CASO DE ESTUDIO

PRODUCTOS ALIMENTICIOS

-ENTREGA 1-

Autores

NOMBRE
DEINER DAVID HERNANDEZ MENCO
DIEGO FERNANDO MONTIEL DURAN
ANDREA SOFIA PALACIOS SANCHEZ

Profesor

JEFFREY BORBON

INSTITUCIÓN UNIVERSITARIA POLITÉCNICO

GRANCOLOMBIANO

BOGOTA D.C
2018
INTRODUCCIÓN

La información es uno de los activos más importante que tienen las organizaciones
porque con base en los datos es que se toman decisiones, mejorar los estándares de los
productos, servicios y alcanzar los niveles de competencia requeridos para sobrevivir en
el mercado y evolucionar el negocio. En nuestro tiempo los sistemas de información han
sido el instrumento más idóneo para gestionar los datos de las organizaciones debido a
las capacidades de persistencia, precisión, disponibilidad y concurrencia, por nombrar
solo algunas, que ofrecen estos sistemas. Sin embargo, esto plantea un gran desafío y es
la seguridad y confidencialidad de la información.
Mantener los datos seguros y confidenciales es uno de los retos a superar por las
organizaciones en nuestro tiempo, toda vez que los procesos de información se han
confiado a sistemas informáticos susceptibles de ser alterados y dañados
intencionalmente.
Este documento desarrolla un caso de estudio relacionado con una empresa que
desarrolla su actividad comercial en el sector de los alimentos, en el cual se realiza un
diagnóstico basado en hallazgos y que permitirá profundizar en el tema de la seguridad y
confidencialidad de la información.
TERMINOLOGÍA

los términos y definiciones establecidos en la Norma NTC-ISO/IEC 27000, Norma NTC-

ISO/IEC 27005.

Aceptación de riesgo: Decisión informada de asumir un riesgo concreto.

Activo: En relación con la seguridad de la información, se refiere a cualquier información

o elemento relacionado con el tratamiento de esta (sistemas, soportes, edificios,
personas...) que tenga valor para la organización.

Amenaza: Causa potencial de un incidente no deseado, que puede provocar daños a un

sistema o a la organización.

Análisis de Riesgo: Proceso para comprender la naturaleza del riesgo y determinar el

nivel de riesgo.

Control: Las políticas, los procedimientos, las prácticas y las estructuras

organizativas concebidas para mantener los riesgos de seguridad de la información por
debajo del nivel de riesgo asumido.

Evaluación de riesgos: Proceso global de identificación, análisis y estimación de riesgos.

Evento de seguridad de la información: Presencia identificada de una condición de un

sistema, servicio o red, que indica una posible violación de la política de seguridad
de la información o la falla de las salvaguardas, o una situación desconocida previamente
que puede ser pertinente a la seguridad.

Gestión de riesgos: Actividades coordinadas para dirigir y controlar una

organización con respecto al riesgo. Se compone de la evaluación y el tratamiento de
riesgos.

Impacto: El coste para la empresa de un incidente de la escala que sea, que puede o no
ser medido en términos estrictamente financieros: pérdida de reputación, implicaciones
legales, etc.

Inventario de Activos: Lista de todos aquellos recursos (físicos, de información,

software, documentos, servicios, personas, intangibles, etc.) dentro del alcance del SGSI,
que tengan valor para la organización y necesiten por tanto ser protegidos de potenciales
riesgos.
Incidente de seguridad de la información: Un evento o serie de eventos de seguridad
de la información no deseados o inesperados, que tienen una probabilidad significativa de
comprometer las operaciones del negocio y amenazar la seguridad de la información.

Integridad: Propiedad de la información relativa a su exactitud y completitud. La

información debe ser clara y completa, y solo podrá ser modificada por el personal
expresamente autorizado para ello. La falta de integridad de la información puede exponer
a la empresa a toma de decisiones incorrectas, lo cual puede ocasionar pérdida de
imagen o pérdidas económicas.

Plan de tratamiento de riesgos: Documento que define las acciones para gestionar los
riesgos de seguridad de la información inaceptables e implantar los controles necesarios
para proteger la misma.

Probabilidad: Medida para estimar la ocurrencia del riesgo.

Recursos de tratamiento de la información: Cualquier sistema, servicio o

infraestructura de tratamiento de información o ubicaciones físicas utilizadas para su
alojamiento.

Riesgo: Posibilidad de que una amenaza concreta pueda explotar una

vulnerabilidad para causar una pérdida o daño en un activo de información. Suele
considerarse como una combinación de la probabilidad de un evento y sus
consecuencias.

Selección de controles: Proceso de elección de las salvaguardas que aseguren la

reducción de los riesgos a un nivel aceptable.

SGSI: Sistema de Gestión de la Seguridad de la Información, el SGSI hace referencia al

Subsistema de Gestión de Seguridad de la Información.

