CASO:

Clasificación:
Confidencial Documento de Auditoria Interna – Copia controlada

Corporación UMBRELLA es la organización más grande del mundo dedicada a la bio-medicina. La compañía lleva a
cabo investigaciones y pruebas clínicas de drogas en la lucha contra el SIDA, cáncer y otras investigaciones de
carácter confidencial.

La oficina central está en Racon City, EUA, y existen dos oficinas subsidiarias en Baltimore, EUA, y en Sapporo,
Japón. La oficina de Racon City está principalmente dedicada a temas comerciales, administración, compras, finanzas,
aspectos legales y soporte TI. Los laboratorios principales y las instalaciones de investigación están en EUA y Japón

La Corporación se encuentra en medio de una auditoria de ISO/IEC 27001:2013 que se está llevando a cabo en la
oficina central por un equipo de una Entidad de Control compuesta por un Auditora Jefe y un Auditor Senior de TI.

El Auditora Jefe está realizando una visita por la fábrica con el Director de RRHH. Sus veredictos son generalmente
satisfactorios y no se cubren este Caso Práctico.

Este Caso Práctico sigue al Auditor Senior de TI que es guiado por el Oficial de Seguridad de la Información.

Las áreas cubiertas son:

• Recepción
• Almacén
• Activos
• Ventas.

LA AUDITORÍA
Seguidamente a la reunión inicial, el equipo de auditoría coge caminos distintos. El Auditor Senior de TI pide que la
guíen en una visita por el edificio.

Empieza por el área de recepción principal y aquí observa que todas las puertas de acceso están sujetas a control de
seguridad. El acceso está controlado con tarjetas electrónicas.
“Veo que a todos los visitantes se les entregan”, dice, “¿Qué nivel de acceso les otorgan”?

El Oficial de Seguridad de la Información responde, “a los visitantes solo se les permite acceder a el área del pasillo
principal. Solo los trabajadores a tiempo completo tienen acceso a otras áreas, por lo que, si quiere ir a cualquier otro
lugar que no se el pasillo principal, debe pedir ayuda a un empleado”.

”Ok, por lo tanto, ¿Diferentes empleados tienen diferentes niveles de acceso”? pregunta el Auditor.

”Sí” responde el Oficial de Seguridad. “Cuando un nuevo empleado empieza a trabajar, su director completa un
formulario de petición de autorización y me lo envía. Este formulario debe especificar el nivel de acceso que se requiere
y esto viene determinado por la función del trabajo del empleado. Cuando tengo el formulario, entro los
detalles en el ordenador para que se pueda emitir la credencial correcta.”

“¿Cómo sabe que todo el mundo está siguiendo las reglas y que se respetan los niveles de acceso correctos?”
pregunta el Auditor.

1
“Ah ha” dice el Oficial de Seguridad, “esta es la parte ingeniosa del sistema. El guarda de Seguridad en el área de
recepción principal puede ver dónde está la gente en tiempo real a partir de las credenciales. El guarda de seguridad
tiene acceso al sistema principal a través del ordenador y eso le permite consultar una “pantalla táctil” con un esquema
del edificio”

El Auditor Senior de TI pregunta al Oficial de Seguridad si le puede mostrar este proceso. Juntos se dirigen a la oficina
de seguridad detrás del área de la recepción principal donde el Oficial de Seguridad presenta al Auditor Senior de TI
a Alfredo Rossi, el Guarda de Seguridad encargado de la oficina.

“Alfredo le mostrará cómo funciona el sistema” dice el Oficial de Seguridad. Alfredo dobla su periódico, accede a la
pantalla y empieza a explicar cómo son capaces de asegurar que el sistema de control de acceso realiza hace su
trabajo. ”Como puede ver, se puede acceder desde aquí a todas las salas del edificio y casa puerta tiene una señal
luminosa de tráfico al lado” dice Alfredo, “si la puerta en la pantalla del terminan muestra una luz verde significa que
la última persona que entró en la sala estaba correctamente autorizada”

“¿Qué ocurriría si alguien intentara entrar a una sala sin tener autorización de acceso”? pregunta el Auditor.

”En ese caso, la pantalla mostraría una luz roja y una alarma se activaría. De la misma manera, aquí se imprimiría un
informe en mi impresora”

” ¿Qué haría entonces?” pregunta el Auditor.

