Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
1. OBJETIVO GENERAL:
2. ALCANCE
El alcance de esta evaluación se basa en los controles de la norma técnica internacional ISO/IEC
27001:2013 “Sistemas de Gestión de la Seguridad de la Información (SGSI)” que fallaron al
interior de la organización.
Circulares Internas:
3. TRABAJO REALIZADO:
● Identificar los activos, riesgos, amenazas y vulnerabilidades a los que estuvo expuesta la
organización.
● Identificar la función, categoría, subcategoría y referencias informativas de los controles que
fallaron al interior de la Organización. (ISO 27001 vs FRAMEWORK NIST)
● Teniendo en cuenta los marcos de referencia (ISO/IEC 27001:2013, CIS CSC, COBIT 5, NIST
SP 800-53 Rev), se generó una lista de actividades a verificar para identificar el perfil actual y
el perfil objetivo.
● Se realizaron recomendaciones de controles tecnológicos para cerrar las brechas de seguridad
de la información y/o ciberseguridad que se presentaron en la organización.
4. FUENTE DE INFORMACIÓN:
5. RESULTADOS OBTENIDOS:
Activos vulnerados:
Riesgos:
R1 - Acceso a los sistemas de información o recursos tecnológicos por usuarios no autorizados.
R6 - Fuga de Información.
R21 - Demandas y/o sanciones por divulgación de información a terceros no autorizados.
R24 - Incumplimiento de políticas, normas y/o procedimientos.
R35 - Ataques de virus.
R39 - Pérdida de información confidencial y/o sensible por accesos no autorizados y/o ausencia de
controles.
2 de 8
Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
Amenazas:
A21 - El robo de medios de comunicación o documentos
A25 - Los datos procedentes de fuentes no confiables.
A39 - Error en uso.
A44 - Ataques de identificación y autenticación de usuarios.
A52 - Ataques a las contraseñas de la red.
A57 - Secuestro de sesión realizados por Hijacking y Man in the muidle.
A58 - Spoofing (Suplantación de identidad).
A60 - Acceso no autorizado a los equipos de cómputo y/o servidores.
A68 - Escalamiento de privilegios.
Vulnerabilidades:
V21 - Parámetro incorrecto configurado.
V23 - La falta de mecanismos de identificación y autenticación como la autenticación de usuarios.
V25 - La mala gestión de contraseñas.
V31 - Falta de copias de seguridad.
V46 - Formación de seguridad insuficiente.
V48 - La falta de conciencia de seguridad.
V62 - Fallas o ausencia de reportes que identifican las actividades realizadas por los
administradores y usuarios de los sistemas.
V71 - Fallas o ausencia de políticas sobre el uso de correo electrónico, clasificación y etiquetado
de la información.
De acuerdo con el mapa de riesgo presentado a continuación, sin tener en cuenta los controles
(Riesgo Inherente), la mayor exposición al riesgo está concentrada en los controles: A.7.2.2 Toma
de conciencia, educación y formación en la seguridad de la información, A.9.4.2 Procedimientos
seguros de inicio de sesión, A.12.3.1 Respaldo de la información, A.12.4.1 Registro de eventos.
Riesgo Alto:
Riesgo Medio:
Riesgo Bajo:
Gráfico 1. Riesgo Inherente
3 de 8
Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
Nivel de
Controles
Riesgo
Nro. Tecnológicos Riesgo Amenazas Vulnerabilidades Probabilidad Impacto
(Probabilidad
(ANEXO A)
x Impacto)
A.7.2.2 - Toma R24
de conciencia, Incumplimiento A21 El robo de
V48 La falta de
educación y de políticas, medios de
1 conciencia de Alta (3) Alto (3) Alto (9)
formación en la normas y/o comunicación
seguridad
seguridad de la procedimientos. o documentos
información.
R1 Acceso
a los sistemas V23 La falta de
A60 Acceso no
A.9.4.2 - de información o mecanismos de
autorizado a
Procedimientos recursos identificación y
2 los equipos de Alta (3) Alto (3) Alto (9)
seguros de inicio tecnológicos por autenticación como
cómputo y/o
de sesión usuarios no la autenticación de
servidores.
autorizados. usuarios
R39 Pérdida de
información
confidencial y/o A21 El robo de
A.12.3.1 - V31 Falta de copias
sensible por medios de Moderado
3 Respaldo de la de seguridad Moderada (2) Moderado(2)
accesos no comunicación (4)
información.
autorizados y/o o documentos
ausencia de
controles.
V62 Fallas o
ausencia de
reportes que
A68
A.12.4.1 - R6 Fuga de identifican las
Escalamiento Moderado
4 Registro de Información. actividades Moderada (2) Moderado(2)
de privilegios. (4)
eventos. realizadas por los
administradores y
usuarios de los
sistemas.
4 de 8
Logo empresa Grupo de Investigación CASO PHISHING
CASO_PHISHING
Informe Gerencial
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
Es importante mencionar que durante la investigación realizada al control de usuarios del correo
electrónico corporativo se identificaron algunas fortalezas en aspectos como:
Por otra parte, se evidencian aspectos como los descritos a continuación que requieren atención en el
corto plazo para disminuir los riesgos anteriormente mencionados.
Cordialmente,
5 de 8
LOGO EMPRESA Grupo de Investigación CASO PHISHING
CASO__PHISHING
Informe Detallado
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
6 de 8
LOGO EMPRESA Grupo de Investigación CASO PHISHING
CASO__PHISHING
Informe Detallado
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
Nivel de Riesgo
Hallazgo (No conformidad) / Recomendación / Responsable / Fecha Compromiso
Riesgo (Alto /Moderado /
Incumplimiento) / Observación Oportunidad de mejora Cargo / Área Seguimiento área
Bajo)
Alto La organización debe escoger
una técnica de autenticación
adecuada para confirmar la
identidad que reivindica el
La forma de autenticación al correo usuario.
Acceso a los
electrónico corporativo de la
sistemas de
organización presenta una debilidad Para el acceso a los sistemas
información o
en relación al ingreso seguro de los de información y correo
recursos
colaboradores, debido a que no electrónico corporativo la
tecnológicos por
tiene un factor de doble organización debe utilizar
usuarios no
autenticación que garantice la métodos de autenticación
autorizados.
identidad del colaborador. alternativos a las
contraseñas, tales como,
token, con el objetivo de
minimizar riesgos de accesos
no autorizados.
7 de 8
LOGO EMPRESA Grupo de Investigación CASO PHISHING
CASO__PHISHING
Informe Detallado
Fecha (dd/mm/aaaa): XX/XX/XXXX Equipo de Trabajo:
Nivel de Riesgo
Hallazgo (No conformidad) / Recomendación / Responsable / Fecha Compromiso
Riesgo (Alto /Moderado /
Incumplimiento) / Observación Oportunidad de mejora Cargo / Área Seguimiento área
Bajo)
Nivel de Riesgo
Hallazgo (No conformidad) / Recomendación / Responsable / Fecha Compromiso
Riesgo (Alto /Moderado /
Incumplimiento) / Observación Oportunidad de mejora Cargo / Área Seguimiento área
Bajo)
8 de 8