Sistema de Gestión de la Seguridad de la Información: Conjunto de elementos

interrelacionados o interactuantes (estructura organizativa, políticas, planificación de
actividades, responsabilidades, procesos, procedimientos y recursos) que utiliza una
organización para establecer una política y unos objetivos de seguridad de la
información y alcanzar dichos objetivos, basándose en un enfoque de gestión del riesgo y
de mejora continua.

Seguridad de la Información: Preservación de la confidencialidad, la integridad y la

disponibilidad de la información.
Tratamiento de riesgos: Proceso de modificar el riesgo, mediante la
implementación de controles.

Usuario: La instancia final que se beneficia de la prestación de un bien o servicio

suministrado por la Entidad.

Valoración del riesgo: Proceso de análisis y evaluación del riesgo.

Vulnerabilidad: Debilidad de un activo o control que puede ser explotada por una o más
amenazas.
DIAGNÓSTICO

Hallazgo.

La compañía está presentando después de estos hallazgos un serio problema más

orientado a políticas de seguridad que conlleva a riesgos de fuga de información y fraude
especialmente. Dentro de estos posibles riesgos encontramos que especialmente la falta
de compromisos de los mismos funcionarios en sus contratos laborales como cláusulas
de confidencialidad entre otras, lleve a infringir riesgos informáticos que atentan con la
compañía, y esto sumado a los deficientes controles de acceso que se tienen a los
portales web y a la información.

La falta de formación del personal y de sus proveedores o socios que tienen acceso a
información clasificada de la compañía es algo que se requiere con urgencia potenciar. La
concienciación frente a la seguridad es uno de los factores principales que llevan a
prevenir los ransomware que durante el último año han enfrentado varios ataques.
Proceso de gestión de incidentes de seguridad a los sistemas de información debido a
inexistencia o necesidad de mejora de respuesta ante un incidente de seguridad ha sido
uno de los factores vulnerables de la compañía y esto sumado a la falta de políticas,
metodologías, desarrollos de software y controles de acceso a la información, llevan a
tomar decisiones de fondo y prontas para poder mitigar estos hallazgos.

Cómo se afecta a la seguridad (confidencialidad, disponibilidad, integridad,

autenticidad, trazabilidad) mencionar cuales y como afecta.

La información es crítica en cualquier empresa y aquí en los hallazgos encontramos que

se afectan en los principales pilares:

Confidencialidad
Aquí vemos cómo se afecta la confidencialidad ya que la información es accesible
cualquier empleado, los controles de firewall no se encuentran actualizados o licencias
vencidas lo que permite que cualquiera pueda acceder a la información.
Aparte las mismas políticas de los contratos laborales no cuentan con las cláusulas para
infringir compromiso y responsabilidades a los empleados por la seguridad de la
información.

Disponibilidad
Este principio se afecta de tal manera que durante el último año ha habido múltiples
ataques de software maliciosos (ransomware) y 25 equipos se han visto afectados por el
malware (wannacry), con esto no se ha podido tener acceso a la información cuando se
ha requerido.

Integridad
Desde todos los hallazgos encontrados en el informe podemos notar de primera mano
que la integridad de la información es afectada y que la exactitud y completitud de la
información se ve afectada por que todos los empleados pueden tener acceso a la
información, los sistemas de seguridad se encuentran desactualizados, los continuos
ataques de software maliciosos, acceso a la red inalámbrica, los continuos casos de fuga
de información y la falta de organización de la compañía frente a políticas de seguridad,
muestra que la información pierde su integridad y la exactitud de los datos que da en
duda.

Autenticidad
Este principio lo vemos quebrantado desde la misma red inalámbrica donde vemos tráfico
extraño donde pueden acceder personal ajeno a la compañía, de igual forma desde los
demás hallazgos donde ingresa cualquier empleado y de esta manera no se tiene
seguridad de quien accede a la información así como el origen.

Trazabilidad
En todos los hallazgos vemos que la trazabilidad se pierde en todo momento accesos no
permitidos sin saber quién o cuando accede, no tenemos el origen ya que puede ser
interno o externo y desde la parte física las cámaras en su mayoría no funcionan y las que
funcionan están monitoreados por una persona la cual esta demostrado que una persona
monitoreando cámaras no es tan eficiente que cuando se instalan sensores, analítica para
que en ciertos casos se activen y poder tener un mejor uso con las cámaras que ser
monitoreadas por personal humano.

