Logo empresa Grupo de Investigación CASO PHISHING

CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

1. OBJETIVO GENERAL:

Este informe presenta el resultado de la investigación realizada al incidente de ciberseguridad de

phishing a través de la cual el grupo de investigación de Auditoria y Ciberseguridad verificó la
existencia, cumplimiento y efectividad de las políticas de ciberseguridad y seguridad de la
información, procedimientos de administración, seguridad, mantenimiento, soporte y controles
existentes de tecnología, con el objetivo de identificar cuáles fueron los controles que fallaron del
perfil actual de ciberseguridad y cuáles son los controles que se van a proponer en el perfil
objetivo que cubran las brechas de ciberseguridad, con aras de brindar un servicio oportuno y
mantener un alto grado de integridad, confiabilidad, confidencialidad y disponibilidad de la
información de la organización.

2. ALCANCE

El alcance de esta evaluación se basa en los controles de la norma técnica internacional ISO/IEC
27001:2013 “Sistemas de Gestión de la Seguridad de la Información (SGSI)” que fallaron al
interior de la organización.

Nro. Control Descripción del Control

1 A.7.2.2 Toma de conciencia, educación y formación en la seguridad de la
información.
2 A.9.4.2 Procedimientos seguros de inicio de sesión.
3 A.12.3.1 Respaldo de la información.
4 A.12.4.1 Registro de eventos.
5 A.16.1.7 Recolección de evidencia.
6 A.13.2.3 Mensajería electrónica.
7 A.12.2.1 Controles contra códigos maliciosos.
8 A.18.2.2 Cumplimiento con las políticas y normas de seguridad.

Normas internacionales / Frameworks / Marcos de Referencia:

● NTC-ISO-IEC 27001:2013 “Sistemas de Gestión de la Seguridad de la Información (SGSI)” -

ANEXO A (Normativo).
● GTC-ISO-IEC 27002:2013 “Guía de Implementación de la Seguridad de la Información”.
● Framework de Ciberseguridad NIST (National Institute of Standards and Technology).
● NIST Special Publication 800-53A Revisión 4 - Assessing Security and Privacy Controls in
Federal Information Systems and Organizations.
● CIS CONTROLS “Center For Internet Security”
● Marco de Referencia COBIT 5 (Control Objectives for Information and related Technology).

Circulares Internas:

● MAN-INT-0001 Manual de Seguridad de la información y Ciberseguridad.

● PRO-INT-POL Procedimiento de Políticas de Seguridad de la Información y Ciberseguridad.

Proceso verificado: Control General de Tecnología.

1 de 8
Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

Área: Dirección de Tecnologías de Información / Área Comercial

Periodo evaluado (dd/mm/aaaa): 01/01/2022 a 21/11/2022

3. TRABAJO REALIZADO:

● Identificar los activos, riesgos, amenazas y vulnerabilidades a los que estuvo expuesta la
organización.
● Identificar la función, categoría, subcategoría y referencias informativas de los controles que
fallaron al interior de la Organización. (ISO 27001 vs FRAMEWORK NIST)
● Teniendo en cuenta los marcos de referencia (ISO/IEC 27001:2013, CIS CSC, COBIT 5, NIST
SP 800-53 Rev), se generó una lista de actividades a verificar para identificar el perfil actual y
el perfil objetivo.
● Se realizaron recomendaciones de controles tecnológicos para cerrar las brechas de seguridad
de la información y/o ciberseguridad que se presentaron en la organización.

4. FUENTE DE INFORMACIÓN:

● Reporte de usuarios, perfiles y opciones extraído de los sistemas de información A, B, C y D.

● Consulta de usuarios en el Directorio Activo (Active Directory - AC).
● Reporte de Auditoría extraído del sistema de información X.
● Paz y Salvos de los ex-colaboradores generados por el Auxiliar de Contratación de la División
de Recursos Humanos.
● Reporte de logs de inicio del correo corporativo y logs de auditoría de carpetas compartidas,
generado por el Administrador de Aplicaciones de la Dirección de Tecnologías.
● Reporte de conexiones remotas del FW.
● Reporte de inicios de sesión exitosos y no exitosos.