”En esa situación, contactaría con el director del departamento de esa área y le pediría que investigara el caso.
Después pondría la impresión del informe en el expediente aquí en mi escritorio” dice Alfredo.

El Auditor Senior de TI pide ver el expediente y observa que hay seis incidentes registrados en las dos semanas
previas.

”Eso está muy bien” dice, “¿Qué hace con las impresiones?”

Alfredo responde “No hago nada con ellas. Se quedan aquí hasta que alguien pregunta por ellas, pero nunca nadie
me ha pedido copia del expediente”

El Auditor Senior de TI se vuelve hacia el Oficial de Seguridad. “¿Qué hace cuando ocurren incidentes como este?”
pregunta.

“Bueno, tan solo se me avisa de estos casos si hay algún tema real de seguridad. Realmente no estoy interesado en
las falsas alarmas. Ocurre todo el tiempo como puede ver en las copias que hay aquí,” responde.

El Auditor Senior de TI toma nota de su respuesta en su lista de comprobación y luego pregunta si las credenciales
se usan para otros propósitos.
”Sí” responde el guarda. “Puedo utilizar el sistema en caso de alarma de incendios. Lo que hago entonces es que
saco una impresión de todas las credenciales que se han emitido.

Esto me dice cuanta gente hay en el edificio en todo momento. Cogería después la lista y la usaría
para pasar lista y hacer un recuento del personal y los visitantes.

“Ya veo” dice el Auditor, “así todo el personal y los visitantes pueden ser contabilizados al tener que pasar la tarjeta
para tener acceso al edificio”.

“Sí, así es” responde Alfredo. ” ¿Qué ocurre si un miembro del personal olvida su credencial?” pregunta el Auditor.

”En ese caso, se le emitirá una credencial de visitante y se notificará a su director”.

” ¿Para qué notificar al director?” pregunta el Auditor.

”Necesitaría informar a su director ya que el empleado tendría solo acceso limitado y su director necesitaría darles
acceso a otras áreas.”

” Ya veo” dice el Auditor, “eso tiene sentido pues la credencial de visitante solo permite el acceso al pasillo”

2
“Sí, así es”, afirma Alfredo.

“OK, eso está bien” declara el Auditor, tomando nota en su lista de comprobación.
Ella se vuelve hacia el guarda, “Veo que tiene acceso al sistema de Circuito Cerrado de Televisión (CCT) desde aquí”.

”Sí” dice Alfredo, “desde aquí puedo ver todas las áreas de la instalación. Actualmente, tenemos 23 cámaras en varias
localizaciones. Tienen infrarrojos y se controlan desde esta posición.”

” ¿Dónde registran las imágenes?” pregunta el Auditor.

”En la cinta. Guardamos las imágenes en una cinta de video”

” ¿Con qué frecuencia cambian las cintas?”

”Las cambiamos cada 12 horas”.

“¿Qué hace con las cintas que no se usan?”

“Las cintas que no se usan se guardan aquí en los estantes” dice Alfredo, apuntando a un montón de cintas de video.

” ¿Con qué frecuencia se realizan copias de seguridad?” pregunta el Auditor Senior de TI

“¿Con qué frecuencia?” repite Alfredo, “No. No hacemos copias de seguridad. Nunca hemos visto la necesidad de
hacer copias de seguridad”
El Auditor Senior de TI toma algunas notas en su lista de comprobación, luego dice. “OK. Gracias Alfredo, eso será
todo por el momento.” Después se vuelve hacia el Oficial de Seguridad y dice, “Quisiera ir a otra parte del edificio por
favor.”

El Oficial de Seguridad lleva entonces al Auditor Senior de TI al área de almacén.

“Aquí es donde se realizan las entregas de productos” dice el Oficial de Seguridad. “Como ya sabe, la ISO/IEC
27001:2013 requiere tener un área segura para la entrega de bienes. Pues es aquí donde llevamos a cabo este
control”

“¿Me puede contar como funciona?” pregunta el Auditor. ”Como no. Todas las entregas necesitan obtener permiso de
acceso a esta zona. Esto lo realizan los guardas de seguridad como Alfredo, el guarda con quién acabamos de hablar.
Las entregas están programadas por lo que el guarda sabe cuándo están prevista las entregas y la compañía de
reparto que las llevará a cabo.”