Causa (que genera que se presente el hallazgo)

El principal factor que genere una auditoría interna en una compañía, es la de generar
una serie de normas o pautas que ayuden a los integrantes de la compañía a desarrollar
adecuadamente su actividades diarias, mejorar sus procesos y en si salvaguardar la
empresa.
La causa de los hallazgos se deriva de una auditoría, debido a una serie de evaluaciones,
revisando detenidamente su labor diaria que cada integrante que cumple dentro de la
organización. Debido a esto la compañía necesita contar con la información que les
permita conocer si su actividad es correcta, tanto en la parte financiera como en la parte
operativa.
Siendo la información un pilar importante dentro de toda organización podemos verificar
que los resultados son nefastos, una serie de efectos negativos en los cuales el principal,
es la exposición de la información a posibles adulteraciones, que pueden ocasionar robo o
fraude.

Consecuencias para el negocio (analice qué impactos puede tener la

materialización del riesgo asociado al hallazgo, es decir el peor escenario)

El peor escenario en el que nos podemos encontrar es el cierre de la empresa.

Pero tenemos escenarios alternos como:
● Pérdida, fraude o robo de la información
● Acceso de la información de los productos patentados
● Acceso de las listas de clientes
● Acceso del personal esencial en la fabricación de los productos
● Acceso de las cotizaciones ofrecidas
 Tabla 1. Riesgos identificados en la empresa de productos alimenticios

HALLAZGO DESCRIPCIÓN CAUSA CONSECUENCIA

En los contratos no se Falta de asesoría Al carecer de
encuentran cláusulas legal al momento de cláusulas de
de confidencialidad crear los contratos de confidencialidad, los
donde se comprometa los empleados. empleados pueden
al empleado al divulgar la
secreto y sigilo Exceso de confianza información,
Los contratos
profesional de las con la información publicando los
laborales realizados
fórmulas, que maneja el procesos de
en la empresa a sus
procedimientos de personal de la manufactura y recetas
empleados no tienen
manufactura y empresa. de creación propia.
cláusulas de
patentes, en dichos
confidencialidad
contratos no se Pérdida de identidad
establecen requisitos de los productos y/o
de seguridad que procesos.
deben cumplir los
contratantes.
La empresa no está Falta de políticas de Mal funcionamiento
aplicando controles seguridad donde se de las aplicaciones y
de seguridad de la establezcan controles bases de datos de la
información en los que eviten pérdida de empresa,
proyectos de confidencialidad entorpeciendo el
desarrollo de software durante la desarrollo normal de
Los cambios en las
que se están transferencia de las actividades de los
aplicaciones se
adelantando en la información a sistemas de
realizan sin un
Entidad, al no contar terceros. información.
protocolo establecido,
con estos controles se
presentando fallos en
están realizando Durante la fase de Cambios en la
el funcionamiento de
cambios de manera análisis de integridad de la
las aplicaciones.
arbitraria sin evaluar requerimientos no información por no
el impacto de cada identificar los riesgos tener un entorno de
cambio sobre la de la seguridad de la pruebas controlado y
información y información. aislado de la
funcionamiento de las información real de la
aplicaciones. empresa.
El uso de antivirus en Falta de Pérdida de
la empresa no se actualizaciones en las información por daño
realiza de manera bases de datos de los por software
la información
obligatoria contra antivirus. malicioso.
recibida por
código malicioso en
transferencia de datos
todos los Falta de
no se está verificado
computadores, actualizaciones en los
eficientemente,
dispositivos móviles, parches de los
presentando
teléfonos inteligentes sistemas operativos.
incidentes de
y cualquier tipo de
seguridad y daños
equipo de cómputo
información por
empleado para
presencia de software
acceder a los
malicioso
servicios y sistemas
de información de
empresa.
 El CRM que tiene la No hay seguridad en Robo de información
empresa no tiene los el sistema de de los clientes de la
controles información de empresa.
internos de protección manejo de clientes,
CRM de la empresa de la no se han establecido
no tiene establecido Información de los tipos de usuarios con
controles de uso de la clientes frente el sus respectivos
información. acceso no autorizado, permisos sobre los
de consulta, datos de la aplicación
modificación
eliminación e
impresión.
No se está realizando Utilizar las redes de la Robo de la
seguimiento y control empresa para realizar información por
al momento de descarga de delincuentes
realizar transferencia programas que informáticos.
de información desde perjudiquen la
o hacia su estabilidad de los
Se evidenciaron
infraestructura de equipos, su sistema
niveles de seguridad
tecnología de operativo o sus
bajos en la red, la
información y programas internos o
cual permite acceder
comunicaciones, con aplicaciones de la
desde redes externa
los bajos niveles de Entidad.
públicas generando
protección de la red
vulnerabilidades al
no se puede
sistema y a la
garantizar la
información de la
seguridad de la
empresa.
información en los por
las conexiones
realizadas desde
dispositivos móviles
los mismos se utilicen
dentro de las redes de
datos
En los contratos con Falta de auditoría Modificación de la
terceros que presten sobre los contratos y información sin contar
sus servicios de productos realizados con la autorización
Los contratos con desarrollo de por parte de los formal para dichas
terceros por aplicaciones a la contratistas. modificaciones
prestación de empresa no se han
servicios, no se les establecido cláusulas Falta de monitoreo Divulgación no
realizan controles de de seguridad que sobre la información autorizada de
seguridad que deben cumplir para entregada a los información
garanticen la poder tener acceso, contratistas.
preservación de la procesar, almacenar, Modificación o
confidencialidad, comunicar y transmitir Eliminación de los
integridad y información de la controles de
disponibilidad de la entidad incluyendo las seguridad que
información que está medidas necesarias protejan la
a su cargo. para el uso de la información
información por parte
de los contratantes
buscando preservar la
 integridad
información

