Actividad de aprendizaje

ISO 27005:2022
Actividad aprendizaje profundiza 3 – Sistemas de Gestión de Seguridad según ISO-27005:2022

Tres (3) vulnerabilidades que como Auditor esperaba haber evidenciado

Dos (2) de las amenazas que se encuentran en el Anexo A Tabla 10 de la ISO 27005.2022

Caso planteado

La empresa GTH es una empresa que presta servicios en talento humano a nivel nacional a empresas de diferentes tamaños y
sectores, incluyendo servicios de selección y contratación, nómina y outsourcing. En el año 2022 GTH implementó un nuevo
ERP a través del cual ha logrado integrar en un mismo sistema de información los procesos de Gestión Humana, Compras,
Contabilidad y Tesorería.

Durante auditoría realizada al SGSI de esta empresa, el equipo de auditoría solicitó los resultados de la evaluación de riesgos
en seguridad de la información, encontrando que para el activo de información ERP en mención, módulo Gestión Humana, el
riesgo inherente de acceso no autorizado al módulo de Gestión Humana fue valorado en “Muy alto” con una probabilidad de
ocurrencia de 4 y un impacto de 4, y el riesgo residual es “Bajo”, con una probabilidad de ocurrencia de 1 (poco probable) y con
un impacto de 2, ambas valoraciones en una escala de 4 x 4.

Fue solicitado al líder los criterios (probabilidad e impacto) utilizados para la evaluación de riesgos, al cual respondió que la
evaluación se había realizado teniendo en cuenta unas tablas tomadas de un curso de riesgos al cual había asistido en la
Universidad. El auditor, solicitó al líder de Gestión Humana la lista de controles de la declaración de aplicabilidad (según Anexo
A de la norma ISO 27001:2022) seleccionados para mitigar la probabilidad de ocurrencia y el impacto, sin embargo, el líder
manifestó no tener una lista de controles porque estos estaban incorporados en el ERP y ningún otro control era necesario.

El auditor realizó algunas pruebas de acceso al módulo de Gestión Humana en compañía de empleados de diferentes áreas,
encontrando que empleados de los procesos de Compras y Contabilidad tenían acceso al módulo y con la posibilidad de realizar
cambios sobre los datos, además con permisos para descargar información. También se evidenció la existencia de dos usuarios
activos (colaboradores) en el módulo de Gestión Humana que en ese momento tenían más de un año de haber sido despedidos
de la empresa.
 Actividad de aprendizaje
ISO 27005:2022
Por último, solicitó al área de Infraestructura Tecnológica un log de auditoría del ERP para revisar las operaciones realizadas en
el último mes en el módulo de Gestión Humana, encontrando como respuesta que desde la implementación del ERP no se ha
tenido log de auditoría debido a que con anterioridad ningún auditor lo había solicitado.

Caso planteado
 Actividad de aprendizaje
ISO 27005:2022
Evaluación de riesgos de seguridad de la información – Proceso Gestión Humana
Activo de Riesgo Nivel de Riesgo Nivel de
Vulnerabilidades Amenazas Riesgo P I Controles P I
información Inherente riesgo residual riesgo
Software VS06 Asignación incorrecta de AC02 Abuso Alto 4 4 16 Alto 5.15 Control 2 4 8 Moderado
ERP Modulo los derechos de acceso. de derechos de acceso. -
Gestión El riesgo inherente de acceso o permisos 8.3
Humana no autorizado al módulo de Restricción
Gestión Humana. de acceso a
la
información
Software No se ha desarrollado un AC02 Abuso Alto 4 4 16 Alto 5.16 2 4 8 Moderado
ERP Modulo procedimiento formal para el de derechos Gestión de
Gestión registro y la cancelación de o permisos. identidades.
Humana usuarios, o su aplicación es 5.18
ineficaz. AH08 Robo Derechos
También se evidenció la de identidad de acceso
existencia de dos usuarios o
activos (colaboradores) en el credenciales
módulo de Gestión Humana digitales
que en ese momento tenían
más de un año de haber sido
despedidos de la empresa.
Software VS05 Configuración AO04 Bajo 4 2 8 Moderado 8.15 3 2 6 Nulo
ERP insuficiente de los registros Violación de Registros
con fines de auditoría. leyes o
No se ha tenido log de reglamentos
auditoría debido a que con
anterioridad ningún auditor lo
había solicitado.
Actividad de aprendizaje
ISO 27005:2022