CIBERSEGURIDAD

Actividad 2: Análisis de controles de seguridad y

evaluación de riesgos con Marisma

Descripción breve
Análisis de controles de seguridad y evaluación de riesgos para la empresa Quimera Química S.A.

Alejandro Santiago Félix

alejandro.santiago743@comunidadunir.net
Contenido
1. Introducción .................................................................................................................................... 2
2. Estándares base .............................................................................................................................. 2
3. Descripción de la empresa .............................................................................................................. 3
4. Identificación y valoración de activos ............................................................................................. 3
5. Análisis de controles ....................................................................................................................... 4
6. Categorización de amenazas........................................................................................................... 8
7. Análisis de resultados ..................................................................................................................... 9
a. Análisis de riesgos. .......................................................................................................................... 9
b. Plan de tratamiento. ..................................................................................................................... 10
8. Conclusiones ................................................................................................................................. 11

4
1. Introducción

En la actualidad, la gestión de la seguridad de la información se ha convertido en un aspecto

crucial para las organizaciones debido al creciente número de amenazas cibernéticas y la necesidad
de proteger los datos sensibles. La norma ISO 27001/2 proporciona un marco reconocido
internacionalmente para establecer, implementar, mantener y mejorar un Sistema de Gestión de
Seguridad de la Información (SGSI).

El objetivo de este proyecto es realizar una pre-auditoría del nivel de cumplimiento de la gestión
de la seguridad de una compañía basada en la norma ISO 27001/2. Esta pre-auditoría permitirá
identificar las áreas de mejora y asegurar que la organización está preparada para una auditoría
formal de certificación.

Para llevar a cabo esta tarea, se utilizará la herramienta eMARISMA, que facilita la evaluación y
gestión de los controles de seguridad. A través de este ejercicio, se espera adquirir habilidades
prácticas en la utilización de herramientas de auditoría y en la aplicación de los estándares de
seguridad de la información.

La empresa seleccionada para esta pre-auditoría es Sngular, una empresa española que se
especializa en soluciones tecnológicas innovadoras, incluyendo desarrollo de software, inteligencia
artificial y transformación digital. La empresa se destaca por su enfoque en la calidad y seguridad de
sus soluciones tecnológicas, ofreciendo servicios a diversos sectores como la banca,
telecomunicaciones y salud.

2. Estándares base

La norma ISO 27001/2 es un estándar internacional que proporciona los requisitos para
establecer, implementar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información
(SGSI). Esta norma ayuda a las organizaciones a proteger sus activos de información y a garantizar la
confidencialidad, integridad y disponibilidad de la información.

• ISO 27001: Especifica los requisitos para establecer, implementar, mantener y mejorar
continuamente un SGSI. Incluye requisitos para la evaluación y tratamiento de riesgos de
seguridad de la información adaptados a las necesidades de la organización.
• ISO 27002: Proporciona directrices para la implementación de controles de seguridad de la
información basados en las mejores prácticas. Esta norma complementa a la ISO 27001 al
ofrecer un conjunto detallado de controles de seguridad que las organizaciones pueden
implementar para gestionar los riesgos de seguridad de la información.

2
3. Descripción de la empresa

Quimera Química S.A. es una empresa dedicada a la producción de productos químicos

especializados para diversas industrias, incluyendo farmacéutica, agroquímica y manufactura. La
empresa se destaca por su compromiso con la seguridad, calidad y cumplimiento de normativas
industriales, garantizando soluciones confiables y adaptadas a las necesidades de sus clientes.

4. Identificación y valoración de activos

En Quimera Química S.A., la categorización de los activos según su valor estratégico resulta clave
para garantizar la seguridad de los recursos más críticos y, al mismo tiempo, optimizar la gestión de
estos. Esta clasificación permite a la empresa enfocar sus esfuerzos en proteger y mantener aquellos
activos que son esenciales para la continuidad del negocio y el cumplimiento de las normativas.

Entre los activos de alto valor estratégico se encuentran elementos fundamentales como el
Sistema SCADA, la Base de Datos de Producción, el Robot de Ensamblaje, el Servidor de Copias de
Seguridad y la Línea de Producción Automatizada. El Sistema SCADA desempeña un papel crucial al
supervisar y controlar los procesos industriales en tiempo real, asegurando la estabilidad operativa.
La Base de Datos de Producción contiene información crítica y, gracias a su configuración replicada,
garantiza alta disponibilidad frente a cualquier contingencia. El Robot de Ensamblaje y la Línea de
Producción Automatizada representan el corazón de las operaciones industriales, permitiendo una
fabricación eficiente y escalable. Finalmente, el Servidor de Copias de Seguridad asegura la integridad
de los datos, siendo esencial para la recuperación ante incidentes. La correcta gestión y protección de
estos activos son indispensables para garantizar la productividad y la confianza de los clientes.