No contar con un No actualizar las

instructivo actualizado políticas de Pérdida de la
que contenga seguridad. información por malos
políticas de manejos de esta.
seguridad, donde se Falta de
indique la manera de capacitaciones a los
administrar, procesar empleados en la
y proteger la importancia de
información generada proteger uno de los
No se evidencia la en la empresa, atenta activos más
actualización y contra la misión de importantes la
socialización de las esta. información.
políticas de seguridad Por falta de
de la empresa. capacitación a los
empleados de la
empresa sobre la
aplicación de las
políticas de seguridad
hace que se cometan
faltas que afecten la
información.

En la empresa no se Falta de delegar Daño a la información

tienen empleados responsabilidades al por código malicioso.
responsables del área personal
TIC para el manejo de especializado en el
incidentes de manejo de TIC en la
seguridad de la empresa.
información
generados por la No Programar Daños inesperados
presencia de código mantenimientos en los equipos los
malicioso en los preventivos y cuales dificultan la
Falta de responsable equipos de cómputo, correctivos de los operación y la gestión
TIC para realizar redes de equipos informáticos de la información.
asistencia técnica. comunicaciones, de la empresa.
dispositivos de No poder restablecer
almacenamiento fijos el sistema completo, o
o removibles de los No Realizar copias de información puntual,
computadores o seguridad de la Al momento que el
dispositivos información. sistema presenta
informáticos inconvenientes, por
actualizaciones, mal
manejo, o algún
ataque informático

No se están La empresa está Falta de las bases de Sanciones, multas,

realizando los obligada a presentar datos con los datos suspensiones o cierre
reportes de las bases ante la de los clientes de la empresa.
de datos con la superintendencia de
información de los industria y comercio
clientes a la las bases de datos de
superintendencia de los clientes en los
industria y comercio tiempos establecidos
en los periodos de por ésta para evitar
reporte establecidos. multas, sanciones
suspensiones o cierre

La empresa cuenta Falta de discos duros Cuando pase alguna

con cámaras de para el novedad y se requiera
vigilancia registrando almacenamiento de revisar días
de las actividades que los videos. anteriores, por falta
se realizan a lo largo de almacenamiento
Falta de equipos para del día en la empresa, no se podrá realizar.
el sistema de pero los videos no se
vigilancia de la están almacenado en
empresa discos para su
conservación,
o reproducción en
tiempo real o
posterior.
CONCLUSIONES

De acuerdo a los estudios realizados y los hallazgos presentados en el informe de la

empresa, podemos concluir que la seguridad de la información es vital de toda
organización ya que de ella depende de la continuidad de la misma.
Muchas veces por economizar gastos no tenemos en cuenta este punto, esencial para
salvaguardar la información necesaria para la toma de decisiones, expandir la empresa,
consolidación con los clientes existentes y búsqueda de nuevos, guardar la información
de su actividad etc.

Luego que ocurren ataques a los sistemas informáticos o accesos por usuarios no
autorizados y estos generan daños en sistemas o lo que es peor pérdida de la
información, o secuestro de la misma, como viene pasando actualmente con los
ransomware, donde los casos se han multiplicado, de los cuales existen infinidades de
versiones, cada vez más sofisticados, lo que requiere mucha atención, es cuando las
empresas toman conciencia de la importancia de la seguridad de la información.

Por tal motivo recomendamos Campañas sencillas y económicas para empezar, como
son políticas internas de seguridad, uso de los recursos existentes, actualizaciones de
software, restricciones de internet y accesos a páginas no esenciales para la actividad
económica; Minimizan los riesgos de acceso a la información del personal no autorizado
así como la fiabilidad y exactitud de los datos y acceso de la misma.
CIBERGRAFÍA

● http://es.wikipedia.org/wiki/Información
● www.oecd.org. OECD 2002. Guía de administración de riesgos de sistemas
de información y redes.
● www.sic.gov.co
Superintendencia de Industria y Comercio
● www.monografias.com
Auditoría de Sistema y políticas de Seguridad Informática - Monografias.com
● www.iprofesional.com
Cuál es el riesgo para las empresas de filtrar información confidencial?