2012). secretariasenado.gov.co. Recuperado el 10 de 10
de 2016, de Ley 1581 2012:
http://www.secretariasenado.gov.co/senado/basedoc/ley_1581_2012.html

ESTUDIOSEIJO. (s.f.). www.estudioseijo.com. Recuperado el 29 de 04 de 2016, de

http://www.estudioseijo.com/noticias/web-10-web-20-y-web-30.htm

Huerta, A. (02 de 04 de 2012). www.securityartwork.e. Recuperado el 29 de 04 de 2016, de

Introducción al análisis de riesgos – Metodologías (II):
http://www.securityartwork.es/2012/04/02/introduccion-al-analisis-de-riesgos-
%E2%80%93-metodologias-ii/

ISO 27000. (s.f.). http://www.iso27000.es/. Recuperado el 10 de 05 de 2016, de

http://www.iso27000.es/

Moyano, A. C. (2007). segu-info. Recuperado el 21 de 05 de 2016, de http://blog.segu-

info.com.ar/2013/04/fuga-de-informacion-la-mayor-amenaza.html

PAe, P. (s.f.). http://administracionelectronica.gob.es. Recuperado el 06 de 05 de 2016, de

MAGERIT v.3 : Metodología de Análisis y Gestión de Riesgos de los Sistemas de
Información:
http://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/p
ae_Magerit.html

59