Caso D´Moda

El retail D´Moda ha sido absorbido por un importante grupo financiero, por lo cual hay
grandes cambios en su gobierno y estrategia. Los nuevos accionistas tienen mucha
preocupación en el manejo que se está haciendo de los datos de los clientes y las
estrategias de mercado, ya que hay sospechas de que en el pasado ha habido
exfiltración de datos sensibles que han caído en manos del principal competidor.
Asimismo, el grupo cotiza en una bolsa de valores importante a nivel global, por lo cual
tiene grandes exigencias en la seguridad de los datos, requerimientos que aplicarán a
todas las empresas que son de propiedad del grupo. Finalmente, han tomado
conocimiento de que las marcas de tarjetas están exigiendo el cumplimiento de PCI DSS
a otros retail, éste es un estándar mundial cuyo cumplimiento es exigido cuando se
almacenan, procesan o transmiten datos de tarjetas de pago.

El retail tiene 2 formas principales de comercialización, una es mediante sus

establecimientos comerciales con atención directa al público y la otra es mediante su
sitio de comercio electrónico. Al día de hoy el volumen de transacciones viene siendo
de un 85% en sus establecimientos comerciales y 15% mediante el comercio
electrónico. Los nuevos accionistas desean darle mucha fuerza al canal electrónico y
posicionarse como el retail de mayor venta a través de este canal, apuntando a tener en
el transcurso de 3 años un crecimiento en la participación del canal llegando a
representar el 25% del total de ventas. Asimismo, se espera que el crecimiento global
de ventas en 3 años sea de un 35%.

El proceso comercial, que es el proceso en el cual ocurre el total de manejo de los datos
de los clientes y la estrategia comercial, se basa en los siguientes sistemas de
información:

1. Sistema de cajas o punto de venta: este sistema ha sido brindado por un proveedor,
es el sistema que hay en todos los puntos de venta de los establecimientos a través
del cual se realiza el cobro por ventas, tanto en efectivo como con tarjetas de pago.
Para el cobro con tarjetas se usa un dispositivo externo que está conectado al
sistema de punto de venta, el cual ha sido proporcionado por un procesador de
pagos. Sin embargo, el computador del punto de venta tiene un lector de tarjetas en
donde el retail hace la lectura para asociar al titular de la tarjeta con la compra a fin
de manejar los programas de fidelización.

2. CRM: es una aplicación en la cual se gestiona completamente la información de los

clientes, incluyendo sus compras, sus datos personales, sus preferencias, fechas en
las que se han realizado las compras, costumbres de compras, etc. Todo esto a fin
de tener un conocimiento personalizado de los clientes y poder ofrecer productos y
beneficios adecuados a sus preferencias. El CRM es la aplicación clave para lograr
el mayor acercamiento al cliente y por lo tanto la fidelización.

3. Plataforma de comercio electrónico: esta es una plataforma hecha a la medida por

un proveedor especializado en implementación de estas plataformas. Mediante esta
aplicación se realizan las ventas por Internet, así como los pagos con diferentes
medios de pago, incluyendo todas las marcas de tarjetas que son aceptadas a través
del punto de venta en los establecimientos. A través de esta plataforma pasan todos
los datos del comprador que fueron solicitados durante la compra.

4. Sistema de gestión comercial: Es una aplicación in-house hecha para diversos

procesos post-venta relacionados al servicio al cliente y la contabilidad
principalmente.
Los inversionistas desean llevar a cabo las acciones necesarias para darle una gestión
adecuada a la seguridad de los datos, teniendo como alcance inicial todo el proceso
comercial debido al tipo de datos manejados en éste y a que se requiere de un proceso
sostenible para poder soportar el crecimiento deseado en los siguientes años. Para este
fin han contratado a unos especialistas en consultoría a fin de que realicen una
evaluación de riesgos de ciberseguridad en este proceso.

Como resultados relevantes de esta consultoría cabe señalar lo siguiente:

1. Sobre las aplicaciones

Aplicación Tipo Modalidad Plataforma Datos almacenados, Público

de Aplicación/BD procesados y/o en
alojamiento transmitidos Internet
Sistema Web On- .Net / MS • Nombre del titular de No
de punto premise SQL Server la tarjeta
de venta • Marca de la tarjeta
• 6 primeros y 4
últimos dígitos de la
tarjeta
• Detalle de la compra
• Descuentos
aplicados
CRM Web Cloud Se • Datos del cliente: Si
SaaS desconoce nombre, teléfono y
correo electrónico
• Productos
comprados y sus
montos
• Fecha y hora
• Campañas
personalizadas
Plataforma Web On- PHP/MySQL • Datos de la tarjeta de Si
de premise pago
comercio • Datos de la compra
electrónico • Nombre del
comprador
• Dirección
• Teléfono
Sistema Web On- PHP/MySQL • Datos de la compra No
de gestión premise • Reclamos
comercial • Devoluciones
• Liquidaciones

2. Sobre la red

• Todas las aplicaciones y bases de datos se encuentran en servidores dentro de

la red interna
• Las aplicaciones que tienen presencia en Internet cuentan con una capa de
presentación en una DMZ
• La red interna de servidores y la DMZ están separadas por un FW
• Las estaciones de usuarios se encuentran en la misma red interna que los
servidores de aplicación y BD
 • Se cuenta con un enlace a Internet para los usuarios internos, el cual cuenta con
un proxy y filtro web
• Se tiene otro enlace a Internet el cual está dedicado para las transacciones de
comercio electrónico. Este enlace cuenta con un IPS de red para su protección