Los activos de medio valor estratégico incluyen recursos como el Software de Gestión de
Inventarios, la Red de Cámaras de Seguridad, el Software de Gestión Documental, el Generador de
Respaldo y el Sistema de Alarma Contra Incendios. Estos activos, aunque no son críticos, desempeñan
funciones de soporte importantes. El Software de Gestión de Inventarios facilita el control de los
recursos internos, mientras que la Red de Cámaras de Seguridad mejora la protección física de las
instalaciones. Por su parte, el Software de Gestión Documental permite una gestión más eficiente de
la información administrativa. El Generador de Respaldo y el Sistema de Alarma Contra Incendios son
fundamentales para prevenir interrupciones y garantizar la seguridad en casos de emergencia. Su
adecuada implementación contribuye significativamente a la eficiencia y a la resiliencia operativa de
la empresa.

Finalmente, los activos de bajo valor estratégico comprenden elementos como los Equipos de
Protección Personal (EPP), el Proyector de Sala de Reuniones y la Impresora Multifunción. Aunque
estos activos no impactan directamente en las operaciones principales, su correcto funcionamiento
es importante para mantener la eficiencia en las actividades de soporte. Los EPP son esenciales para
garantizar la seguridad del personal, mientras que el Proyector de Sala de Reuniones y la Impresora
Multifunción son herramientas auxiliares que facilitan las tareas administrativas y de comunicación
interna.

3
5. Análisis de controles

En general, la mayoría de los objetivos organizacionales se han cumplido satisfactoriamente.

Por lo tanto, nos centraremos en analizar aquellos aspectos que no se han satisfecho por completo.

Control Problema Impacto Porcentaje cumplimiento

A.5.1 Políticas de seguridad de la Empleados desconocen prácticas Alto
información permitidas.
A.5.9 Inventario de información y No se sabe qué equipos están Medio
otras actividades asociadas conectados a la red.
A.5.12 Clasificación de la Información patentada es enviada Alto
información por error.
A.5.20 Requisitos de seguridad en Un proveedor expone datos críticos. Medio
contratos con terceros
A.5.30 Preparación de las TIC para la Sistema cae por 3 días. Alto
continuidad del negocio
A.5.31 Requisitos legales, Almacenamiento de datos Alto
estatuarios, reglamentarios y personales sin cumplir RGPD.
contractuales
A.5.35 Revisión independiente de la Vulnerabilidades no detectadas Alto
seguridad de la información durante meses.

La empresa enfrenta varios desafíos en la gestión de la seguridad de la información, que requieren una atención integral y estratégica. Es
fundamental fomentar una cultura de seguridad entre los empleados, asegurando que todos comprendan y sigan las políticas establecidas. Además,
mantener un control riguroso y actualizado de los activos tecnológicos es esencial para prevenir posibles vulnerabilidades. La colaboración con terceros
debe gestionarse cuidadosamente, garantizando que todos los socios cumplan con los estándares de seguridad de la empresa. También es crucial estar

4
preparados para cualquier interrupción operativa mediante planes de continuidad del negocio bien definidos y actualizados. En resumen, una combinación
de formación continua, gestión proactiva de activos y cumplimiento normativo robusto es clave para fortalecer la seguridad organizacional y proteger la
información crítica de la empresa.

La mayoría de los objetivos personales también se han alcanzado de manera satisfactoria.

Nos enfocaremos en los puntos que aún requieren mejoras.

Control Problema Impacto Porcentaje cumplimiento

A.6.3 Concienciación, educación y Empleado comparte contraseñas. Alto
capacitación en seguridad de la
información
A.6.5 Responsabilidades tras la Empleado borra archivos antes de Alto
terminación del empleo irse.

