Gestion de la seguridad de la informacion

Carlos Rivera Balcazar.

Ciber Seguridad.

Instituto IACC.

22/07/2019.
 Introducción

El hacker ético no solo consiste en realizar intrusiones a sistemas para obtener

datos o información de alguna institución.

De nada nos sirve tener un ejercito de personas revisando nuestros sistemas si

no contamos con una política de seguridad y tener un organigrama a seguir en el
caso de un ataque.

En este modulo veremos como gestionar la información y los actores que

participan en esta tarea.
 Desarrollo

1.-

a.- No tener un plan de acción y de recuperación en caso de ocurrir un ataque o

problema en los sistemas de información.

b.- No tomar las acciones correctivas indicadas por el equipo post mortem.

c.- No haber instalado los parches de seguridad.

2.- El CEO tiene en parte culpa por no tener definido roles y no tener un plan de
acción, ya que si con anterioridad hubiera definido los planes de acción, el
personal del NOC, habría reaccionado a tiempo y haber escalado en caso de ser
necesario a los siguientes de niveles de acción.

3.- La empresa no cumplió con los estándares de recuperación, por la razón que
exitian 3 planes confeccionados por distintas áreas de la empresa donde ninguna
estaba al tanto de las otras acciones de recuperación, ademas no cumplían con
una planificación efectiva para abordar el problema, las personas a cargo de la
red y los servidores no contaban con las autorizaciones correspondientes para
tomar decisiones criticas, por ultimo el tiempo de reacción fue baste negligente ,
dado que no se le tomo la celeridad acorde al problema considerando que los
sistemas y/o redes no pueden verse afectados en su productividad.
4.- La empresa tenia como control de seguridad en equipo de monitoreo (NOC),
el cual no tenían un programa a seguir en caso de alguna eventualidad y/o
amenaza, su actuar fue basado en el temor a llamar a su jefatura durante la
madrugada, solo tenían las herramientas para monitorear los sistemas.

5.- Las métricas de seguridad que tenia esta empresa eran Bastante vagas,
puesto que ninguna de las áreas comprometidas en la seguridad estaban en
comunicación unas con otras. Ademas es inaceptable que el CEO, tuviera la
ultima palabra para poder reiniciar los sistemas.

No me parece adecuada la forma de actuar, a mi parecer y según mi experiencia

el gerente de TI debería tener todo el poder para realizar las acciones correctivas
al sistema y/o redes y delegar responsabilidades a quien corresponda y
paralelamente mantener informado al CEO.

6.-Para el caso en estudio definiría las sig. medidas de seguridad.

a.- Definir los activos que son relevantes a proteger.

b.- Evaluar los costos asociados a cada incidencia para de esta forma tener una
proyección de que forma afectara a la institución.

c.- Definir y delegar los roles de cada actor y/o departamento, para que de esta
forma poder resolver los incidentes.

d.- Tener un respaldo físico de los números telefónicos de emergencia y de los

altos cargos de la compañía.

e.- Instalar parches de seguridad cuando corresponda.

f.- Tener un plan de acción a seguir y tener bien claro los roles para realizar los
escalamientos a otras áreas según corresponda.

g.-Cada cierto tiempo coordinar reuniones donde se borden temas seguridad ,

donde puedan participar todas áreas comprometidas.
 Conclusión

En el caso estudiado pudimos ver que para ser una empresa grande con mas
45.000, esto quiere decir que existían una cantidad similar de computadores
conectados al sistema, donde el riesgo de alguna incidencia y/o ataque tenia una
alta probabilidad de vulnerabilidad. No se tenían bien definidas las políticas de
seguridad de la información.

El ejemplo nos deja un enseñanza , que por muy tediosa sea el proceso de
calcular métricas, costos, etc, de vital contar con todas estas medidas para poder
hacer que estas incidencias tengan el menor impacto posible.
 Referencias Bibliográficas

Referencias de sistema de gestion de la seguridad

http://www.iso27000.es/download/doc_sgsi_all.pdf