El Oficial de Seguridad continua, “una vez que el conductor de reparto obtiene acceso al lugar éste es seguido a través
del sistema de CCT hasta que llega a esta área. Mientras el conductor conduce hasta aquí, el guarda llama al director
del departamento del área para la que es la entrega para que vayan a su almacén a aceptarla.”

“Hay una campana en la parte externa de esta puerta” continua el Oficial de Seguridad. “El conductor de reparto hace
sonar esta campana y el director de departamento abre la puerta exterior. Una vez que esta puerta exterior se abre,
todas las puertas interiores del área se cierran. Eso es para que nadie pueda acceder durante el proceso de entrega.
Este proceso asegura que el área sea totalmente segura. Hacemos esto porque algunas de las entregas que recibimos
podrían resultar muy provechosas para algunos de nuestros competidores. ”

“Este es realmente un método muy seguro para esta área,” dice el Auditor. “¿Qué hace el guarda durante este tiempo?”

”El guarda hace un seguimiento de la entrega hasta que esta se completa y luego hace un seguimiento del conductor
hasta que éste pide permiso para abandonar el lugar.”
“OK, eso está muy bien” dice el Auditor.

El Auditor Senior de TI pide entonces volver al bloque de la oficina principal.

“¿Les piden a sus empleados que firmen declaraciones de confidencialidad?” pregunta El Auditor Senior de TI al
Oficial de Seguridad. ”No les pedimos a los empleados que firmen declaraciones, pero les pedimos a los visitantes y
a los subcontratistas que lo hagan” responde.

3
“Ya veo” dice el Auditor. “Yo soy una visitante y no me han pedido que firme ninguna declaración de confidencialidad.”

”Cierto. No hemos creído que esto le aplique, pero quizás eso ha sido un descuido por nuestra parte”

” ¿Quién realiza la limpieza del edificio”? pregunta el Auditor.

“Usamos un contratista externo”

” ¿Qué acuerdos de confidencialidad hay con los limpiadores?

“No les hemos pedido que firmen estos documentos. No creímos que les aplicara”, dice el Oficial de Seguridad. El
Auditor Senior de TI contesta, “Bueno, sería algo a considerar. Los limpiadores podrían tener acceso a información
confidencial y tienen acceso libre al edificio fuera del horario habitual”

El Oficial de Seguridad reconoce y está de acuerdo con el hecho que la compañía revise esta situación.

El Auditor Senior de TI pregunta entonces, "¿Qué me dice de la destrucción de datos en soporte papel? ¿Qué procesos
se utilizan para ello?”

“Tenemos unas bolsas de color azul en las áreas donde se leen y utilizan papeles confidenciales. Se les dice a los
limpiadores que no tienen que tocar estas bolsas azules. Nos encargamos que sean eliminados como “residuos
confidenciales”, dice el Oficial de Seguridad.

”Esos está bien. ¿Que evidencia les da la empresa de eliminación de residuos del resultado de su trabajo?”

”La compañía nos entrega una “declaración de retirada” cada vez que viene a recoger las bolsas. Se las puedo mostrar
si así lo desea”

”Sí por favor” dice el Auditor, “estaría bien”. El Auditor Senior de TI revisa seis documentos recientes y los encuentra
aceptables.

El Auditor Senior de TI pregunta ahora si la compañía tiene un Plan de Continuidad de Negocio.

El Oficial de Seguridad declara que tienen un video muy breve al respecto y pide a El Auditor Senior de TI si lo quiere
ver. El video habla del test físico que se llevó a cabo dos meses antes.
”Sí, quisiera ver el video, si no es muy largo” responde.

”No. El video dura solo ocho minutos”

El Auditor Senior de TI accede a ver el video.

El video describe el test físico que se realizó una mañana de domingo y que implicaba la desconexión de los servidores
con base en Roma. Esto permitió a la delegación “réplica” de Baltimore tomar el control del sistema. El lapso acordado
para que el control total fuera operativo fue de 4 horas. El test permitió una capacidad plena para volver a estar en
línea en 2 horas y 30 minutos.

“¿Hasta qué punto fue realista el test?” pregunta el Auditor.

”Sí, llevamos a cabo el test un domingo pues el cliente estaría trabajando en línea, pero su alteración sería mínima.
Decidimos conscientemente activar el test un domingo por esa razón y pensamos que una simulación no sería tan
efectiva.”
” ¿Sabía el cliente que estabais realizando el test?” ”Informamos a los altos directivos de nuestras plantas, pero ellos
no se lo dijeron a sus empleados. Acordaron que el test debía ser lo más realista posible.”