3. Sobre la seguridad

• No se cuenta con una organización de seguridad ni un proceso formal de

evaluación de riesgos ni una política de seguridad
• Las aplicaciones no cuentan con medidas de seguridad como parte del ciclo de
vida de desarrollo
• Las aplicaciones públicas en Internet no cuentan con medidas de protección
específicas tal como un firewall de aplicación
• Se realiza un análisis de vulnerabilidades y test de penetración anual sobre toda
la infraestructura, por parte de un tercero. Se hace la remediación de los
hallazgos más importantes y según evaluación previa del área de Operaciones
TI
• El personal del área de Operaciones TI tiene las credenciales de acceso
privilegiado tanto a los servidores, las aplicaciones y las BD
• Las BD que contienen los datos de las aplicaciones tan solo son accedidas por
los DBA
• Los usuarios de los sistemas no pueden acceder a las BD, los accesos a los
datos son mediante el usuario de la aplicación
• No se cuenta con soluciones de monitoreo de actividad sobre las BD
• No se cuenta con soluciones de encriptación para la protección de las BD

4. Esquema de evaluación de riesgos

Impacto
Probabilidad
Muy bajo Bajo Moderado Alto Muy alto
Muy alto Muy bajo Bajo Moderado Alto Muy alto
Alto Muy bajo Bajo Moderado Alto Muy alto
Moderado Muy bajo Bajo Moderado Moderado Alto
Bajo Muy bajo Bajo Bajo Bajo Moderado
Muy bajo Muy bajo Muy bajo Muy bajo Bajo Bajo

Siendo:

Riesgo muy alto, aquél en que un evento de amenaza podría tener múltiples o graves
efectos adversos catastróficos en las operaciones de la organización, activos de la
organización, los individuos, otras organizaciones, o la Nación.
Riesgo alto, aquél en que un evento de amenaza tenga un efecto adverso grave o
catastrófico en las operaciones de la organización, los activos de la organización, los
individuos, otras organizaciones o la Nación.
Riesgo moderado, aquél en que un evento de amenaza podría tener un efecto adverso
grave en operaciones organizacionales, activos organizacionales, individuos, otras
organizaciones o la Nación.
Riesgo bajo, aquél en que un evento de amenaza podría tener un efecto adverso
limitado en operaciones organizacionales, activos organizacionales, individuos, otras
organizaciones o la Nación.
Riesgo muy bajo, aquél en que un evento de amenaza tenga un efecto adverso
insignificante en operaciones organizacionales, activos organizacionales, individuos,
otras organizaciones o la Nación.
5. Análisis y evaluación de riesgos

Probabilidad
Valoración
Nivel Activo Vulnerabilidad Amenaza de Impacto Riesgo
del Riesgo
ocurrencia
Que no se cuente con una
plataforma de comercio
No se cuenta con electrónico robusta
Atacantes
una postura de preparada para soportar un
Plataforma externos
seguridad adecuada alto crecimiento en
Estratégico de comercio buscando robar Muy alta Muy alto Muy alto
para la plataforma transacciones y pueda
electrónico los datos de
de comercio exponer a la organización
tarjetas
electrónico por compromisos de datos
de tarjetas que resulten en
fraudes
Que los datos sensibles del
No se cuenta con
negocio se vean
una postura
Datos Robo de datos comprometidos por
adecuada de
Negocio comerciales por un atacante Alta Muy alto atacantes externos y Muy Alto
seguridad de datos
y de clientes externo puedan resultar en impacto
a nivel de control de
contra la confidencialidad,
acceso y criptografía
integridad o disponibilidad
Que los datos sensibles del
No se cuenta con
negocio se vean
una postura
Datos Exfiltración de comprometidos por
adecuada de
Negocio comerciales datos por un Alta Muy alto atacantes internos y Muy Alto
seguridad de datos
y de clientes usuario interno puedan resultar en impacto
a nivel de control de
contra la confidencialidad,
acceso y criptografía
integridad o disponibilidad
Control de acceso Que usuarios internos
indebido a nivel de Usuarios internos accedan a los servidores y
Operativo Servidores Alta Alto Alto
red (falta malintencionados realicen acciones indebidas
segmentación) que puedan resultar en la
 indisponibilidad o
exfiltración de datos
Atacantes que Que los atacantes
Las credenciales busquen obtener obtengan acceso
Credenciales
son de conocimiento las credenciales privilegiados a los sistemas
Operativo de acceso Alta Alto Alto
del personal de privilegiadas lo cual podría resultar en
privilegiado
Operaciones TI para acceder a compromisos de datos
los sistemas sensibles del negocio
No se cuentan con Que las vulnerabilidades en
medidas de las aplicaciones web
Ataques de
seguridad públicas sean explotadas
Aplicaciones Internet dirigidos
Operativo específicas para Moderada Alto por amenazas provenientes Moderado
web públicas a aplicaciones
proteger las de Internet causando
web
aplicaciones problemas operacionales o
públicas extracción de datos

Ejercicio

La organización requiere que se haga un planteamiento de establecimiento de una gestión de ciberseguridad basada en el Framework de
Ciberseguridad del NIST, así como un plan de control de los riesgos identificados de una manera razonable según los objetivos de los nuevos
accionistas.