5. RESULTADOS OBTENIDOS:

Activos vulnerados:

 Correos electrónicos personales.

 Correos electrónicos corporativos.

Riesgos:
R1 - Acceso a los sistemas de información o recursos tecnológicos por usuarios no autorizados.
R6 - Fuga de Información.
R21 - Demandas y/o sanciones por divulgación de información a terceros no autorizados.
R24 - Incumplimiento de políticas, normas y/o procedimientos.
R35 - Ataques de virus.
R39 - Pérdida de información confidencial y/o sensible por accesos no autorizados y/o ausencia de
controles.

2 de 8
 Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

Amenazas:
A21 - El robo de medios de comunicación o documentos
A25 - Los datos procedentes de fuentes no confiables.
A39 - Error en uso.
A44 - Ataques de identificación y autenticación de usuarios.
A52 - Ataques a las contraseñas de la red.
A57 - Secuestro de sesión realizados por Hijacking y Man in the muidle.
A58 - Spoofing (Suplantación de identidad).
A60 - Acceso no autorizado a los equipos de cómputo y/o servidores.
A68 - Escalamiento de privilegios.

Vulnerabilidades:
V21 - Parámetro incorrecto configurado.
V23 - La falta de mecanismos de identificación y autenticación como la autenticación de usuarios.
V25 - La mala gestión de contraseñas.
V31 - Falta de copias de seguridad.
V46 - Formación de seguridad insuficiente.
V48 - La falta de conciencia de seguridad.
V62 - Fallas o ausencia de reportes que identifican las actividades realizadas por los
administradores y usuarios de los sistemas.
V71 - Fallas o ausencia de políticas sobre el uso de correo electrónico, clasificación y etiquetado
de la información.

De acuerdo con el mapa de riesgo presentado a continuación, sin tener en cuenta los controles
(Riesgo Inherente), la mayor exposición al riesgo está concentrada en los controles: A.7.2.2 Toma
de conciencia, educación y formación en la seguridad de la información, A.9.4.2 Procedimientos
seguros de inicio de sesión, A.12.3.1 Respaldo de la información, A.12.4.1 Registro de eventos.

Para efectos de calificar el riesgo se utilizó la siguiente convención:

Riesgo Alto:
Riesgo Medio:
Riesgo Bajo:
Gráfico 1. Riesgo Inherente

3 de 8
 Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

Nivel de
Controles
Riesgo
Nro. Tecnológicos Riesgo Amenazas Vulnerabilidades Probabilidad Impacto
(Probabilidad
(ANEXO A)
x Impacto)
A.7.2.2 - Toma R24
de conciencia, Incumplimiento A21 El robo de
V48 La falta de
educación y de políticas, medios de
1 conciencia de Alta (3) Alto (3) Alto (9)
formación en la normas y/o comunicación
seguridad
seguridad de la procedimientos. o documentos
información.
R1 Acceso
a los sistemas V23 La falta de
A60 Acceso no
A.9.4.2 - de información o mecanismos de
autorizado a
Procedimientos recursos identificación y
2 los equipos de Alta (3) Alto (3) Alto (9)
seguros de inicio tecnológicos por autenticación como
cómputo y/o
de sesión usuarios no la autenticación de
servidores.
autorizados. usuarios

R39 Pérdida de
información
confidencial y/o A21 El robo de
A.12.3.1 - V31 Falta de copias
sensible por medios de Moderado
3 Respaldo de la de seguridad Moderada (2) Moderado(2)
accesos no comunicación (4)
información.
autorizados y/o o documentos
ausencia de
controles.
V62 Fallas o
ausencia de
reportes que
A68
A.12.4.1 - R6 Fuga de identifican las
Escalamiento Moderado
4 Registro de Información. actividades Moderada (2) Moderado(2)
de privilegios. (4)
eventos. realizadas por los
administradores y
usuarios de los
sistemas.