“Eso estuvo bien pensado” dice el Auditor, “¿Cuál fue el resultado del test?”
”Bueno, encontramos que unos de los directores señor no tenían su teléfono móvil encendido y fuimos incapaces de
contactar con él.”

” ¿Qué hicieron al respecto?” pregunta el Auditor.

4
”Tuvimos que contactar al siguiente director en línea y estaba disponible. Después de completar el test, emitimos otro
recordatorio para todo el personal implicado en los planes de recuperación del desastre que debía asegurar que
debían estar en contacto todo el tiempo”

”Es agradable ver el compromiso de la compañía con su actividad. Fue un ejercicio muy bueno. ¿Cuándo planean
repetirlo?”

“Planeamos llevar a cabo el mismo ejercicio con la delegación japonesa a finales de este año. Nos permitirá tener dos
delegaciones “réplica” operacionales y nos dará una capacidad de respuesta las 24 horas para las delegaciones que
se vean afectadas.”

”Eso está bien. Así si una de las delegaciones cae, ¿la que sigue siendo operativa durante ese tiempo podrá tomar el
control y restablecer el sistema?”

“Sí, correcto” responde el Oficial de Seguridad.

El Auditor Senior de TI toma nota de esto y se va.

“Quisiera comprobar el registro de activos si puede ser. Por cierto, ¿sería posible recoger algunas referencias que me
permitan comprobar el sistema de esta instalación?”
“Sí, sería aceptable. De camino a despacho del Director de Activos, podemos pasar por una de las áreas ejecutivas.
Puede recabar detalles del equipo de esa área si lo desea.
El Auditor Senior de TI está de acuerdo.

Llegan al área de Servicio de Ayuda al Cliente y El Auditor Senior de TI anota algunos números de referencia. El
Auditor Senior de TI revisa un monitor con el número de referencia MO157899; un portátil con número de referencia
HD176438; dos impresoras con números de referencia HD187866 y HD196557 y un aparato de fax con número de
referencia HD773468.

“Si con eso ya tiene bastante, le presentaré a la Directora de Activos. Ella será tan amable de mostrarnos como ha
implementado el sistema.”

El Auditor Senior de TI es presentado a la directora de activos. “Ella es Alexandra Basteda. Alex es la Directora de la
Base de Datos de Activos para todos los equipos de esta delegación.

”Buenos días” dice el Auditor, “Tengo algunas preguntas que me gustaría hacerle si le parece bien”
“Sí, no hay ningún problema” dice Alex, “Esperaba que me viniera a ver en algún momento del día”.

“Bien. He copiado etiquetas de algunos de los activos de los equipos de una de las áreas de la oficina. Si le doy
algunos números de etiqueta, ¿Puede comprobar el estatus de estos equipos en la base de datos”?

”Sí como no” responde Alex.

”He encontrado los tres equipos y los tres están todavía en servicio activo” El Auditor Senior de TI le da a Basteda
tres referencias de etiquetas de su lista de comprobación.
“La primera referencia es la MO157899” dice el Auditor.
“Es un monitor. Lo sé por las letras del prefijo”. Alex entra el número en su pc. “Aquí está. Está ubicado en el área de
Servicio de Ayuda al Cliente.”
“La siguiente referencia que tengo es la HD176438” dice el Auditor.

La Directora de Activos entra el número y lo encuentra en la base de datos.

“Es un portátil y está ubicado en uno de les escritorios operativos”
“Sí, es correcto” afirma el Auditor. “La siguiente referencia que tengo es la HD187866”.

La señora Basteda entra el número, pero la pantalla muestra que no la reconoce. “Esta referencia parece que exista”
dice finalmente.

“OK” dice el Auditor, tomando nota, “¿Probamos mi siguiente referencia, HD196557?”

La Directora de Activos entra el número, pero este tampoco se encuentra en la base de datos. ”Tampoco reconoce
este número” replica, con cierta ansiedad.

5
“La última referencia es HD773468” dice el Auditor.

La Directora de Activos entra el número y lo encuentra en la base de datos. “Es un aparato de fax y también está
ubicado en el área de Servicio al Cliente” dice. El Auditor Senior de TI toma nota.

