Documentos de Académico
Documentos de Profesional
Documentos de Cultura
El retail D´Moda ha sido absorbido por un importante grupo financiero, por lo cual hay
grandes cambios en su gobierno y estrategia. Los nuevos accionistas tienen mucha
preocupación en el manejo que se está haciendo de los datos de los clientes y las
estrategias de mercado, ya que hay sospechas de que en el pasado ha habido
exfiltración de datos sensibles que han caído en manos del principal competidor.
Asimismo, el grupo cotiza en una bolsa de valores importante a nivel global, por lo cual
tiene grandes exigencias en la seguridad de los datos, requerimientos que aplicarán a
todas las empresas que son de propiedad del grupo. Finalmente, han tomado
conocimiento de que las marcas de tarjetas están exigiendo el cumplimiento de PCI DSS
a otros retail, éste es un estándar mundial cuyo cumplimiento es exigido cuando se
almacenan, procesan o transmiten datos de tarjetas de pago.
El proceso comercial, que es el proceso en el cual ocurre el total de manejo de los datos
de los clientes y la estrategia comercial, se basa en los siguientes sistemas de
información:
1. Sistema de cajas o punto de venta: este sistema ha sido brindado por un proveedor,
es el sistema que hay en todos los puntos de venta de los establecimientos a través
del cual se realiza el cobro por ventas, tanto en efectivo como con tarjetas de pago.
Para el cobro con tarjetas se usa un dispositivo externo que está conectado al
sistema de punto de venta, el cual ha sido proporcionado por un procesador de
pagos. Sin embargo, el computador del punto de venta tiene un lector de tarjetas en
donde el retail hace la lectura para asociar al titular de la tarjeta con la compra a fin
de manejar los programas de fidelización.
2. Sobre la red
3. Sobre la seguridad
Impacto
Probabilidad
Muy bajo Bajo Moderado Alto Muy alto
Muy alto Muy bajo Bajo Moderado Alto Muy alto
Alto Muy bajo Bajo Moderado Alto Muy alto
Moderado Muy bajo Bajo Moderado Moderado Alto
Bajo Muy bajo Bajo Bajo Bajo Moderado
Muy bajo Muy bajo Muy bajo Muy bajo Bajo Bajo
Siendo:
Riesgo muy alto, aquél en que un evento de amenaza podría tener múltiples o graves
efectos adversos catastróficos en las operaciones de la organización, activos de la
organización, los individuos, otras organizaciones, o la Nación.
Riesgo alto, aquél en que un evento de amenaza tenga un efecto adverso grave o
catastrófico en las operaciones de la organización, los activos de la organización, los
individuos, otras organizaciones o la Nación.
Riesgo moderado, aquél en que un evento de amenaza podría tener un efecto adverso
grave en operaciones organizacionales, activos organizacionales, individuos, otras
organizaciones o la Nación.
Riesgo bajo, aquél en que un evento de amenaza podría tener un efecto adverso
limitado en operaciones organizacionales, activos organizacionales, individuos, otras
organizaciones o la Nación.
Riesgo muy bajo, aquél en que un evento de amenaza tenga un efecto adverso
insignificante en operaciones organizacionales, activos organizacionales, individuos,
otras organizaciones o la Nación.
5. Análisis y evaluación de riesgos
Probabilidad
Valoración
Nivel Activo Vulnerabilidad Amenaza de Impacto Riesgo
del Riesgo
ocurrencia
Que no se cuente con una
plataforma de comercio
No se cuenta con electrónico robusta
Atacantes
una postura de preparada para soportar un
Plataforma externos
seguridad adecuada alto crecimiento en
Estratégico de comercio buscando robar Muy alta Muy alto Muy alto
para la plataforma transacciones y pueda
electrónico los datos de
de comercio exponer a la organización
tarjetas
electrónico por compromisos de datos
de tarjetas que resulten en
fraudes
Que los datos sensibles del
No se cuenta con
negocio se vean
una postura
Datos Robo de datos comprometidos por
adecuada de
Negocio comerciales por un atacante Alta Muy alto atacantes externos y Muy Alto
seguridad de datos
y de clientes externo puedan resultar en impacto
a nivel de control de
contra la confidencialidad,
acceso y criptografía
integridad o disponibilidad
Que los datos sensibles del
No se cuenta con
negocio se vean
una postura
Datos Exfiltración de comprometidos por
adecuada de
Negocio comerciales datos por un Alta Muy alto atacantes internos y Muy Alto
seguridad de datos
y de clientes usuario interno puedan resultar en impacto
a nivel de control de
contra la confidencialidad,
acceso y criptografía
integridad o disponibilidad
Control de acceso Que usuarios internos
indebido a nivel de Usuarios internos accedan a los servidores y
Operativo Servidores Alta Alto Alto
red (falta malintencionados realicen acciones indebidas
segmentación) que puedan resultar en la
indisponibilidad o
exfiltración de datos
Atacantes que Que los atacantes
Las credenciales busquen obtener obtengan acceso
Credenciales
son de conocimiento las credenciales privilegiados a los sistemas
Operativo de acceso Alta Alto Alto
del personal de privilegiadas lo cual podría resultar en
privilegiado
Operaciones TI para acceder a compromisos de datos
los sistemas sensibles del negocio
No se cuentan con Que las vulnerabilidades en
medidas de las aplicaciones web
Ataques de
seguridad públicas sean explotadas
Aplicaciones Internet dirigidos
Operativo específicas para Moderada Alto por amenazas provenientes Moderado
web públicas a aplicaciones
proteger las de Internet causando
web
aplicaciones problemas operacionales o
públicas extracción de datos
Ejercicio
La organización requiere que se haga un planteamiento de establecimiento de una gestión de ciberseguridad basada en el Framework de
Ciberseguridad del NIST, así como un plan de control de los riesgos identificados de una manera razonable según los objetivos de los nuevos
accionistas.