La empresa debe centrarse en mejorar la concienciación y formación en seguridad de la información entre sus empleados. Es fundamental que
todos los miembros del personal comprendan la importancia de seguir las políticas de seguridad y las mejores prácticas para proteger la información
sensible. Además, es crucial gestionar adecuadamente las responsabilidades y accesos de los empleados que terminan su relación laboral para evitar la
pérdida o manipulación de datos. Fomentar una cultura de seguridad sólida y proporcionar capacitación continua ayudará a mitigar riesgos y fortalecer la
protección de la información en la empresa.

5
 Los objetivos de infraestructura han sido mayormente cumplidos con buenos resultados.

Analizaremos los elementos que no han sido completamente satisfechos.

Control Problema Impacto Porcentaje cumplimiento

A.7.2 Entrada física Intruso entra por una puerta Alto
sin llave.
7.5 Protección contra Incendio destruye servidores. Alto
amenazas físicas y ambientales

La seguridad física y la protección contra amenazas ambientales son fundamentales para la infraestructura de la empresa. Asegurar todas las
entradas y salidas con sistemas de control de acceso adecuados es crucial para prevenir intrusiones. Además, contar con sistemas de detección y supresión
de incendios, junto con planes de recuperación ante desastres, es esencial para proteger la infraestructura crítica. La implementación de estas medidas
contribuirá significativamente a la resiliencia operativa y a la protección de los activos físicos de la empresa.

6
 En términos generales, los objetivos tecnológicos se han logrado satisfactoriamente.

Nos concentraremos en los aspectos que necesitan más atención.

Control Problema Impacto Porcentaje cumplimiento

A.8.1 Dispositivos terminales Conexión de un USB Medio
de usuario infectado.
A.8.7 Protección contra Un archivo infectado encripta Alto
malware datos.
A.8.9 Gestión de Configuración incorrecta Medio
configuración expone un servidor.
A.8.10 Eliminación de Eliminación accidental de Medio
información registros importantes.
A.8.13 Copia de seguridad de Corte de energía daña un Alto
la información servidor.
A.8.15 Registro Acceso no detectado a datos Alto
confidenciales.
A.8.20 Seguridad de redes Servidor accesible sin Alto
protección.
A.8.24 Uso de criptografía Cambio no documentado Medio
genera fallo crítico.
A.8.32 Gestión de cambios Cambio no documentado Medio
genera fallo crítico.

La empresa debe centrarse en mejorar la seguridad de sus dispositivos terminales y redes. Implementar políticas de uso de dispositivos externos y
soluciones antimalware robustas es esencial para prevenir infecciones y proteger los datos. Además, seguir buenas prácticas de gestión de configuración y
realizar auditorías regulares ayudará a asegurar que todas las configuraciones sean seguras. La gestión adecuada de cambios y la protección de la
información mediante copias de seguridad y criptografía también son cruciales para mantener la integridad y disponibilidad de los datos. En resumen, una
gestión proactiva y rigurosa de la seguridad tecnológica es clave para proteger los sistemas y datos de la empresa.

7
6. Categorización de amenazas

Los activos identificados están expuestos a una variedad de amenazas significativas que pueden
comprometer su integridad, disponibilidad y confidencialidad. Entre las amenazas más destacadas se
encuentran la alteración de secuencia, el acceso no autorizado, el análisis de tráfico, el repudio, la
interceptación de información, la modificación deliberada de la información y la destrucción de
información. Por ejemplo, la infraestructura LAN con switches y routers está expuesta a la alteración
de secuencia con un impacto medio del 60%. Por otro lado, el sistema de gestión documental
enfrenta un riesgo muy alto del 100% debido a accesos no autorizados, lo que también afecta a
otros activos críticos como la caldera de producción, las claves criptográficas, los robots de
ensamblaje y los servidores de archivos. Además, la red de comunicaciones empresarial y los
sistemas de gestión ambiental y documental están expuestos a múltiples amenazas con impactos
que varían de medio a muy alto. Es crucial implementar medidas de seguridad robustas y efectivas
para mitigar estos riesgos y proteger los activos críticos de la organización, asegurando así la
continuidad operativa y el cumplimiento normativo.

4
7. Análisis de resultados
a. Análisis de riesgos.

Quimera Química S.A. enfrenta una serie de amenazas que podrían tener consecuencias
graves para su funcionamiento y la seguridad de la información que maneja. Estas amenazas no solo
afectan la integridad y disponibilidad del sistema, sino que también ponen en riesgo la
confidencialidad de los datos críticos.