“¿Dónde encontró los dos números que no se han localizado” pregunta la señora Basteda
”Recogí estas referencias del área de Servicio al Cliente” responde el Auditor. “Los dos números de referencia que no
han podido localizar pertenecen a dos impresoras que parecían muy nuevas”.

”Eso es interesante” dice la Directora de Activos. “Estoy al corriente de que esa área ha solicitado impresoras, pero
no estoy al tanto de que ya las hayan autorizado. Parece que el departamento ha ido a comprar sus propias impresoras
sin informarme de ello”

El Auditor Senior de TI anota este comentario y también el hecho de que la base de datos no estaba actualizada con
los equipos verificados. Se vuelve entonces hacia el Oficial de Seguridad.
”Creo que bastará por el momento. Podemos volver a su despacho y mirar la aprobación de proveedores”. El Auditor
Senior de TI le da las gracias a la Directora de Activos y se va.

De vuelta a su despacho, el Oficial de Seguridad coge una lista de los proveedores aprobados y se la entrega a el
Auditor. Ésta examina la lista y luego pregunta cómo se añaden nuevos proveedores a la lista.

El Oficial de Seguridad explica que hay diversas maneras para poder incluir nuevos proveedores en la lista,
“dependiendo de lo que estemos comprando algunas veces realizamos auditorías, algunas veces la aprobación se
basa en las muestras o por aprobación de una tercera parte” cuenta.

“Veo que en esta lista que dos de los proveedores de la base de datos que he visto antes con la señora Basteda no
son proveedores oficiales”.
“¿Se refiere a Suministros ABC?”
“Sí”.
“Ah buenos, dice el Oficial de Seguridad, “nos dimos cuenta de ellos en la auditoría interna sobre compras que
realizamos la semana pasada y hemos tomado las acciones necesarias para corregirlo”.

“¿Me lo puede mostrar?”, dice el Auditor.

“Por supuesto”.

El Oficial de Seguridad busca en su archivador, rescata un expediente y luego le muestra al Auditor Senior de TI el
informe de auditoría interna que identifica que Suministros ABC no era un proveedor aprobado. Una acción correctiva
indica la fecha acordada para que el Director de Calidad los visite y audite.

“¿Qué me dice de Napoli PC Prioridades?” pregunta el Auditor.

“No los conozco”, admite el Oficial de Seguridad.

El Oficial de Seguridad recuerda que el mes pasado se realizó un Ethical Hacking a las aplicaciones críticas del área
de Activos y se identificaron las siguientes vulnerabilidades que afectan a los procesos críticos de UMBRELLA
incluidos el alcance de la Auditoria:

Equipo IP Puerto Vulnerabilidad Descripción

Un atacante malicioso puede obtener
información de la versión del servicio o
infraestructura en la que se encuentra
desarrollado o implementado.
Ad. Lima 192.168.10.25 80 Página por defecto
Cabe destacar que, si la versión se
encuentra desactualizada, es muy
probable que sea propenso a múltiples
vulnerabilidades.

6
 Estos sistemas presentan versiones de
IIS, que, por su antigüedad, representan
ciertos riesgos y vulnerabilidades.
Realizando búsquedas sencillas, se
puede encontrar información sobre estas
Servidor
192.168.10.63 80 IIS desactualizado vulnerabilidades y su forma de
Web
explotación.
Cabe destacar que su fecha de tiempo de
vida para II8.5 - Windows Server 2012 R2
es 10 de octubre de 2023 y para II 8.5 -
Windows 8.1 es 10 enero de 2023
Este sistema presenta una versión menor
a la actual la cual representa ciertos
Vulnerabilidades riesgos y vulnerabilidades.
Aplicación
192.168.100.44 8080 múltiples en Realizando búsquedas sencillas, se
1
Apache Tomcat puede encontrar información sobre estas
vulnerabilidades y su forma de
explotación.
El hecho de que no se consigan
directamente accesos a información o
Informar sobre sistemas mediante estas
Aplicación
192.168.100.44 3389 suites de cifrado vulnerabilidades, no indica que no
2
débiles puedan ser utilizadas como medio o
punto de ayuda para ataques más
complejos y de mayor alcance.
El hecho de que no se consigan
Intercambio de
directamente accesos a información o
claves Diffie-
sistemas mediante estas
Aplicación Hellman
192.168.100.44 3389 vulnerabilidades, no indica que no
3 Vulnerabilidad de
puedan ser utilizadas como medio o
fuerza de grupo
punto de ayuda para ataques más
DH insuciente
complejos y de mayor alcance.
Este sistema presenta una versión menor
a la actual la cual representa ciertos
Vulnerabilidades riesgos y vulnerabilidades.
Firewall 2 192.168.20.1 22 múltiples en Realizando búsquedas sencillas, se
OpenSSH puede encontrar información sobre estas
vulnerabilidades y su forma de
explotación.
El hecho de que no se consigan
directamente accesos a información o
Detección de sistemas mediante estas
Fileserver 1 192.168.20.2 2374 protocolos SSLv2 vulnerabilidades, no indica que no
y SSLv3 obsoletos puedan ser utilizadas como medio o
punto de ayuda para ataques más
complejos y de mayor alcance.
El hecho de que no se consigan
directamente accesos a información o
Certificado
sistemas mediante estas
firmado con un
Fileserver 1 192.168.20.2 3389 vulnerabilidades, no indica que no
algoritmo de firma
puedan ser utilizadas como medio o
débil
punto de ayuda para ataques más
complejos y de mayor alcance.