4 de 8
 Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

Es importante mencionar que durante la investigación realizada al control de usuarios del correo
electrónico corporativo se identificaron algunas fortalezas en aspectos como:

✔ Eficiencia en la administración de usuarios y perfiles del sistema.

✔ Se cuentan con controles de doble intervención en los ajustes solicitados a la configuración de
políticas de control de acceso de usuarios.

Por otra parte, se evidencian aspectos como los descritos a continuación que requieren atención en el
corto plazo para disminuir los riesgos anteriormente mencionados.

El informe detallado adjunto describe la totalidad de las conclusiones y recomendaciones obtenidas.

Queremos agradecer la colaboración prestada por los colaboradores a su cargo y quedamos

dispuestos a aclarar cualquier duda al respecto.

Cordialmente,

Nombre del Auditor Líder

AUDITOR LIDER

5 de 8
 LOGO EMPRESA Grupo de Investigación CASO PHISHING
CASO__PHISHING
Informe Detallado
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

A.7.2.2 “Toma de conciencia, educación y formación en la seguridad de la información”.

Hallazgo (No conformidad) / Nivel de Riesgo Fecha

Recomendación / Responsable / Compromiso
Riesgo Incumplimiento) / (Alto /Moderado / Seguimiento
Oportunidad de mejora Cargo / Área área
Observación Bajo) (dd/mm/aaaa)
Se identificaron 4 colaboradores Alto
del área Comercial donde la
contraseña de su correo
electrónico personal era igual al
corporativo. Cabe mencionar que
la Política de Ciberseguridad y
Capacitar a los empleados
Seguridad de la Información en el
Incumplimiento sobre cómo identificar
numeral 5 establece “Todos los
de políticas, diferentes formas de ataques
usuarios deben de garantizar que
normas y/o de ingeniería social, como
las contraseñas de su correo
procedimientos. phishing, fraudes telefónicos
electrónico personal deben ser
y llamadas de suplantación.
diferentes al correo electrónico
corporativo con el objetivo de
minimizar riesgos de accesos no
autorizados y exposición de
información confidencial de
clientes a terceros no
autorizados”.

6 de 8
 LOGO EMPRESA Grupo de Investigación CASO PHISHING
CASO__PHISHING
Informe Detallado
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

A.9.4.2 “Procedimientos seguros de inicio de sesión”.

Nivel de Riesgo
Hallazgo (No conformidad) / Recomendación / Responsable / Fecha Compromiso
Riesgo (Alto /Moderado /
Incumplimiento) / Observación Oportunidad de mejora Cargo / Área Seguimiento área
Bajo)
Alto La organización debe escoger
una técnica de autenticación
adecuada para confirmar la
identidad que reivindica el
La forma de autenticación al correo usuario.
Acceso a los
electrónico corporativo de la
sistemas de
organización presenta una debilidad Para el acceso a los sistemas
información o
en relación al ingreso seguro de los de información y correo
recursos
colaboradores, debido a que no electrónico corporativo la
tecnológicos por
tiene un factor de doble organización debe utilizar
usuarios no
autenticación que garantice la métodos de autenticación
autorizados.
identidad del colaborador. alternativos a las
contraseñas, tales como,
token, con el objetivo de
minimizar riesgos de accesos
no autorizados.

7 de 8
 LOGO EMPRESA Grupo de Investigación CASO PHISHING
CASO__PHISHING
Informe Detallado
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:

A.12.3.1 “Respaldo de la información”.

Nivel de Riesgo
Hallazgo (No conformidad) / Recomendación / Responsable / Fecha Compromiso
Riesgo (Alto /Moderado /
Incumplimiento) / Observación Oportunidad de mejora Cargo / Área Seguimiento área
Bajo)

A.12.4.1 “Registro de eventos”.

Nivel de Riesgo
Hallazgo (No conformidad) / Recomendación / Responsable / Fecha Compromiso
Riesgo (Alto /Moderado /
Incumplimiento) / Observación Oportunidad de mejora Cargo / Área Seguimiento área
Bajo)

8 de 8