CASO ESTUDIO

Karen Daniela Casasbuenas

William Andrés Gómez Tafur

Agosto 2022

Universidad Compensar

Ingeniería de Telecomunicaciones
TRANSACCIONES MICROSOFT.

Microsoft ha sido víctima en varias ocasiones de fraudes que llegaron a la cifra de

diez mil millones de dólares en cuatro meses. El fraude se llevó a cabo
aprovechando que la empresa realizaba los pagos a sus proveedores a través de
transferencias bancarias que eran generadas y lanzadas automáticamente desde su
sistema de información ERP gracias a una interfaz implementada a través de una
API con su banco. Los pagos fueron dirigidos a cuentas recientemente abiertas,
pero los titulares no correspondían a los beneficiarios de los pagos.

En este sentido, Microsoft envío a sus analistas de seguridad en el sector financiero

y como plan de contingencia habilitó el acceso remoto, manteniendo el control de
acceso a nivel de la aplicación y VPN, permitiendo de esta manera el acceso desde
los equipos propiedad de sus colaboradores y utilizando su propio proveedor de
servicios de internet.

Las investigaciones mostraron que:

• Las direcciones IP origen de las transacciones son válidas

• En la base de datos se evidencia que hubo ataques tipo SQL Injection.

• Se evidenció que los mecanismos de autenticación corresponden a usuario y

contraseña y token físico respectivamente.

• Las transacciones individualmente superaban los doscientos mil dólares y en un

mismo día no superaban los mil millones de dólares.

• Las notificaciones de los movimientos estaban activas, pero la información de

contacto de quienes debían recibirlas no correspondía.

A partir de la revisión y análisis del ejemplo propuesto:

A. Describa el de riesgo que se materializó:

Se evidencio la deficiencia en el acceso y control de acceso a las aplicaciones y

sistemas usados en la empresa, permitiendo modificación y alteración de los
datos.
B. ¿Cuál fue el principio que más se comprometió o de mayor relevancia?

INTEGRIDAD

Esta es el principio en los sistemas de seguridad mayor afectado ya que no se cumplió

la función de garantizar la exactitud y finalidad de la información al haber sido afectada
y modificada.

C. ¿Qué falto para evitar que este hecho se presentará? ¿Qué controles faltaron o
hubieran mitigado o bien la probabilidad de ocurrencia o el impacto?

El riesgo fue materializado por la falta de control de las personas y los permisos
otorgados a cada una de ellas, sobre las herramientas y ERP manejadas en la empresa,
dejando una deficiencia lo cual permitió la modificación de los datos como resultado
una gran pérdida económica, se puede evidenciar que no hay un responsable, ni
procesos establecidos a nivel empresarial, que garanticen la seguridad de los datos y
activos.

Se debía realizar un seguimiento a las transacciones utilizando una seguridad más

amplia donde se emplearan VPN’s para saber el lugar donde se realizaron dichas
transferencias y quién pudo haberlas realizado, además de que deben tener a una
persona de confianza en cada lado de la transacción para que esta sea más segura, ya
que el sistema que se usaba era muy inseguro.

D. Generar una Política de Seguridad de acuerdo con el caso determinado

POLITICA DE SEGURIDAD

El departamento de seguridad actualizado de Microsoft ha creado la política de seguridad

para el manejo de los riesgos de los datos, conforme al estándar ISO/IEC 27001:2013.

Principio de cumplimiento normativos: Los sistemas de información deben ajustarse y

aplicar la normativa legal y sectorial que pueda afectar la seguridad de los datos.
siempre mantener la protección sobre cualquiera que pueda ser compartida, comunicada o
almacenada. A continuación, se presenta a modo de guía la imagen con los 14 dominios de la norma
ISO 27002:2013.

OBJETIVOS DE SEGURIDAD DE LA INFORMACIÓN:

 • Conocer y manejar los riesgos de seguridad la información para que haya solidez en
los datos.
• La protección de la confidencialidad de la información.
• La conservación de la integridad de las bases de datos.
• Los servicios Web de acceso público y las redes internas cumplen con las
especificaciones de disponibilidad requeridas.
• Se realiza financiación para la gestión operativa y necesidades de los controles
relacionados y necesarios para la seguridad de la información, incluyendo
implementación y mantenimiento.
• Todo los trabajadores y personas dentro de la organización serán informados y serán
responsables de la seguridad de la información, según sea relevante para el
desempeño de su trabajo, con reglas de cumplimiento.

RESULTADOS

• El equipo directivo en la gestión de datos es el responsable de asegurar que la

seguridad de la información se gestiona adecuadamente en toda la compañía.
• Cada coordinador es responsable de garantizar que las personas que tiene a cargo
protegen la información de acuerdo con las normas establecidas en el manual de
procesos.

• Se genera los informes en la organización que garantizan e informan el estado sobre

la situación de la seguridad de la información.

PRINCIPIOS Y GUÍAS ESPECÍFICAS DE LA SEGURIDAD DE LA

INFORMACIÓN:

• Política de control de acceso físico.

• Política de software no autorizado.
• Política de descarga de ficheros en redes internas y externas
• Política de intercambio de información con otras organizaciones.
• Política de uso de los servicios de mensajería.
• Política de retención de registros.
• Política sobre el uso de los servicios de red.
• Política de uso de informática y comunicaciones en movilidad.
• Política sobre el uso de controles criptográficos.
• Política de cumplimiento de disposiciones legales.
• Política de uso de licencias de software.
• Política de protección de datos y privacidad.