7
 Un atacante malicioso puede obtener
información de estructuración del
Errores de desarrollo de una infraestructura o
Fileserver 1 192.168.20.2 80
aplicación sistema web, debido a que se muestra la
ruta en donde se genera el error y no un
mensaje informativo.
El hecho de que no se consigan
directamente accesos a información o
Certificado
sistemas mediante estas
Active firmado con un
192.168.20.28 636 vulnerabilidades, no indica que no
Directory 2 algoritmo de firma
puedan ser utilizadas como medio o
débil
punto de ayuda para ataques más
complejos y de mayor alcance.
Este sistema presenta una versión menor
a la actual la cual representa ciertos
Múltiples riesgos y vulnerabilidades.
Active
192.168.20.28 8080 vulnerabilidades Realizando búsquedas sencillas, se
Directory 2
en el AD puede encontrar información sobre estas
vulnerabilidades y su forma de
explotación.
El hecho de que no se consigan
directamente accesos a información o
Informar sobre sistemas mediante estas
Active
192.168.20.28 3389 suites de cifrado vulnerabilidades, no indica que no
Directory 2
débiles puedan ser utilizadas como medio o
punto de ayuda para ataques más
complejos y de mayor alcance.
Un atacante malicioso puede obtener el
control del activo informático cuando
dichas credenciales están configuradas
por defecto. Obtenido la sesión de
Active Credencial por ingreso se puede hacer cosas como
192.168.20.28 8080
Directory 2 defecto AD configuraciones, creación de usuarios,
creaciones de nuevas políticas del
firewall, etc.
Usuario: admin
Contraseña: password
Varios investigadores han informado
sobre el uso de mensajes de protocolo de
instalación inteligente (SMI) hacia clientes
de instalación inteligente, también
conocidos como clientes de rama
integrados (IBC), lo que permite a un
Uso indebido del atacante remoto no autenticado cambiar
protocolo de la imagen startup-config y forzar una
Switch
192.168.20.7 4786 instalación recarga del dispositivo, cargar una nueva
Core
inteligente de imagen IOS en el dispositivo, y ejecutar
Cisco comandos CLI de alto privilegio en los
conmutadores que ejecutan el software
Cisco IOS y el software IOS XE.
Cisco no considera que se trate de una
vulnerabilidad de Cisco IOS, IOS XE o de
la propia función Smart Install, sino de un
mal uso del protocolo Smart Install, que

8
 no requiere autenticación por diseño.
Los clientes que busquen algo más que
un despliegue sin intervención debería
considerar el despliegue de la solución
Cisco Network Plug and Play.
El hecho de que no se consigan
directamente accesos a información o
Detección de sistemas mediante estas
Switch
192.168.20.7 443 protocolos SSLv2 vulnerabilidades, no indica que no
Core
y SSLv3 obsoletos puedan ser utilizadas como medio o
punto de ayuda para ataques más
complejos y de mayor alcance.
El hecho de que no se consigan
directamente accesos a información o
Certificado
sistemas mediante estas
Switch firmado con un
192.168.20.7 443 vulnerabilidades, no indica que no
Core algoritmo de firma
puedan ser utilizadas como medio o
débil
punto de ayuda para ataques más
complejos y de mayor alcance.
El hecho de que no se consigan
directamente accesos a información o
Algoritmos de sistemas mediante estas
Switch
192.168.20.7 22 cifrados débiles vulnerabilidades, no indica que no
Core
admitidos puedan ser utilizadas como medio o
punto de ayuda para ataques más
complejos y de mayor alcance.