Una de las amenazas más significativas es la difusión de software dañino, que puede
comprometer la integridad de los datos, interrumpir operaciones y causar pérdidas financieras
significativas. La introducción de malware en el sistema puede tener un impacto devastador, por lo
que es esencial contar con soluciones antimalware actualizadas y realizar capacitaciones periódicas
al personal sobre ciberseguridad.

Otra amenaza crítica es la destrucción de información, que puede ocurrir debido a ataques
maliciosos, errores humanos o desastres naturales. La pérdida de datos críticos puede paralizar las
operaciones y afectar la toma de decisiones. Para mitigar este riesgo, es crucial implementar
políticas de respaldo de datos y planes de recuperación ante desastres.

El abuso de privilegios de acceso es otra preocupación importante. Los usuarios con

privilegios elevados pueden acceder a información sensible o realizar cambios no autorizados en el
sistema, lo que puede tener consecuencias graves. Establecer controles de acceso estrictos y
monitorear las actividades de estos usuarios es fundamental para prevenir este tipo de incidentes.

La suplantación de la identidad del usuario es una amenaza que implica que un atacante
pueda hacerse pasar por un usuario legítimo para acceder al sistema. Esto puede llevar a la
exposición de datos confidenciales y a la realización de acciones no autorizadas. La implementación
de autenticación multifactor y la vigilancia constante de actividades sospechosas son medidas
efectivas para prevenir este tipo de ataques.

El acceso no autorizado al Sistema de Gestión Ambiental también representa un riesgo

significativo. Los intrusos pueden explotar vulnerabilidades en el sistema para obtener acceso a
datos confidenciales, lo que puede tener consecuencias graves para la organización. Mantener el
sistema actualizado con los últimos parches de seguridad y realizar auditorías de seguridad
periódicas son prácticas esenciales para proteger el sistema.

Además de estas amenazas, el sistema también está expuesto a riesgos como la

modificación deliberada de la información, que puede alterar datos críticos y afectar la toma de
decisiones, y la divulgación de información, que puede resultar en la exposición de datos sensibles a
partes no autorizadas. La manipulación de programas y la interceptación de información son otras
amenazas que pueden comprometer la seguridad del sistema.

9
 b. Plan de tratamiento.

El Sistema de Gestión Ambiental de Quimera Química S.A. enfrenta diversas amenazas significativas
que pueden comprometer su integridad, disponibilidad y confidencialidad. Entre las amenazas más
destacadas se encuentran la difusión de software dañino, la destrucción de información, el abuso de
privilegios de acceso, la suplantación de la identidad del usuario y el acceso no autorizado. Para abordar
estas amenazas, es esencial implementar políticas claras y efectivas de seguridad de la información,
asegurar el cumplimiento de requisitos legales y contractuales, y preparar las TIC para garantizar la
continuidad del negocio mediante planes de recuperación y respaldo.

Además, es crucial realizar revisiones independientes de seguridad, implementar controles de

acceso físico, fomentar la conciencia y capacitación en seguridad de la información, y utilizar
criptografía para proteger la información sensible. Mantener un inventario actualizado de activos,
asegurar la seguridad de las redes, gestionar los cambios de manera controlada, y proteger contra el
código dañino son también medidas importantes. Incluir requisitos de seguridad en los contratos con
terceros, mantener registros detallados de actividades, asegurar la protección de dispositivos de punto
final, y proteger contra amenazas externas y ambientales son acciones adicionales necesarias para
garantizar la seguridad del sistema.

10
8. Conclusiones

En general, la empresa ha demostrado un compromiso significativo con la seguridad de la

información, pero aún enfrenta varios desafíos que deben abordarse para fortalecer su postura de
seguridad. Es evidente que la formación continua y la concienciación de los empleados son
fundamentales para crear una cultura de seguridad sólida. Además, la gestión proactiva de los
activos tecnológicos y la colaboración cuidadosa con terceros son esenciales para prevenir
vulnerabilidades y proteger los datos críticos.

La preparación para la continuidad del negocio y el cumplimiento de normativas deben ser

prioridades constantes, asegurando que la empresa esté siempre lista para enfrentar cualquier
interrupción operativa. La mejora de las medidas de seguridad física y la protección contra amenazas
ambientales también son cruciales para garantizar la resiliencia operativa.

En el ámbito tecnológico, es vital implementar políticas de uso de dispositivos externos y

soluciones de seguridad robustas para proteger los sistemas y datos de la empresa.

11