Asimismo, también se evidenció que los analistas de las áreas de marketing tienen acceso, a través de las tablas
dinámicas en Excel a consultas a las Bases de Datos de Producción.

El Auditor Senior de TI pregunta sobre la revisión de los proveedores aprobados. “Declara en su procedimiento que
se realiza una revisión al año” dice.

El Director de Seguridad explica que el primer lunes de cada mes el Director de Calidad examina los informes de
mercancías no aceptadas y compila un breve informe con la lista de los proveedores han recibido informes de
mercancías en mal estado o defectuosas.

Estos informes son luego revisados en la Reunión de Directores Senior que se celebra normalmente el segundo lunes
de cada mes; los proveedores que hayan sido excluidos por no alcanzar un nivel de servicio aceptable son informados
y retirados de la lista de proveedores aprobados.

“¿Se ha retirado a algún proveedor hasta ahora?” Pregunta el Auditor.

“Solo hemos tenido tres Reuniones de Directores desde que este sistema para proveedores aprobados se ha
implantado y desde entonces ningún producto rechazado ha parecido suficientemente serio como para retirar al
proveedor de la lista.” dice el Oficial de Seguridad. “Cada vez que ocurre algo así, sin embargo, es tratado en la
reunión y queda reflejado en el Informe Anual que se compila antes que la Revisión de Gestión anual.”

El Auditor Senior de TI examina entonces los expedientes que muestran uno o dos informes de rechazo. Lo anota en
su lista de comprobación.

9
 Trabajo Grupal
Duración: 14:00 – 17:30

Se solicita:

1. Identificar y clasificar 10 Activos de Información sobre los que se impacta según el Caso de
Estudio. Identificar a que amenazas y vulnerabilidades se encuentra expuesto cada activo. Así
como también identificar si se compromete la confidencialidad, integridad o disponibilidad.

2. Identificar inicialmente 04 Riesgo por cada activo de acuerdo con el Caso de Estudio y su
criticidad.

3. Identificar los controles para mitigar los riesgos identificados. Estos controles deben estar
alineados al anexo A de la Norma Internacional ISO/IEC 27001:2013.

4. Recomendar 04 herramientas de ciberseguridad que considerarías para mejorar la protección

de la información y justifica tu recomendación.

Consideraciones:

• Para la actividad 1, deben utilizar la matriz del Anexo 1.

• Definiciones para la actividad 2:
o Riesgo: Probabilidad de que una amenaza en particular explote una
vulnerabilidad causando un impacto negativo sobre mis recursos.
(ISO/IEC27005.)
o Amenaza: causa potencial de un incidente no deseado, que puede resultar en un
perjuicio a un sistema, individuo u organización. [ISO/IEC 27000:2009]
o Vulnerabilidad: debilidad de un activo o control que puede ser aprovechada por
una amenaza. [ISO/IEC 27000:2009]
o Ejemplo de sintaxis de un riesgo:
▪ Riesgo: Incendio del Data Center Principal de la empresa debido a que
no cuenta con un sistema automático de detección y respuesta contra
incendios.

# Amenaza Activo Afectado Vulnerabilidad

1 Incendio Data Center Principal No cuenta con un sistema automático de
de la empresa detección y respuesta contra incendios.

10
 Anexo 1
Inventario de Activos de Información

Grupo: Alcance:

Riesgo Cálculo de Criticidad del Activo

Código Nombre Requerimiento
N° Área del del Descripción Tipo Propietario Ubicación Regulatorio Criticidad Comentarios
Activo Activo (opcional) Amenaza Vulnerabilidad Confidencialidad Integridad Disponibilidad del
Activo
1
2
3
4
5
6
7
8
9
10
11
12

Tipo de
Niveles
Activo
Software Confidencialidad Integridad Disponibilidad
Hardware Alto Alto Alto
Documentos Medio Medio Medio
Servicios Bajo Bajo Bajo
Intangibles
Personas

11